Shiro 入门
来源:互联网 发布:cnc用什么软件 编辑:程序博客网 时间:2024/06/09 23:05
一、 shiro的工作流程
( 图片来自开涛大神的 《跟我学Shiro》)
从图中我们可以得知Subject就是“用户” SecurityManager 这个安全管理中心是负责对Subject进行管理;我们只需要继承
AuthorizingRealm 这个类,重写doGetAuthenticationInfo()-- 登录验证方法和doGetAuthorizationInfo() -- 鉴权方法 实现逻辑即可二、 shiro的功能Shiro的具体功能点如下:(1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; (3)会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的; (4)加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储; (5)Web支持,可以非常容易的集成到Web环境; Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率; (6)shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去; (7)提供测试支持; (8)允许一个用户假装为另一个用户(如果他们允许)的身份进行访问; (9)记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
三、如何quickStart? 1. 首先我们需要添加Shiro的依赖<properties>
<shiro.version>1.3.2</shiro.version>
</properties>
<!--=====--><!--shiro dependences--><!--=====--><dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>${shiro.version}</version></dependency><dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>${shiro.version}</version></dependency><dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>${shiro.version}</version></dependency>
2.重写Ralm类 实现登录验证和授权的方法import org.apache.shiro.authc.*;import org.apache.shiro.authz.AuthorizationInfo;import org.apache.shiro.authz.SimpleAuthorizationInfo;import org.apache.shiro.realm.AuthorizingRealm;import org.apache.shiro.subject.PrincipalCollection;import java.util.Set;// 继承 AuthorizingRealm类 以重写授权和验证的方法; 当拦截到资源是在我们定义的路径时;shiro自动调用相对应的方法
public class ShiroRestRealm extends AuthorizingRealm { private final IAccountService accountService; public ShiroRestRealm(IAccountService accountService) { this.accountService = accountService; }// 支持的Token类型
@Override public boolean supports(AuthenticationToken token) { return token instanceof UsernamePasswordToken || token instanceof UserIDToken; } /** * 验证身份信息,但是这里不负责比对的逻辑,我们只需根据principle(原则)返回AuthenticationInfo(携带了用户名和密码) * 比对的逻辑将由shiro框架完成 * * 因为无状态,我们每次都要验证 * @param token * @return * @throws AuthenticationException */ @Override// 登录验证方法 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { SimpleAuthenticationInfo authInfo = null; if (token instanceof UsernamePasswordToken) { UsernamePasswordToken upToken = (UsernamePasswordToken) token; String account = upToken.getUsername(); final String passwd = accountService.findPasswd(account); authInfo = new SimpleAuthenticationInfo(account, passwd, getName()); }else if (token instanceof UserIDToken){ UserIDToken userIDToken= (UserIDToken) token; authInfo=new SimpleAuthenticationInfo(userIDToken.getUserId(),userIDToken.getUserId(),getName()); } return authInfo; } /** * 鉴权,无需比对 * 只需根据用户标识,返回其拥有的资源权限组合,比对的逻辑将由shiro框架完成。 * @param principals * @return */ //权限验证方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo simpleAuthorInfo = new SimpleAuthorizationInfo(); //userid String userId = (String) super.getAvailablePrincipal(principals); //userid可访问的所有url的集合 Set<String> permissions = accountService.findPermissionsById(userId); //添加至AuthorInfo simpleAuthorInfo.addStringPermissions(permissions); return simpleAuthorInfo; }}
三、 Shiro的配置
我们使用了Java代码的方式去配置Shiro 我们也可以使用XML的形式在Spring-shiro.XML中配置我们需要配置的内容
使用Java代码配置Shiro的方式:
@ImportResource("classpath:spring-context.xml")@Configuration // 可以认为这是spring配置的Java版public class ShiroConfig { /**<bean id="shiroFilter" class="ShiroFilterFactoryBean" /> * 总过滤器 * @param securityManager 依赖的安全管理器 * @param authcFilter 自定义权限过滤器 * */ @Bean @Autowired public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager, StatelessAuthcFilter authcFilter) { ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean(); /*<!