springMVC+shiro+mybatis

shiro介绍

一、什么是shiro

shiro是apache旗下的一个开源框架，它将软件系统的安全认证相关的功能抽取出来，实现用户身份认证，授权、加密、会话管理等功能，组成了一个通用的安全认证框架。Shiro可以非常容易的开发出足够好的应用，其不仅可以用在JavaSE环境，也可以用在JavaEE环境，它相当简单。

二、Apache Shiro 的架构：

其中三大核心：

1、Subject ：当前用户的操作

Subject即主体，外部应用与subject进行交互，subject记录了当前操作用户，将用户的概念理解为当前操作的主体，可能是一个通过浏览器请求的用户，也

可能是一个运行的程序。Subject在shiro中是一个接口，接口中定义了很多认证授相关的方法，外部程序通过subject进行认证授，而subject是通过

SecurityManager安全管理器进行认证授权

2、SecurityManager：用于管理所有的Subject

SecurityManager即安全管理器，对全部的subject进行安全管理，它是shiro的核心，负责对所有的subject进行安全管理。通过
SecurityManager可以完成subject的认证、授权等，实质上SecurityManager是通过Authenticator进行认证，通过Authorizer进行授权，

通过SessionManager进行会话管理等。

SecurityManager是一个接口，继承了Authenticator, Authorizer, SessionManager这三个接口。

3、Realms：用于进行权限信息的验证

Realm即领域，相当于datasource数据源，securityManager进行安全认证需要通过Realm获取用户权限数据，
比如：如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。
注意：不要把realm理解成只是从数据源取数据，在realm中还有认证授权校验的相关的代码。

其他组件：

 4、Authenticator：认证器，验证用户身份的过程.。

对用户身份进行认证，Authenticator是一个借口，shiro提供ModularRealmAuthenticator实现类，通过ModularRealmAuthenticator基本可以满足大多数需求，也可以自定义认证器。

5、Authorizer：授权器，授权访问控制。

用户通过认证器认证通过，在访问功能时需要通过授权器判断用户是否有此功能的操作权限。

6、sessionManager：会话管理

shiro框架定义了一套会话管理，它不依赖web容器的session，所以shiro可以使用在非web应用上，也可以将分布式应用的会话集中在一点管理，此特性可使它实现单点登录。

7、SessionDao：会话dao

是对session会话操作的一套接口，比如要将session存储到数据库，可以通过jdbc将会话存储到数据库。

8、CacheManager：缓存管理

缓存管理，将用户权限数据存储在缓存，这样可以提高性能。

9、Cryptography：密码管理

shiro提供了一套加密/解密的组件，方便开发。比如提供常用的散列、加/解密等功能。

三、认证流程和授权流程

认证流程：

构造SecurityManager环境——》Subject.login()提交认证——》SecurityManager.login()执行认证——》Authenticator执行认证——》Realm根据身份获取验证信息。

授权流程：

构造SecurityManager环境——》Subject.isPermitted()授权——》SecurityManager.isPermitted()执行授权——》Authorizer执行授权——》Realm根据身份获

取资源权限信息

四、shiro与SpringMVC整合

数据库：

CREATE TABLE `sys_permission` (  `id` bigint(20) NOT NULL COMMENT '主键',  `name` varchar(128) NOT NULL COMMENT '资源名称',  `type` varchar(32) NOT NULL COMMENT '资源类型：menu,菜单 permission菜单下的资源,',  `url` varchar(128) DEFAULT NULL COMMENT '访问url地址',  `percode` varchar(128) DEFAULT NULL COMMENT '权限代码字符串',  `parentid` bigint(20) DEFAULT NULL COMMENT '父结点id',  `parentids` varchar(128) DEFAULT NULL COMMENT '父结点id列表串',  `sortstring` varchar(128) DEFAULT NULL COMMENT '排序号',  `available` char(1) DEFAULT NULL COMMENT '是否可用,1：可用，0不可用',  PRIMARY KEY (`id`)) ENGINE=InnoDB DEFAULT CHARSET=utf8;

1.在web.xml添加shiroFilter

用shiro来管理拦截器

<!-- shiro过虑器，DelegatingFilterProx会从spring容器中找shiroFilter --><filter><filter-name>shiroFilter</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class><init-param><param-name>targetFilterLifecycle</param-name><param-value>true</param-value></init-param></filter><filter-mapping><filter-name>shiroFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping>

