采用shiro实现登录认证与权限授权管理

Shiro 是Shiro 是一个 Apache 下的一开源项目项目，旨在简化身份验证和授权。

本文中记录的是一次使用shiro实现登录认证与权限授权的过程。

本文中主要用的技术有：

spring,springMVC,maven,shiro

1 shiro的配置，通过maven加入shiro相关jar包

<!-- shiro --><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-core</artifactId><version>1.2.1</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-web</artifactId><version>1.2.1</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-ehcache</artifactId><version>1.2.1</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring</artifactId><version>1.2.1</version></dependency>

2 在web.xml中添加shiro过滤器

<?xml version="1.0" encoding="UTF-8"?><web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:javaee="http://java.sun.com/xml/ns/javaee"xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"id="WebApp_ID" version="2.4"><!-- 配置spring容器监听器 --><span style="color:#ff6666;"><context-param><param-name>contextConfigLocation</param-name><param-value>classpath:application-context-*.xml</param-value></context-param><listener><listener-class>org.springframework.web.context.ContextLoaderListener</listener-class></listener></span><!-- post乱码处理 --><filter><filter-name>CharacterEncodingFilter</filter-name><filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class><init-param><param-name>encoding</param-name><param-value>utf-8</param-value></init-param></filter><filter-mapping><filter-name>CharacterEncodingFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping><!-- 配置shiro的核心拦截器 --><span style="white-space:pre"></span><filter><filter-name>shiroFilter</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class></filter><filter-mapping><filter-name>shiroFilter</filter-name><url-pattern>/admin/*</url-pattern></filter-mapping><!-- 配置后台Springmvc 它拦截.do结尾的请求 --><servlet><servlet-name>back</servlet-name><servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class><init-param><param-name>contextConfigLocation</param-name><param-value>classpath:springmvc.xml</param-value></init-param></servlet><servlet-mapping><servlet-name>back</servlet-name><url-pattern>*.do</url-pattern></servlet-mapping><display-name>Archetype Created Web Application</display-name></web-app>