-- securityManager --> <property name="securityManager" ref="securityManager" />*/ bean.setSecurityManager(securityManager); /*注册实际的拦截器*/ Map<String, Filter> filters = bean.getFilters(); filters.put("stateLessAuthcFilter", authcFilter);// 自定义的无状态http权限验证过滤器 filters.put("anon", new AnonymousFilter());// shiro提供不做任何处理的过滤器 filters.put("noSessionCreation", new NoSessionCreationFilter());// shiro提供的过滤器 // bean.setFilters(filters); /*登录跳转链接*/ bean.setLoginUrl("/rbac/account/login"); bean.setUnauthorizedUrl("/rbac/account/unauthorized"); /*-------------*/ /*不同的url用不同的过滤器拦截*/ bean.getFilterChainDefinitionMap().put("/rbac/account/login", "anon"); // 不拦截的写在前面 bean.getFilterChainDefinitionMap().put("/rbac/account/unauthorized*", "anon"); // 不拦截的写在前面 // 生产环境开启权限和身份验证 if (System.getProperty("spring.profiles.active") == null || System.getProperty("spring.profiles.active").equals("production")) { // 其余所有路径都会被拦截 bean.getFilterChainDefinitionMap().put("/**", "noSessionCreation,stateLessAuthcFilter"); // 添加路径拦截 } else { bean.getFilterChainDefinitionMap().put("/**", "anon"); } return bean; } @Bean public StatelessAuthcFilter authcFilter(AccountService accountService) { StatelessAuthcFilter authcFilter = new StatelessAuthcFilter(); authcFilter.setAccountService(accountService); return authcFilter; } @Bean @Autowired public DefaultWebSecurityManager securityManager(Realm realm) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(realm); final DefaultWebSessionManager sessionManager = new DefaultWebSessionManager(); sessionManager.setSessionIdCookieEnabled(false); sessionManager.setSessionValidationSchedulerEnabled(false); securityManager.setSessionManager(sessionManager); // 禁止session被创建 securityManager.setSubjectFactory(new DefaultWebSubjectFactory() { @Override public Subject createSubject(SubjectContext context) { context.setSessionCreationEnabled(false); return super.createSubject(context); } }); // 禁用使用Sessions 作为存储策略的实现 final DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO(); subjectDAO.setSessionStorageEvaluator(new DefaultSessionStorageEvaluator() { @Override public boolean isSessionStorageEnabled() { return false; } }); securityManager.setSubjectDAO(subjectDAO); SecurityUtils.setSecurityManager(securityManager); return securityManager; } @Bean @Autowired public Realm realm(@Qualifier("accountService") IAccountService accountService) { return new ShiroRestRealm(accountService); } @Bean public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() { return new LifecycleBeanPostProcessor(); } @Bean public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() { DefaultAdvisorAutoProxyCreator daap = new DefaultAdvisorAutoProxyCreator(); daap.setProxyTargetClass(true); return daap; } @Bean @Autowired public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) { AuthorizationAttributeSourceAdvisor aasa = new AuthorizationAttributeSourceAdvisor(); aasa.setSecurityManager(securityManager); return aasa; }}
XML配置方式如下、
<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd" default-lazy-init="true"> <description>Shiro Configuration</description> <!-- Shiro's main business-tier object for web-enabled applications --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="myShiroRealm" /> <property name="cacheManager" ref="cacheManager" /> </bean> <!-- 項目自定义的Realm --> <bean id="myShiroRealm" class="com.luo.shiro.realm.MyShiroRealm"> <property name="cacheManager" ref="cacheManager" /> </bean> <!-- Shiro Filter --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager" /> <property name="loginUrl" value="/login.jhtml" /> <property name="successUrl" value="/loginsuccess.jhtml" /> <property name="unauthorizedUrl" value="/error.jhtml" /> <property name="filterChainDefinitions"> <value> /index.jhtml = authc /login.jhtml = anon /checkLogin.json = anon /loginsuccess.jhtml = anon /logout.json = anon /** = authc </value> </property> </bean> <!-- 用户授权信息Cache --> <bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" /> <!-- 保证实现了Shiro内部lifecycle函数的bean执行 --> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" /> <!-- AOP式方法级权限检查 --> <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"> <property name="proxyTargetClass" value="true" /> </bean> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager" /> </bean> </beans>
注意以上两种方式由于细节问题 并不完全等同, 仅供参考;
这里有必要说清楚”shiroFilter” 这个bean里面的各个属性property的含义:
(1)securityManager:这个属性是必须的,没什么好说的,就这样配置就好。
(2)loginUrl:没有登录的用户请求需要登录的页面时自动跳转到登录页面,可配置也可不配置。
(3)successUrl:登录成功默认跳转页面,不配置则跳转至”/”,一般可以不配置,直接通过代码进行处理。
(4)unauthorizedUrl:没有权限默认跳转的页面。
(5)filterChainDefinitions,对于过滤器就有必要详细说明一下:
1)Shiro验证URL时,URL匹配成功便不再继续匹配查找(所以要注意配置文件中的URL顺序,尤其在使用通配符时),故filterChainDefinitions的配置顺序为自上而下,以最上面的为准
2)当运行一个Web应用程序时,Shiro将会创建一些有用的默认Filter实例,并自动地在[main]项中将它们置为可用自动地可用的默认的Filter实例是被DefaultFilter枚举类定义的,枚举的名称字段就是可供配置的名称
3)通常可将这些过滤器分为两组:
anon,authc,authcBasic,user是第一组认证过滤器
perms,port,rest,roles,ssl是第二组授权过滤器
注意user和authc不同:当应用开启了rememberMe时,用户下次访问时可以是一个user,但绝不会是authc,因为authc是需要重新认证的
user表示用户不一定已通过认证,只要曾被Shiro记住过登录状态的用户就可以正常发起请求,比如rememberMe
说白了,以前的一个用户登录时开启了rememberMe,然后他关闭浏览器,下次再访问时他就是一个user,而不会authc
4)举几个例子
/admin=authc,roles[admin] 表示用户必需已通过认证,并拥有admin角色才可以正常发起’/admin’请求
/edit=authc,perms[admin:edit] 表示用户必需已通过认证,并拥有admin:edit权限才可以正常发起’/edit’请求
/home=user 表示用户不一定需要已经通过认证,只需要曾经被Shiro记住过登录状态就可以正常发起’/home’请求
5)各默认过滤器常用如下(注意URL Pattern里用到的是两颗星,这样才能实现任意层次的全匹配)
/admins/**=anon 无参,表示可匿名使用,可以理解为匿名用户或游客
/admins/user/**=authc 无参,表示需认证才能使用
/admins/user/**=authcBasic 无参,表示httpBasic认证
/admins/user/**=user 无参,表示必须存在用户,当登入操作时不做检查
/admins/user/**=ssl 无参,表示安全的URL请求,协议为https
/admins/user/*=perms[user:add:]
参数可写多个,多参时必须加上引号,且参数之间用逗号分割,如/admins/user/*=perms[“user:add:,user:modify:*”]
当有多个参数时必须每个参数都通过才算通过,相当于isPermitedAll()方法
/admins/user/**=port[8081]
当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString
其中schmal是协议http或https等,serverName是你访问的Host,8081是Port端口,queryString是你访问的URL里的?后面的参数
/admins/user/**=rest[user]
根据请求的方法,相当于/admins/user/**=perms[user:method],其中method为post,get,delete等
/admins/user/**=roles[admin]
参数可写多个,多个时必须加上引号,且参数之间用逗号分割,如/admins/user/**=roles[“admin,guest”]
当有多个参数时必须每个参数都通过才算通过,相当于hasAllRoles()方法
上文参考了
http://blog.csdn.net/u013142781/article/details/50629708
http://www.cppblog.com/guojingjia2006/archive/2014/05/14/206956.html,更多详细说明请访问该链接。
3. web.xml配置 shiro的过滤器<filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <param-name>targetFilterLifecycle</param-name> <param-value>true</param-value> </init-param></filter>
<filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern></filter-mapping>
4. 接下来我们写Controller层代码就好了
@RequestMapping(value = "/login",method = {RequestMethod.GET,RequestMethod.POST})@ApiOperation(value = "登录验证", /*httpMethod = "GET",*/ /*response = Result.class,*/ notes = "登录验证")public Result login(Account account) { if (null == account.getAccount()) { return ResultGenerator.genFailResult("请登录"); } else { try { Map<String, Object> resultMap = new HashMap<>();//check 会报错 这个时候去调用自定义Ralm中的验证的方法;如果验证不通过,会抛出异常,如果捕捉到异常则认为验证失败 String serverToken = check(account); Integer userid = accountService.saveToken(account, serverToken); resultMap.put("userid", userid); resultMap.put("token", serverToken); return ResultGenerator.genSuccessResult(resultMap); } catch (AuthenticationException e) { // 失败 return ResultGenerator.genFailResult("登录失败"); } }private String check(Account account) { final String password = account.getPassword(); // 明文密码 /*数据库中存储的是md5+盐加密后的密码,因此这里要把加密后的密码传入*/ final String md5Password = MD5Util.md5(password, SysConst.SALT); AuthenticationToken token = new UsernamePasswordToken(account.getAccount(), md5Password); Subject currentSubject = SecurityUtils.getSubject(); currentSubject.login(token);// 这句话触发框架去访问Realm的doGetAuthenticationInfo String serverToken = UUID.randomUUID().toString().replaceAll("-", ""); return serverToken;}
- shiro入门
- shiro入门
- Shiro入门
- shiro入门
- shiro入门
- Shiro 入门
- Shiro 入门
- Shiro 入门
- Shiro 入门
- shiro入门
- shiro入门
- shiro入门
- shiro入门
- shiro入门
- Shiro入门(1)
- shiro入门(1)
- shiro入门实例
- shiro入门实例
- golang中struct和[]byte的相互转换
- 如何优雅地使用 Stack Overflow
- Effective Java 读书笔记(五):枚举和注解
- 音乐播放器操作
- 斐波那契数列(剑指Offer 第 7 题)
- Shiro 入门
- java------HelloWorld
- 利用uWSGI和Nginx部署Django
- centos非root用户(普通用户)安装rpm包
- 格雷编码-LintCode
- 数据库设计原则
- Easyui datagrid在线编辑的一个技巧,利用undefined
- eclipse的Console控制台不见了怎么办
- hdu 2444 The Accomodation of Students 【二分图匹配】