zoukankan      html  css  js  c++  java
  • Shiro快速入门

    写在前面:

      最近项目中使用了Shiro,虽然不是自己在负责这一块,但还是抽空学习了下,也可以让自己对shiro有基本的了解。毕竟Shiro安全框架在项目中还是挺常用的。

      对于Apache Shiro的基本概念就不在这里一一描述了,资料网上都有,主要还是记录下代码相关的,能够先让自己快速学会使用。

      这里的demo(可以测试登录认证,登出,以及授权)主要使用的是ssh框架,所以前提是要将ssh的项目框架搭起来,并导入shiro相关的jar包,然后才是编写配置shiro的相关代码。

      1.shiro相关配置文件的编写

      web.xml

    <!-- shiro 过滤器 start -->
        <!--spring容器查找名字为shiroFilter(filter-name)的bean并把所有Filter的操作委托给它。-->
        <filter>
            <filter-name>shiroFilter</filter-name>
            <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
            <!-- 设置true由servlet容器控制filter的生命周期 -->
            <init-param>
                <param-name>targetFilterLifecycle</param-name>
                <param-value>true</param-value>
            </init-param>
        </filter>
        <filter-mapping>
            <filter-name>shiroFilter</filter-name>
            <url-pattern>/*</url-pattern>
        </filter-mapping>
        <!-- shiro 过滤器 end -->

      shiro的配置文件applicationContext-shiro.xml

    <?xml version="1.0" encoding="UTF-8"?>
    <beans xmlns="http://www.springframework.org/schema/beans"
           xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
           xsi:schemaLocation="http://www.springframework.org/schema/beans
               http://www.springframework.org/schema/beans/spring-beans-4.0.xsd">
    
            <!--配置自定义Realm,需要继承AuthorizingRealm-->
            <bean id="myRealm" class="com.myshiro.shiro.MyRealm">
            </bean>
    
            <!--配置SecurityManager-->
            <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
                <property name="realm" ref="myRealm"/>
            </bean>
    
            <!--实现自己的登出过滤器-->
            <bean id="signOutFilter" class="com.myshiro.shiro.SignOutFilter">
                <!--配置登出重定向的路径-->
                <property name="redirectUrl" value="/logout.jsp"/>
            </bean>
    
            <!-- 配置 ShiroFilter bean: 该 bean 的 id 必须和 web.xml 文件中配置的 shiro filter 的 name 一致  -->
            <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
                <property name="securityManager" ref="securityManager"/>
                <!--配置登录页面,当未认证发送请求时,默认跳转的页面,即登录页面-->
                <property name="loginUrl" value="/views/login.jsp"/>
                <!--没有授权默认跳转的页面-->
                <property name="unauthorizedUrl" value="/noPermission.jsp"/>
                <!--配置登出过滤器-->
                <property name="filters">
                    <map>
                        <entry key="logout" value-ref="signOutFilter"></entry>
                    </map>
                </property>
                <!--配置资源过滤器链-->
                <property name="filterChainDefinitions">
                    <value>
                        <!--anon表示不拦截,直接放行-->
                        /login = anon
                        <!-- authc 表示需要认证后才能访问,即需要登录后才可以访问,否则跳转到上面配置的登录页面-->
                        /authTest = authc
                        <!-- perms 表示需要有对应的权限才能访问的,
                            此处perms表示要登录认证成功,并且有对应的pernissionTest权限才可以进行访问
                            浏览器输入../permissionTest,回车,如果没有通过登录认证,则跳转到上面配置的登录页面;否则去进行授权验证,
                            如果,授权验证没有通过,则跳转到上面配置的未授权跳转的页面,否则可以访问对应的资源
                        -->
                        /permissionTest =  perms[/permissionTest]
                        <!--当角色是admin的时候才可以访问-->
                        /permissionTest2 = roles[admin]
                        <!--表示在访问url为signOut时,此时会执行登出logout操作,
                            这里如果不自定义登出过滤器,会默认使用LogoutFilter过滤器来自动完成登出操作,并不需要实现controller层对应的signOut方法
                            也可以自定义登出过滤器,需要继承LogoutFilter过滤器,这里我自定义了登出过滤器
                        -->
                        /signOut = logout
                    </value>
                </property>
            </bean>
        
