在Web项目中使用shiro

1.先导入所需要的依赖包

2.【shiro-web】依赖库引用完成之后，需要修改web.xml配置文件

　　• 进行shiro整合一定要在web.xml配置文件中配置一个Shiro环境监听器

　　• 在任何一个shiro项目里面都睡存在有一个shiro.ini配置文件，需要在web.xml配置文件中为其追加一个配置的过滤器

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
                      http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
         version="4.0">
  <listener><!--shiro环境监听器-->
    <listener-class>
      org.apache.shiro.web.env.EnvironmentLoaderListener
    </listener-class>
  </listener>
  <filter><!--过滤shiro.ini配置文件-->
    <filter-name>ShiroFilter</filter-name>
    <filter-class>
      org.apache.shiro.web.servlet.ShiroFilter
    </filter-class>
    <init-param>
      <param-name>configPath</param-name>
      <param-value>classpath:shiro.ini</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>ShiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
    <dispatcher>FORWARD</dispatcher>
    <dispatcher>INCLUDE</dispatcher>
    <dispatcher>ERROR</dispatcher>
  </filter-mapping>
</web-app>

3.src/main/resources/目录下的shiro.ini配置文件：ini文件中主要配置有四大类：main，users，roles，urls

　　● main：配置shiro对象，例如securityManager，Realm，authenticator，autchStrategy等等

　　● users：配置静态的用户信息，包含用户名，密码，角色，一个用户可以拥有多个角色。如：lee=hello,member,dept　　其中lee为用户名，hello为密码，member和dept为角色

　　● roles：定义角色与权限的关联。如：member=member:add,member:list,member:edit　　其中代表着member角色下的add，list和edit权限

　　● urls：配置主要在web应用中，格式为：url=拦截器[参数],拦截器[参数],...。如：/login.jsp=anon

4.自定义Realm：

　　● 自定义Realm一定要实现Realm接口并覆写其中的三个方法，例如以下代码

package com.yootk.shiro.realm;

import org.apache.shiro.authc.*;
import org.apache.shiro.realm.Realm;

public class MyselfDefaultRealm implements Realm {
    private static int count = 0 ;
    @Override
    public String getName() {   // 获取Realm的名称
        return "my-happy-realm - " + count++;
    }

    @Override
    public boolean supports(AuthenticationToken token) {    // 判断当前的Token是否可以使用此Realm
        return token instanceof UsernamePasswordToken; // 当前Realm只支持“UsernamePasswordToken”类型
    }

    @Override
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String mid = (String) token.getPrincipal() ;    // 获取用户名
        String password = new String((char[]) token.getCredentials()) ; // 获取密码
        if (!"lee".equals(mid)) {   // 此时用户名不存在
            throw new UnknownAccountException("【"+mid+"】该用户信息不存在，请确认输入的用户名！") ;
        }
        if (!"hello".equals(mid)) { // 密码不正确
            throw new IncorrectCredentialsException("错误的用户名或密码！") ;
        }
        return new SimpleAuthenticationInfo(token.getPrincipal(),token.getCredentials(),this.getName()) ;
    }
}

　　● 编写完自定义Ream类之后需要在shiro.ini配置文件中配置一下

[main]
#要想让自定义的Realm生效一定要配置这两项
# 将自定义的Realm定义在配置文件之中，表示此类的对象将由Shiro类负责实例化
myselfRealm=com.yootk.shiro.realm.MyselfDefaultRealm
# 此时的配置就表示调用了SecurityManager子类中的setRealms()方法进行设置，内部引用使用“$”符号
securityManager.realms=$myselfRealm
[urls]
#web项目一定要设置过滤链，否则会报缺少FilterChainResolver
/login.jsp=anon

5.配置JDBC认证信息，系统里面不仅仅只包含有自定义Realm，同时还提供有一种JdbcRealm程序，这类程序的最大特点是可以直接进行数据库的认证信息。

　　● 想使用JdbcRealm，首先需要修改pom.xml配置文件引入mysql-connector-java依赖包

　　● 修改shiro.ini配置文件，引入JdbcRealm进行程序的处理

[main]
# 定义当前项目之中要使用的DataSource，此时的DataSource为MySQL驱动自带
dataSource=com.mysql.jdbc.jdbc2.optional.MysqlDataSource
#dataSource.url=jdbc:mysql://localhost:3306/yootk_authentication
dataSource.serverName=localhost
dataSource.port=3306
dataSource.databaseName=yootk_authentication
dataSource.user=root
dataSource.password=mysqladmin
# 定义JdbcRealm类型，为当前的使用Realm
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
# 为JdbcRealm设置要使用的数据源
jdbcRealm.dataSource=$dataSource
# 设置数据库的查询操作指令
jdbcRealm.authenticationQuery=SELECT password FROM member WHERE mid=? AND locked=0
# 将当前使用的Realm整合在SecurityManager之中
securityManager.realms=$jdbcRealm
[urls]
/login.jsp=anon

6.Realm与Subject与token与SececurityManager与SecurityUtils的关系

　　● 首先创建一个SececurityManager的实例

　　● Realm设置数据源，读取shiro.ini文件

　　● SececurityManager的实例设置上具体的Realm对象

　　● SecurityUtils设置上SececurityManager的实例

　　● 通过SecurityUtils.getSubect获得Subject的对象

　　● 实例化对象token并向token中存入用户名和密码

　　● 采用subject.login(token)认证

package com.yootk.test;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;

public class TestShiroBase {
    public static final String USERNAME = "lee" ;   // 假设此处内容为输入数据
    public static final String PASSWORD = "hello" ;  // 假设此处内容为输入数据
    @Test
    public void testAuth() throws Exception {