3 spring中对shiro配置

<beans xmlns="http://www.springframework.org/schema/beans"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:mvc="http://www.springframework.org/schema/mvc"xmlns:context="http://www.springframework.org/schema/context"xmlns:aop="http://www.springframework.org/schema/aop" xmlns:tx="http://www.springframework.org/schema/tx"xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc-3.2.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.2.xsd http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-3.2.xsd http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-3.2.xsd "><!-- web.xml中shiro的filter对应的bean --><bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"><!-- 管理器，必须设置 --><property name="securityManager" ref="securityManager" /><!-- 拦截到，跳转到的地址,通过此地址去认证 --><property name="loginUrl" value="/admin/login.do" /><!-- 认证成功统一跳转到/admin/index.do，建议不配置，shiro认证成功自动到上一个请求路径 --><property name="successUrl" value="/admin/index.do" /><!-- 通过unauthorizedUrl指定没有权限操作时跳转页面 --><property name="unauthorizedUrl" value="/refuse.jsp" /><!-- 自定义filter，可用来更改默认的表单名称配置 --><property name="filters"><map><!-- 将自定义 的FormAuthenticationFilter注入shiroFilter中 --><entry key="authc" value-ref="formAuthenticationFilter" /></map></property><property name="filterChainDefinitions"><value><!-- 对静态资源设置匿名访问 -->/images/** = anon/js/** = anon/styles/** = anon<!-- 验证码，可匿名访问 -->/validatecode.jsp = anon<!-- 请求 logout.do地址，shiro去清除session -->/admin/logout.do = logout<!--商品查询需要商品查询权限 ，取消url拦截配置，使用注解授权方式 --><!-- /items/queryItems.action = perms[item:query] /items/editItems.action = perms[item:edit] --><!-- 配置记住我或认证通过可以访问的地址 -->/welcome.jsp = user/admin/index.do = user<!-- /** = authc 所有url都必须认证通过才可以访问 -->/** = authc</value></property></bean><!-- securityManager安全管理器 --><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"><property name="realm" ref="customRealm" /><!-- 注入缓存管理器 --><property name="cacheManager" ref="cacheManager" /><!-- 注入session管理器 --><!-- <property name="sessionManager" ref="sessionManager" /> --><!-- 记住我 --><property name="rememberMeManager" ref="rememberMeManager" /></bean><!-- 自定义realm --><bean id="customRealm" class="com.zhijianj.stucheck.shiro.CustomRealm"><!-- 将凭证匹配器设置到realm中，realm按照凭证匹配器的要求进行散列 --><!-- <property name="credentialsMatcher" ref="credentialsMatcher" /> --></bean><!-- 凭证匹配器 --><bean id="credentialsMatcher"class="org.apache.shiro.authc.credential.HashedCredentialsMatcher"><!-- 选用MD5散列算法 --><property name="hashAlgorithmName" value="md5" /><!-- 进行一次加密 --><property name="hashIterations" value="1" /></bean><!-- 自定义form认证过虑器 --><!-- 基于Form表单的身份验证过滤器，不配置将也会注册此过虑器，表单中的用户账号、密码及loginurl将采用默认值，建议配置 --><!-- 可通过此配置，判断验证码 --><bean id="formAuthenticationFilter"class="com.zhijianj.stucheck.shiro.CustomFormAuthenticationFilter "><!-- 表单中账号的input名称,默认为username --><property name="usernameParam" value="username" /><!-- 表单中密码的input名称,默认为password --><property name="passwordParam" value="password" /><!-- 记住我input的名称,默认为rememberMe --><property name="rememberMeParam" value="rememberMe" /></bean><!-- 会话管理器 --><bean id="sessionManager"class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"><!-- session的失效时长，单位毫秒 --><property name="globalSessionTimeout" value="600000" /><!-- 删除失效的session --><property name="deleteInvalidSessions" value="true" /></bean><!-- 缓存管理器 --><bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"><property name="cacheManagerConfigFile" value="classpath:shiro-ehcache.xml" /></bean><!-- rememberMeManager管理器，写cookie，取出cookie生成用户信息 --><bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager"><property name="cookie" ref="rememberMeCookie" /></bean><!-- 记住我cookie --><bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie"><!-- rememberMe是cookie的名字 --><constructor-arg value="rememberMe" /><!-- 记住我cookie生效时间30天 --><property name="maxAge" value="2592000" /></bean></beans>

在上面的配置中每次开启了sessionManager都会出问题在这里将它注释掉了。

其次，上面中的配置也是将credentialsMatcher没有加入了，这种方式适用于没有对密码进行处理的情况。

其中CustomRealm的配置是重点。

4 自定义Realm编码

CustomRealm如下：

public class CustomRealm extends AuthorizingRealm {// 设置realm的名称@Overridepublic void setName(String name) {super.setName("customRealm");}@Autowiredprivate AdminUserService adminUserService;/** * 认证 */@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {// token中包含用户输入的用户名和密码// 第一步从token中取出用户名String userName = (String) token.getPrincipal();// 第二步：根据用户输入的userCode从数据库查询TAdminUser adminUser = adminUserService.getAdminUserByUserName(userName);// 如果查询不到返回nullif (adminUser == null) {//return null;}// 获取数据库中的密码String password = adminUser.getPassword();/** * 认证的用户,正确的密码 */AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(adminUser, password, this.getName());               //MD5 加密+加盐+多次加密//<span style="color:#ff0000;">SimpleAuthenticationInfo authcInfo = new SimpleAuthenticationInfo(adminUser, password,ByteSource.Util.bytes(salt), this.getName());</span>return authcInfo;}/** * 授权,只有成功通过<span style="font-family: Arial, Helvetica, sans-serif;">doGetAuthenticationInfo方法的认证后才会执行。</span> */@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {// 从 principals获取主身份信息// 将getPrimaryPrincipal方法返回值转为真实身份类型（在上边的doGetAuthenticationInfo认证通过填充到SimpleAuthenticationInfo中身份类型），TAdminUser activeUser = (TAdminUser) principals.getPrimaryPrincipal();// 根据身份信息获取权限信息// 从数据库获取到权限数据TAdminRole adminRoles = adminUserService.getAdminRoles(activeUser);// 单独定一个集合对象List<String> permissions = new ArrayList<String>();if (adminRoles != null) {permissions.add(adminRoles.getRoleKey());}// 查到权限数据，返回授权信息(要包括 上边的permissions)SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();// 将上边查询到授权信息填充到simpleAuthorizationInfo对象中simpleAuthorizationInfo.addStringPermissions(permissions);return simpleAuthorizationInfo;}// 清除缓存public void clearCached() {PrincipalCollection principals = SecurityUtils.getSubject().getPrincipals();super.clearCache(principals);}}