    </beans>

      配置完后,记得使用<import resource="classpath:configs/applicationContext-shiro.xml"/>将其导入进spring配置文件中。

      2.自定义实现的Realm

    public class MyRealm extends AuthorizingRealm{
        @Resource
        private UserService userService;
        /**
         * 授权
         * 此方法 只有在shiro的配置文件中配置了权限才会进行调用,例如配置了role,permission
         * @param pc
         * @return
         */
        @Override
        protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc) {
            //根据自己系统规则的需要编写获取授权信息,这里为了快速入门只获取了用户对应角色的资源url信息
            //获取当前登录输入的用户名
            String username = (String) pc.fromRealm(getName()).iterator().next();
            if (username != null) {
                User user = null;
                try {
                    //根据用户名查询对应的user
                    user = userService.getByUserName(username);
                } catch (Exception e) {
                    e.printStackTrace();
                }
                //根据用户获取对应的role,根据role获取对应的permission
                Set<Role> roleSet = user.getRoleSet();
                List<String> pers = new ArrayList<>();
                for(Role r:roleSet){
                    Set<Permission> permissionSet = r.getPermissionSet();
                    for(Permission p:permissionSet){
                        pers.add(p.getUrl());
                    }
                }
    
                if (pers != null && !pers.isEmpty()) {
                    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
                    for (String each : pers) {
                        //将权限资源添加到用户信息中  会与配置文件中配置的对应权限做对比
                        info.addStringPermission(each);
                    }
                    return info;
                }
            }
            return null;
        }
    
        /**
         * 认证,登录验证
         * @param at
         * @return
         * @throws AuthenticationException
         */
        @Override
        protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken at) throws AuthenticationException {
            //获取存进shiro token中的用户信息,(token里的信息在Controller层的login方法里存的)
            UsernamePasswordToken token = (UsernamePasswordToken) at;
            String username = token.getUsername();
            if (username != null && !"".equals(username)) {
                User user = null;
                try {
                    //根据用户名去数据库中查询对应的user
                    user = userService.getByUserName(username);
                    if (user != null) {
                    //将数据库中的用户名,密码拿去和存在shiro token中的用户输入的用户名,密码做对比
                    return new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(), getName());
                }
                } catch (Exception e) {
                    e.printStackTrace();
                }
            }
            return null;
        }
    }

      3.自定义实现的LogoutFilter

    public class SignOutFilter extends LogoutFilter{
        @Override
        protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
            Subject subject = getSubject(request,response);
            String redirectUrl = getRedirectUrl(request,response,subject);
            try{
                subject.logout();
            }catch (Exception e){
                e.printStackTrace();
            }
            issueRedirect(request,response,redirectUrl);
            //这里返回false 代表不再去执行controller层的方法,
            // true代表还会去执行(如果需要在登出的controller里自定义一些东西,例如清除session或者cookie的一些信息,
            // 这个时候只需要返回true)
            return true;
        }
    }

      4.Controller层的相关方法

    @Controller("LoginAction")
    public class LoginAction extends BaseAction{
        @Resource
        private UserService userService;
        //接收表单填写的用户名 密码
        private String userName;
        private String password;
    
        public String login(){
            Subject subject = SecurityUtils.getSubject();
            //判断当前登录用户是否已经被认证,即是否已经登录了,如果已经登录了,再次发送登录的请求,就不再进行认证了
            if(!subject.isAuthenticated()){
                //没有登录  进行登录认证
                //将登录的用户名,密码存进shiro token中
                UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
    try{
                    //去自己的MyRealm类中执行doGetAuthenticationInfo()方法,进行登录认证
                    subject.login(token);
                } catch ( UnknownAccountException e ) {
                    System.out.println("用户未注册!");
                    return "error";
                } catch ( IncorrectCredentialsException e ) {
                    System.out.println("密码错误!!");
                    return "error";
                } catch ( LockedAccountException e ) {
                    System.out.println("该账户不可用~");
                    return "error";
                } catch ( ExcessiveAttemptsException e ) {
                    System.out.println("尝试次数超限!!");
                    return "error";
                }
                return "success";
            }
            return "success";
        }
    