2.配置applicationContext-shiro.xml

并配置到web.xml的contextConfigLocation中

<!-- Shiro 的Web过滤器 --><bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"><property name="securityManager" ref="securityManager" /><!-- 如果没有认证将要跳转的登陆地址，http可访问的url，如果不在表单认证过虑器FormAuthenticationFilter中指定此地址就为身份认证地址 --><property name="loginUrl" value="/login.action" /><!-- 没有权限跳转的地址 --><property name="unauthorizedUrl" value="/refuse.jsp" /><!-- shiro拦截器配置 --><property name="filters"><map><entry key="authc" value-ref="formAuthenticationFilter" /></map></property><property name="filterChainDefinitions"><value><!-- 必须通过身份认证方可访问，身份认 证的url必须和过虑器中指定的loginUrl一致 -->/loginsubmit.action = authc<!-- 退出拦截，请求logout.action执行退出操作 -->/logout.action = logout<!-- 无权访问页面 -->/refuse.jsp = anon<!-- roles[XX]表示有XX角色才可访问 -->/item/list.action = roles[item],authc/js/** anon/images/** anon/styles/** anon<!-- user表示身份认证通过或通过记住我认证通过的可以访问 -->/** = user<!-- /**放在最下边，如果一个url有多个过虑器则多个过虑器中间用逗号分隔，如：/** = user,roles[admin] --></value></property></bean><!-- 安全管理器 --><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"><property name="realm" ref="userRealm" /></bean><!-- 自定义 realm --><bean id="userRealm" class="cn.ssm.realm.CustomRealm1"></bean><!-- 基于Form表单的身份验证过滤器，不配置将也会注册此过虑器，表单中的用户账号、密码及loginurl将采用默认值，建议配置 --><bean id="formAuthenticationFilter"class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter"><!-- 表单中账号的input名称 --><property name="usernameParam" value="usercode" /><!-- 表单中密码的input名称 --><property name="passwordParam" value="password" /><!-- <property name="rememberMeParam" value="rememberMe"/> --><!-- loginurl：用户登陆地址，此地址是可以http访问的url地址 --><property name="loginUrl" value="/loginsubmit.action" /></bean>

securityManager：这个属性是必须的。
loginUrl：没有登录认证的用户请求将跳转到此地址，不是必须的属性，不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。
unauthorizedUrl：没有权限默认跳转的页面。

3.自定义realm

用户ActiveUser

public class ActiveUser {private String userid;//用户id（主键）private String usercode;// 用户账号private String username;// 用户名称private List<SysPermission> menus;// 菜单private List<SysPermission> permissions;// 权限

自定义realm

public class CustomRealm1 extends AuthorizingRealm {@Autowiredprivate SysService sysService;@Overridepublic String getName() {return "customRealm";}// 支持什么类型的token@Overridepublic boolean supports(AuthenticationToken token) {return token instanceof UsernamePasswordToken;}@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {// 从token中获取用户身份String usercode = (String) token.getPrincipal();SysUser sysUser = null;try {sysUser = sysService.findSysuserByUsercode(usercode);} catch (Exception e) {// TODO Auto-generated catch blocke.printStackTrace();}// 如果账号不存在if (sysUser == null) {throw new UnknownAccountException("账号找不到");}// 根据用户id取出菜单List<SysPermission> menus = null;try {menus = sysService.findMenuList(sysUser.getId());} catch (Exception e) {// TODO Auto-generated catch blocke.printStackTrace();}// 用户密码String password = sysUser.getPassword();//盐String salt = sysUser.getSalt();// 构建用户身体份信息ActiveUser activeUser = new ActiveUser();activeUser.setUserid(sysUser.getId());activeUser.setUsername(sysUser.getUsername());activeUser.setUsercode(sysUser.getUsercode());activeUser.setMenus(menus);SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(activeUser, password, ByteSource.Util.bytes(salt),getName());return simpleAuthenticationInfo;}@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {//身份信息ActiveUser activeUser = (ActiveUser) principals.getPrimaryPrincipal();//用户idString userid = activeUser.getUserid();//获取用户权限List<SysPermission> permissions = null;try {permissions = sysService.findSysPermissionList(userid);} catch (Exception e) {// TODO Auto-generated catch blocke.printStackTrace();}//构建shiro授权信息SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();for(SysPermission sysPermission:permissions){simpleAuthorizationInfo.addStringPermission(sysPermission.getPercode());}return simpleAuthorizationInfo;}}

5.添加凭证匹配器

添加凭证匹配器实现md5加密校验。applicationContext-shiro.xml添加：

<!-- 凭证匹配器 --><bean id="credentialsMatcher"class="org.apache.shiro.authc.credential.HashedCredentialsMatcher"><property name="hashAlgorithmName" value="md5" /><property name="hashIterations" value="1" /></bean><!-- 自定义 realm --><bean id="userRealm" class="cn.ssm.realm.CustomRealm1"><property name="credentialsMatcher" ref="credentialsMatcher" /></bean>

6.开启对shiro注解支持

<!-- 开启aop，对类代理 --><aop:config proxy-target-class="true"></aop:config><!-- 开启shiro注解支持 --><beanclass="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"><property name="securityManager" ref="securityManager" /></bean>

在Controller中添加

@RequiresPermissions("item:query")

