SSH下shiro的基本使用

1、引入依赖

<!-- 权限控制 框架 -->

<dependency>
  
　　<groupId>org.apache.shiro</groupId>
      
　　<artifactId>shiro-all</artifactId>
      
　　<version>1.2.2</version>
 
</dependency>

2、配置web.xml

<!--
    spring框架提供,整合shiro框架
    
　　　　　一定要在Struts拦截器之前配置
    
　　　　　DelegatingFilterProxy在创建过程中,依赖一个对象,这个对象必须在applicationContext.xml 文件中间注册,
    
　　　　　而且注册的时候声明的ID必须和DelegatingFilterProxy声明的filter-name保持一致
 
-->

<filter>
  
　　<filter-name>shiroFilterFactoryBean</filter-name>
  
　　<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

</filter>

<filter-mapping>
  
　　<filter-name>shiroFilterFactoryBean</filter-name>
  
　　<url-pattern>/*</url-pattern>

</filter-mapping>

3、配置applicationContext.xml,配置全局权限

    <!-- 初始化shiro框架提供的过滤器 -->
    <bean id="shiroFilterFactoryBean" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 注入安全管理器 -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 权限认证的页面,登录页面 -->
        <property name="loginUrl" value="/login.html"/>
        <!-- 权限认证成功以后要跳转的页面 -->
        <property name="successUrl" value="/index.html"/>
        <!-- 权限认证失败(权限不足)以后要跳转的页面 只对拦截器生效,不对注解起效-->
        <property name="unauthorizedUrl" value="/unauthorizedUrl.html"/>
        <!--指定拦截规则-->
        <property name="filterChainDefinitions" >
            <!--
                authc:框架提供的过滤器,有权限就放行,没有权限就拦截
                anon:框架提供的过滤器,可以匿名访问
                perms:框架提供的过滤器,用户请求资源的时候,会去检查用户是否拥有对应的权限,如果有就放行,没有,跳转到unauthorizedUrl属性指定的页面
                拦截的规则执行的时候是从上往下执行的,一旦有一个规则匹配成功.后面的规则就不再执行了
                拦截规则不能折行
            -->
            <value>
                /webService/** = anon
                /upload/* = anon
                /css/* = anon
                /data/* = anon
                /images/* = anon
                /js/** = anon
                /validatecode.jsp* = anon
                /userAction_login.action = anon
                /courierAction_pageQuery.action = perms["courierAction_pageQuery"]
                /** = authc
            </value>
        </property>

    </bean>
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!-- 配置realm类 -->
        <property name="realm" ref="userRealm"/>
    </bean>

4、配置applicationContext.xml开启cglib代理，启动shiro权限注解扫描

    <!--
        开启事务注解
        JDK代理
        CGLib代理方式
        proxy-target-class:true 使用cglib代理
        proxy-target-class:false 使用jdk代理
    -->
    <tx:annotation-driven proxy-target-class="true" transaction-manager="transactionManager" />

    <!--基于spring的自动代理,创建service层的实现-->
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
        <!--开启cglib 代理-->
        <property name="proxyTargetClass" value="true"/>
    </bean>
    <!--配置切面-->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <!--注入安全管理器 -->
        <property name="securityManager" ref="securityManager"/>
    </bean>

5、在action层中创建subject，交由Security Manager进行权限校验

    @Action(value = "userAction_login",results = {
            @Result(name = "success",location = "/index.html",type = "redirect"),
            @Result(name = "error",location = "/login.html",type = "redirect")
    })
    public String login(){
        String serverCode = (String) ServletActionContext.getRequest().getSession().getAttribute("key");

        if (StringUtils.isNotEmpty(checkCode) && StringUtils.isNotEmpty(serverCode)){
            Subject subject = SecurityUtils.getSubject();

            AuthenticationToken token = new UsernamePasswordToken(
                    getModel().getUsername(),getModel().getPassword());

            try {
                subject.login(token);
                //方法的返回值有Realm中doGetAuthenticationInfo方法定义SimpleAuthenticationInfo对象的时候,第一个参数决定的
                User user = (User) subject.getPrincipal();
                ServletActionContext.getRequest().getSession().setAttribute("user",user);
                return SUCCESS;
            } catch (AuthenticationException e) {
                e.printStackTrace();
                System.out.println("用户名或密码错误");
            }
        }
        return ERROR;
    }

6、创建realm进行授权认证等

@Component
public class UserRealm extends AuthorizingRealm{

    @Autowired
    private UserRepository userRepository;

    @Autowired
    private RoleRepository roleRepository;

    @Autowired
    private PermissionRepository permissionRepository;

    //授权的方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //根据当前用户的用户名去查询对应的权限和角色
        Subject subject = SecurityUtils.getSubject();
        User user = (User) subject.getPrincipal();
        if ("admin".equals(user.getUsername())){
            List<Role> list = roleRepository.findAll();
            for (Role role : list) {
                info.addRole(role.getKeyword());
            }

            List<Permission> permissions = permissionRepository.findAll();
            for (Permission permission : permissions) {
                info.addStringPermission(permission.getKeyword());
            }
        }else {
           List<Role> roles =roleRepository.findbyUid(user.getId());
            for (Role role : roles) {
                info.addRole(role.getKeyword());
            }
            List<Permission> permissions = permissionRepository.findbyUid(user.getId());
            for (Permission permission : permissions) {
                info.addStringPermission(permission.getKeyword());
            }
        }

        return info;
    }
    //认证的方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken authenticationToken) throws AuthenticationException {

        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) authenticationToken;
        String username = usernamePasswordToken.getUsername();
        //根据用户名查找用户
        User user = userRepository.findByUsername(username);
        if (user != null){

    /*@param principal   当事人,主体,通常是从数据库中查询到的用户
     * @param credentials 凭证,密码,是从数据库中查询出来的密码
     * @param realmName   the realm from where the principal and credentials were acquired.*/
            //找到 -> 对比密码
            AuthenticationInfo info =  new SimpleAuthenticationInfo(user,user.getPassword(),getName());
            //      比对成功-> 执行后续的逻辑
            //      比对失败-> 抛异常
            return info;
        }
        //找不到 -> 抛异常
        return null;
    }
}

7、给对应的方法添加权限注解（一般在service层）

    @RequiresPermissions("batchDel")
    //在调用方法时,框架就会检查当前用户是否有对应的权限,如果有就放行,没有就抛异常,启用权限注解必须开启CGLib
    @Override
    public void batchDel(String ids) {
        if(StringUtils.isNotEmpty(ids)){
            String[] strings = ids.split(",");
            for (String string : strings) {
                courierRepository.updateDelTagsById(Long.parseLong(string));
            }
        }
    }

8、给对应的jsp页面添加权限标签进行显示隐藏

 <shiro:hasPermission name="courierAction_pageQuery">
 {
    id : 'button-delete',
    text : '作废',
    iconCls : 'icon-cancel',
    handler : doDelete
 }
 </shiro:hasPermission>

9、一般页面的显示的逻辑是：根据用户所有拥有的角色和权限进行动态生成菜单，从而只显示用户可操作的页面。