写在前面:
最近项目中使用了Shiro,虽然不是自己在负责这一块,但还是抽空学习了下,也可以让自己对shiro有基本的了解。毕竟Shiro安全框架在项目中还是挺常用的。
对于Apache Shiro的基本概念就不在这里一一描述了,资料网上都有,主要还是记录下代码相关的,能够先让自己快速学会使用。
这里的demo(可以测试登录认证,登出,以及授权)主要使用的是ssh框架,所以前提是要将ssh的项目框架搭起来,并导入shiro相关的jar包,然后才是编写配置shiro的相关代码。
1.shiro相关配置文件的编写
web.xml
- <!-- shiro 过滤器 start -->
- <!--spring容器查找名字为shiroFilter(filter-name)的bean并把所有Filter的操作委托给它。-->
- <filter>
- <filter-name>shiroFilter</filter-name>
- <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
- <!-- 设置true由servlet容器控制filter的生命周期 -->
- <init-param>
- <param-name>targetFilterLifecycle</param-name>
- <param-value>true</param-value>
- </init-param>
- </filter>
- <filter-mapping>
- <filter-name>shiroFilter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
- <!-- shiro 过滤器 end -->
shiro的配置文件applicationContext-shiro.xml
- <?xml version="1.0" encoding="UTF-8"?>
- <beans xmlns="http://www.springframework.org/schema/beans"
- xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
- xsi:schemaLocation="http://www.springframework.org/schema/beans
- http://www.springframework.org/schema/beans/spring-beans-4.0.xsd">
-
- <!--配置自定义Realm,需要继承AuthorizingRealm-->
- <bean id="myRealm" class="com.myshiro.shiro.MyRealm">
- </bean>
-
- <!--配置SecurityManager-->
- <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
- <property name="realm" ref="myRealm"/>
- </bean>
-
- <!--实现自己的登出过滤器-->
- <bean id="signOutFilter" class="com.myshiro.shiro.SignOutFilter">
- <!--配置登出重定向的路径-->
- <property name="redirectUrl" value="/logout.jsp"/>
- </bean>
-
- <!-- 配置 ShiroFilter bean: 该 bean 的 id 必须和 web.xml 文件中配置的 shiro filter 的 name 一致 -->
- <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
- <property name="securityManager" ref="securityManager"/>
- <!--配置登录页面,当未认证发送请求时,默认跳转的页面,即登录页面-->
- <property name="loginUrl" value="/views/login.jsp"/>
- <!--没有授权默认跳转的页面-->
- <property name="unauthorizedUrl" value="/noPermission.jsp"/>
- <!--配置登出过滤器-->
- <property name="filters">
- <map>
- <entry key="logout" value-ref="signOutFilter"></entry>
- </map>
- </property>
- <!--配置资源过滤器链-->
- <property name="filterChainDefinitions">
- <value>
- <!--anon表示不拦截,直接放行-->
- /login = anon
- <!-- authc 表示需要认证后才能访问,即需要登录后才可以访问,否则跳转到上面配置的登录页面-->
- /authTest = authc
- <!-- perms 表示需要有对应的权限才能访问的,
- 此处perms表示要登录认证成功,并且有对应的pernissionTest权限才可以进行访问
- 浏览器输入../permissionTest,回车,如果没有通过登录认证,则跳转到上面配置的登录页面;否则去进行授权验证,
- 如果,授权验证没有通过,则跳转到上面配置的未授权跳转的页面,否则可以访问对应的资源
- -->
- /permissionTest = perms[/permissionTest]
- <!--当角色是admin的时候才可以访问-->
- /permissionTest2 = roles[admin]
- <!--表示在访问url为signOut时,此时会执行登出logout操作,
- 这里如果不自定义登出过滤器,会默认使用LogoutFilter过滤器来自动完成登出操作,并不需要实现controller层对应的signOut方法
- 也可以自定义登出过滤器,需要继承LogoutFilter过滤器,这里我自定义了登出过滤器
- -->
- /signOut = logout
- </value>
- </property>
- </bean>
-
- </beans>
配置完后,记得使用<import resource="classpath:configs/applicationContext-shiro.xml"/>将其导入进spring配置文件中。
2.自定义实现的Realm
- public class MyRealm extends AuthorizingRealm{
- @Resource
- private UserService userService;
- /**
- * 授权
- * 此方法 只有在shiro的配置文件中配置了权限才会进行调用,例如配置了role,permission
- * @param pc
- * @return
- */
- @Override
- protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc) {
- //根据自己系统规则的需要编写获取授权信息,这里为了快速入门只获取了用户对应角色的资源url信息
- //获取当前登录输入的用户名
- String username = (String) pc.fromRealm(getName()).iterator().next();
- if (username != null) {
- User user = null;
- try {
- //根据用户名查询对应的user
- user = userService.getByUserName(username);
- } catch (Exception e) {
- e.printStackTrace();
- }
- //根据用户获取对应的role,根据role获取对应的permission
- Set<Role> roleSet = user.getRoleSet();
- List<String> pers = new ArrayList<>();
- for(Role r:roleSet){
- Set<Permission> permissionSet = r.getPermissionSet();
- for(Permission p:permissionSet){
- pers.add(p.getUrl());
- }
- }
- if (pers != null && !pers.isEmpty()) {
- SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
- for (String each : pers) {
- //将权限资源添加到用户信息中 会与配置文件中配置的对应权限做对比
- info.addStringPermission(each);
- }
- return info;
- }
- }
- return null;
- }
- /**
- * 认证,登录验证
- * @param at
- * @return
- * @throws AuthenticationException
- */
- @Override
- protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken at) throws AuthenticationException {