        // 1、创建一个SececurityManager接口类的对象实例，使用子类为了设置realm
        DefaultSecurityManager securityManager = new DefaultSecurityManager() ;
        // 2、所有的认证信息都保存在shiro.ini文件，这个文件存储在CLASSPATH目录下；
        Realm realm = new IniRealm("classpath:shiro.ini") ;
        // 3、此时的SecurityManager需要设置上具体的realm对象信息
        securityManager.setRealm(realm);
        // 4、如果要想进行数据的认证处理，还需要获取SecurityUtils工具类
        SecurityUtils.setSecurityManager(securityManager); // 设置安全管理类实例
        // 5、如果要继续用户认证处理，则首先一定要获取一个Subject（用户）
        Subject subject = SecurityUtils.getSubject();
        // 6、利用一个专属的认证Token的结构包装输入的用户名与密码信息
        AuthenticationToken token = new UsernamePasswordToken(USERNAME,PASSWORD) ;
        // 7、利用Subject实现最终的用户认证处理操作
        subject.login(token); // 进行认证操作
        System.out.println("用户名：" + subject.getPrincipal());
    }
}

7.以后开发的时候编写自定义Realm类的时候一般会继承AuthorizingRealm类，然后覆写其中的认证和授权方法。

　　● 认证方法是doGetAuthenticationInfo()：参数类型.getPrincipal()是获取用户名，参数类型.getCredentials()是获取密码，返回值类型是new SimpleAuthenticationInfo(token.getPrincipal(),token.getCredentials(),this.getName());

　　● 授权方法是doGetAuthorizationInfo()：SimpleAuthorizationInfo authz = new SimpleAuthorizationInfo() ; // 返回的授权信息　　；authz.setRoles(map.get("allRoles"));//设置角色；authz.setStringPermissions(map.get("allActions"));//设置权限；return authz;//返回对象

package com.yootk.shiro.realm;

import com.yootk.shiro.service.IMemberService;
import com.yootk.shiro.service.impl.MemberServiceImpl;
import com.yootk.shiro.vo.Member;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

// 实现用户认证与授权处理的操作
public class MemberRealm extends AuthorizingRealm {
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 本处的程序要进行用户认证的处理操作
        System.out.println("【MemberRealm】============== 用户认证处理 ==============");
        String mid = (String) token.getPrincipal() ;
        IMemberService memberService = new MemberServiceImpl() ; // 获取业务层接口实例
        Member member = memberService.get(mid) ; // 根据mid查询用户信息
        if (member == null) {   // 用户信息不存在
            throw new UnknownAccountException(mid + "账户信息不存在！") ;
        }
        String password = new String((char[]) token.getCredentials()) ;
        if (!member.getPassword().equals(password)) {   // 密码不同
            throw new IncorrectCredentialsException("错误的用户名或密码！");
        }
        if (member.getLocked().equals(1)) { // 用户锁定了
            throw new LockedAccountException(mid + "账户已经被锁定！");
        }
        return new SimpleAuthenticationInfo(token.getPrincipal(),token.getCredentials(),this.getName());
    }
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("【MemberRealm】============== 用户授权处理 ==============");
        return null;
    }

}

8.Shiro页面标签，修改welcome.jsp，采用shiro.jsp标签来进行控制

　　● 采用标签输出用户名：

<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %><!--首先要导入此标签-->
<h1>用户登录成功，欢迎“<shiro:principal/>”光临"</h1>

　　● 在用户登录界面上，根据用户是否登录过来进行表单是否显示的判断，采用如下标签用来判断用户的登录状态：

<shiro:authenticated>
    <h3>您已经登录过了！</h3>
</shiro:authenticated>

　<shiro:notAuthenticated>
　　　　<h3>您还未登录，显示登录表单！</h3>
   </shiro:notAuthenticated>

　　● 进行用户授权的检测处理：

<shiro:hasPermission name="member:add">
    <h3>当前用户拥有“member:add”的权限！</h3>
</shiro:hasPermission>

9.路径访问策略：

　　● 下面这些属性对应的都是后面配置文件中的拦截器

　　　　● anon 允许匿名访问，不登录也可以访问

　　　　● authc 认证用户可以访问

　　　　● logout 注销访问

　　　　● noSessionCreation 第一次允许访问（如果没有session可以访问，如果有session可以访问）

　　　　● perms 权限检测访问

　　　　● roles 角色检测访问

　　　　● ssl ssl访问，检测http协议

　　　　● user RememberMe用户访问

　　　　例如下面的shiro.ini文件：

[main]
# 将自定义的Realm直接出现在当前的程序之中
memberRealm=com.yootk.shiro.realm.MemberRealm
# 将当前使用的Realm整合在SecurityManager之中
securityManager.realms=$memberRealm
# 当路径检测失败的时候，应该跳转到登录页面，此处设置登录页面路径
shiro.loginUrl=/login.jsp
[users]
admin=hello,member,dept
lee=hello,member
[roles]
member=member:add,member:list,member:edit
dept=dept:add,dept:list,dept:edit
[urls]
/login.jsp=anon
/pages/**=authc,roles[member],perms["member:add"]

　　● 如果要想使用这些进行访问处理，那么还需要进行一些良好的路径匹配，就可以使用以下通配符：

　　　　● "?"：匹配任意的0个或1个的内容，例如："/pages?"表示"/pages1"，"/pages2"匹配

　　　　● "*"：匹配任意的0个，1个或多个内容，例如："/pages*"表示"/pages"，"/pageslee"都可以匹配

　　　　● "**"：匹配任意级的目录，例如："/pages/**"表示匹配"/pages/"下的所有路径，如：/pages/**=authc

　　● 除了路径匹配之外，也可以进行角色或权限的匹配：

　　　　如：/pages/**=authc,roles[member],perms["member:add"]