        //认证测试
        public void authTest(){
            System.out.println("authTest------进来了");
        }
        //权限授权测试
        public void permissionTest(){
            System.out.println("permissionTest--------进来了");
        }
    
        //登出测试
        public String signOut(){
            System.out.println("controller---登出---------");
            //实现对session或者其他信息的清除
            return "success";
        }
    
        @Override
        public String getUserName() {
            return userName;
        }
    
        public void setUserName(String userName) {
            this.userName = userName;
        }
    
        public String getPassword() {
            return password;
        }
    
        public void setPassword(String password) {
            this.password = password;
        }
    }

      对应的struts.xml中action访问路径以及对应返回资源视图的配置,以及对应的各种jsp页面这里就不再贴代码了。 

     

      测试:

     

      在表单中,填写对应的用户名,密码,然后提交,会去访问/login,此访问地址,在shiro配置中为anon,故直接放行,去controller层的login方法,然后执行到subject.login(token);,会去MyRealm中执行doGetAuthenticationInfo()方法,去验证登录信息,验证后再返回到controller层的login方法中继续执行,根据不同的验证结果,返回对应的结果视图。

      登录成功后,在浏览器地址栏输入..../signOut,由于shiro配置文件为logout,则会执行登出操作,这个时候会去自定义SignOutFilter里面执行preHandle()方法,由于此时返回值是true,则还需要去执行controller层的signOut()方法。

      登录成功后,在浏览器地址栏输入.../authTest,由于shiro配置中为authc,则需要登录认证成功后才可以继续放行访问,由于已经登录成功,则可以访问成功,会继续执行controller层的authTest()方法;如果还未登录,在浏览器地址栏输入..../authTest,此时跳转到配置的登录页面。

      登录成功后,在在浏览器地址栏输入.../permissionTest,由于shiro配置中为perms[/permissionTest],则需要permission权限才可以继续访问,由于已经登录成功,则会去MyRealm中的doGetAuthorizationInfo()方法中进行授权认证,若授权成功,会继续执行controller层的permissionTest()方法;如果还未登录,在浏览器地址栏输入..../permissionTest,此时跳转到配置的登录页面。

    对于快速入门,要做到下面三个问题,就已经差不多了  

    1.什么是shiro?

    2.shiro可以用来干嘛?

    3.shiro如何使用?

      附上两张斌哥ppt中的图,这样会对认证与授权的整个流程有更清楚的认识:

      身份认证:

      身份授权:

    参考资料:

    https://blog.csdn.net/u013142781/article/details/50629708?utm_source=blogxgwz0-----Shiro安全框架入门篇(登录验证实例详解与源码)

    https://blog.csdn.net/swingpyzf/article/details/46342023/-------Apache Shiro 快速入门教程,shiro 基础教程

    https://www.cnblogs.com/Mick-mod/p/8942072.html------ssh框架整合shiro权限

    https://blog.csdn.net/shencange/article/details/73289801------使用shiro进行登录密码安全验证

    https://blog.csdn.net/chengxuzaza/article/details/72851707------shiro实现系统的退出功能

    https://blog.csdn.net/qq_34292044/article/details/79131199------Shiro实现logout操作

     

  • 相关阅读:
    升讯威微信营销系统开发实践:目录
    升讯威微信营销系统开发实践:订阅号和服务号深入分析( 完整开源于 Github)
    ASP.NET MVC (Razor)开发<<周报与绩效考核系统>>,并免费提供园友们使用~~~
    使用 SailingEase WinForm 框架构建复合式应用程序(插件式应用程序)
    vertica提取json字段值
    centos上配置redis从节点
    查看出网IP
    centos上tcp抓包
    修改centos服务器时区并同步最新时间
    解决centos下tomcat启动太慢 & JDBC连接oracle太慢的问题
  • 原文地址:https://www.cnblogs.com/eleven258/p/9815349.html
Copyright © 2011-2022 走看看