其中item:query是数据库中的权限代码字符串，在授权的时候会查询数据库进行查找。

7.配置缓存

在applicationContextr-shiro.xml中配置缓存

<!-- 安全管理器 --><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"><property name="realm" ref="userRealm" /><property name="sessionManager" ref="sessionManager" /><property name="cacheManager" ref="cacheManager"/></bean><!-- 缓存管理器 --><bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">    <property name="cacheManagerConfigFile" value="classpath:shiro-ehcache.xml"/>    </bean>

shiro-ehcache.xml：仅供参考

<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:noNamespaceSchemaLocation="../config/ehcache.xsd"><defaultCache maxElementsInMemory="1000" maxElementsOnDisk="10000000"eternal="false" overflowToDisk="false" diskPersistent="false"timeToIdleSeconds="120"timeToLiveSeconds="120" diskExpiryThreadIntervalSeconds="120"memoryStoreEvictionPolicy="LRU"></defaultCache></ehcache>

8.配置session管理

在applicationContextr-shiro.xml中配置session

<!-- 安全管理器 --><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"><property name="realm" ref="userRealm" /><property name="sessionManager" ref="sessionManager" /></bean><!-- 会话管理器 -->    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">        <!-- session的失效时长，单位毫秒 -->        <property name="globalSessionTimeout" value="600000"/>        <!-- 删除失效的session -->        <property name="deleteInvalidSessions" value="true"/>    </bean>

9.登录退出

登录；

//登陆提交地址，和applicationContext-shiro.xml中配置的loginurl一致@RequestMapping("login")public String login(HttpServletRequest request)throws Exception{//如果登陆失败从request中获取认证异常信息，shiroLoginFailure就是shiro异常类的全限定名String exceptionClassName = (String) request.getAttribute("shiroLoginFailure");//根据shiro返回的异常类路径判断，抛出指定异常信息if(exceptionClassName!=null){if (UnknownAccountException.class.getName().equals(exceptionClassName)) {//最终会抛给异常处理器throw new CustomException("账号不存在");} else if (IncorrectCredentialsException.class.getName().equals(exceptionClassName)) {throw new CustomException("用户名/密码错误");} else if("randomCodeError".equals(exceptionClassName)){throw new CustomException("验证码错误 ");}else {throw new Exception();//最终在异常处理器生成未知错误}}//此方法不处理登陆成功（认证成功），shiro认证成功会自动跳转到上一个请求路径//登陆失败还到login页面return "login";}

//系统首页@RequestMapping("/first")public String first(Model model)throws Exception{//从shiro的session中取activeUserSubject subject = SecurityUtils.getSubject();//取身份信息ActiveUser activeUser = (ActiveUser) subject.getPrincipal();//通过model传到页面model.addAttribute("activeUser", activeUser);return "/first";}

退出：不需要写退出，直接在shiro配置中添加，session由shiro管理。可以直接退出。

10.shiro过滤器和jsp标签

过滤器：

过滤器简称对应的java类
anon org.apache.shiro.web.filter.authc.AnonymousFilter
authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
perms org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port org.apache.shiro.web.filter.authz.PortFilter
rest org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl org.apache.shiro.web.filter.authz.SslFilter
user org.apache.shiro.web.filter.authc.UserFilter
logout org.apache.shiro.web.filter.authc.LogoutFilter




anon:例子/admins/**=anon 没有参数，表示可以匿名使用。
authc:例如/admins/user/**=authc表示需要认证(登录)才能使用，没有参数
roles：例子/admins/user/**=roles[admin],参数可以写多个，多个时必须加上引号，并且参数之间用逗号分割，当有多个参数时，例如admins/user/**=roles["admin,guest"],每个参数通过才算通过，相当于hasAllRoles()方法。
perms：例子/admins/user/**=perms[user:add:*],参数可以写多个，多个时必须加上引号，并且参数之间用逗号分割，例如/admins/user/**=perms["user:add:*,user:modify:*"]，当有多个参数时必须每个参数都通过才通过，想当于isPermitedAll()方法。
rest：例子/admins/user/**=rest[user],根据请求的方法，相当于/admins/user/**=perms[user:method] ,其中method为post，get，delete等。
port：例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等，serverName是你访问的host,8081是url配置里port的端口，queryString
是你访问的url里的？后面的参数。
authcBasic：例如/admins/user/**=authcBasic没有参数表示httpBasic认证


ssl:例子/admins/user/**=ssl没有参数，表示安全的url请求，协议为https
user:例如/admins/user/**=user没有参数表示必须存在用户，当登入操作时不做检查
注：
anon，authcBasic，auchc，user是认证过滤器，
perms，roles，ssl，rest，port是授权过滤器

jsp标签：

Jsp页面添加：
<%@ tagliburi="http://shiro.apache.org/tags" prefix="shiro" %>


标签名称 标签条件（均是显示标签内容）
<shiro:authenticated> 登录之后
<shiro:notAuthenticated> 不在登录状态时
<shiro:guest> 用户在没有RememberMe时
<shiro:user> 用户在RememberMe时
<shiro:hasAnyRoles name="abc,123" > 在有abc或者123角色时
<shiro:hasRole name="abc"> 拥有角色abc
<shiro:lacksRole name="abc"> 没有角色abc
<shiro:hasPermission name="abc"> 拥有权限资源abc
<shiro:lacksPermission name="abc"> 没有abc权限资源
<shiro:principal> 显示用户身份名称
 <shiro:principal property="username"/>     显示用户身份中的属性值


以上就是shiro和springmvc初步整合。