- //获取存进shiro token中的用户信息,(token里的信息在Controller层的login方法里存的)
- UsernamePasswordToken token = (UsernamePasswordToken) at;
- String username = token.getUsername();
- if (username != null && !"".equals(username)) {
- User user = null;
- try {
- //根据用户名去数据库中查询对应的user
- user = userService.getByUserName(username);
- if (user != null) {
- //将数据库中的用户名,密码拿去和存在shiro token中的用户输入的用户名,密码做对比
- return new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(), getName());
- }
- } catch (Exception e) {
- e.printStackTrace();
- }
- }
- return null;
- }
- }
3.自定义实现的LogoutFilter
- public class SignOutFilter extends LogoutFilter{
- @Override
- protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
- Subject subject = getSubject(request,response);
- String redirectUrl = getRedirectUrl(request,response,subject);
- try{
- subject.logout();
- }catch (Exception e){
- e.printStackTrace();
- }
- issueRedirect(request,response,redirectUrl);
- //这里返回false 代表不再去执行controller层的方法,
- // true代表还会去执行(如果需要在登出的controller里自定义一些东西,例如清除session或者cookie的一些信息,
- // 这个时候只需要返回true)
- return true;
- }
- }
4.Controller层的相关方法
- @Controller("LoginAction")
- public class LoginAction extends BaseAction{
- @Resource
- private UserService userService;
- //接收表单填写的用户名 密码
- private String userName;
- private String password;
- public String login(){
- Subject subject = SecurityUtils.getSubject();
- //判断当前登录用户是否已经被认证,即是否已经登录了,如果已经登录了,再次发送登录的请求,就不再进行认证了
- if(!subject.isAuthenticated()){
- //没有登录 进行登录认证
- //将登录的用户名,密码存进shiro token中
- UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
- try{
- //去自己的MyRealm类中执行doGetAuthenticationInfo()方法,进行登录认证
- subject.login(token);
- } catch ( UnknownAccountException e ) {
- System.out.println("用户未注册!");
- return "error";
- } catch ( IncorrectCredentialsException e ) {
- System.out.println("密码错误!!");
- return "error";
- } catch ( LockedAccountException e ) {
- System.out.println("该账户不可用~");
- return "error";
- } catch ( ExcessiveAttemptsException e ) {
- System.out.println("尝试次数超限!!");
- return "error";
- }
- return "success";
- }
- return "success";
- }
- //认证测试
- public void authTest(){
- System.out.println("authTest------进来了");
- }
- //权限授权测试
- public void permissionTest(){
- System.out.println("permissionTest--------进来了");
- }
- //登出测试
- public String signOut(){
- System.out.println("controller---登出---------");
- //实现对session或者其他信息的清除
- return "success";
- }
- @Override
- public String getUserName() {
- return userName;
- }
- public void setUserName(String userName) {
- this.userName = userName;
- }
- public String getPassword() {
- return password;
- }
- public void setPassword(String password) {
- this.password = password;
- }
- }
对应的struts.xml中action访问路径以及对应返回资源视图的配置,以及对应的各种jsp页面这里就不再贴代码了。
测试:
在表单中,填写对应的用户名,密码,然后提交,会去访问/login,此访问地址,在shiro配置中为anon,故直接放行,去controller层的login方法,然后执行到subject.login(token);,会去MyRealm中执行doGetAuthenticationInfo()方法,去验证登录信息,验证后再返回到controller层的login方法中继续执行,根据不同的验证结果,返回对应的结果视图。
登录成功后,在浏览器地址栏输入..../signOut,由于shiro配置文件为logout,则会执行登出操作,这个时候会去自定义SignOutFilter里面执行preHandle()方法,由于此时返回值是true,则还需要去执行controller层的signOut()方法。
登录成功后,在浏览器地址栏输入.../authTest,由于shiro配置中为authc,则需要登录认证成功后才可以继续放行访问,由于已经登录成功,则可以访问成功,会继续执行controller层的authTest()方法;如果还未登录,在浏览器地址栏输入..../authTest,此时跳转到配置的登录页面。
登录成功后,在在浏览器地址栏输入.../permissionTest,由于shiro配置中为perms[/permissionTest],则需要permission权限才可以继续访问,由于已经登录成功,则会去MyRealm中的doGetAuthorizationInfo()方法中进行授权认证,若授权成功,会继续执行controller层的permissionTest()方法;如果还未登录,在浏览器地址栏输入..../permissionTest,此时跳转到配置的登录页面。
对于快速入门,要做到下面三个问题,就已经差不多了
1.什么是shiro?
2.shiro可以用来干嘛?
3.shiro如何使用?
参考资料:
https://blog.csdn.net/u013142781/article/details/50629708?utm_source=blogxgwz0-----Shiro安全框架入门篇(登录验证实例详解与源码)
https://blog.csdn.net/swingpyzf/article/details/46342023/-------Apache Shiro 快速入门教程,shiro 基础教程
https://www.cnblogs.com/Mick-mod/p/8942072.html------ssh框架整合shiro权限
https://blog.csdn.net/shencange/article/details/73289801------使用shiro进行登录密码安全验证
https://blog.csdn.net/chengxuzaza/article/details/72851707------shiro实现系统的退出功能
https://blog.csdn.net/qq_34292044/article/details/79131199------Shiro实现logout操作
经验首页