5 缓存配置

ehcache.xml代码如下：

<ehcache updateCheck="false" name="shiroCache">    <defaultCache            maxElementsInMemory="10000"            eternal="false"            timeToIdleSeconds="120"            timeToLiveSeconds="120"            overflowToDisk="false"            diskPersistent="false"            diskExpiryThreadIntervalSeconds="120"            /></ehcache>

通过使用ehache中就避免第次都向服务器发送权限授权(doGetAuthorizationInfo)的请求。

6.自定义表单编码过滤器

CustomFormAuthenticationFilter代码，认证之前调用，可用于验证码校验

public class CustomFormAuthenticationFilter extends FormAuthenticationFilter {// 原FormAuthenticationFilter的认证方法@Overrideprotected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {// 在这里进行验证码的校验// 从session获取正确验证码HttpServletRequest httpServletRequest = (HttpServletRequest) request;HttpSession session = httpServletRequest.getSession();// 取出session的验证码（正确的验证码）String validateCode = (String) session.getAttribute("validateCode");// 取出页面的验证码// 输入的验证和session中的验证进行对比String randomcode = httpServletRequest.getParameter("randomcode");if (randomcode != null && validateCode != null && !randomcode.equals(validateCode)) {// 如果校验失败，将验证码错误失败信息，通过shiroLoginFailure设置到request中httpServletRequest.setAttribute("shiroLoginFailure", "randomCodeError");// 拒绝访问，不再校验账号和密码return true;}return super.onAccessDenied(request, response);}}

在此符上验证码jsp界面的代码

validatecode.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"    pageEncoding="UTF-8"%><%@ page import="java.util.Random"%><%@ page import="java.io.OutputStream"%><%@ page import="java.awt.Color"%><%@ page import="java.awt.Font"%><%@ page import="java.awt.Graphics"%><%@ page import="java.awt.image.BufferedImage"%><%@ page import="javax.imageio.ImageIO"%><%int width = 60;int height = 32;//create the imageBufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);Graphics g = image.getGraphics();// set the background colorg.setColor(new Color(0xDCDCDC));g.fillRect(0, 0, width, height);// draw the borderg.setColor(Color.black);g.drawRect(0, 0, width - 1, height - 1);// create a random instance to generate the codesRandom rdm = new Random();String hash1 = Integer.toHexString(rdm.nextInt());// make some confusionfor (int i = 0; i < 50; i++) {int x = rdm.nextInt(width);int y = rdm.nextInt(height);g.drawOval(x, y, 0, 0);}// generate a random codeString capstr = hash1.substring(0, 4);//将生成的验证码存入sessionsession.setAttribute("validateCode", capstr);g.setColor(new Color(0, 100, 0));g.setFont(new Font("Candara", Font.BOLD, 24));g.drawString(capstr, 8, 24);g.dispose();//输出图片response.setContentType("image/jpeg");out.clear();out = pageContext.pushBody();OutputStream strm = response.getOutputStream();ImageIO.write(image, "jpeg", strm);strm.close();%>

7.登录控制器方法

/** * 到登录界面 *  * @return * @throws Exception */@RequestMapping("login.do")public String adminPage(HttpServletRequest request) throws Exception {// 如果登陆失败从request中获取认证异常信息，shiroLoginFailure就是shiro异常类的全限定名String exceptionClassName = (String) request.getAttribute("shiroLoginFailure");// 根据shiro返回的异常类路径判断，抛出指定异常信息if (exceptionClassName != null) {if (UnknownAccountException.class.getName().equals(exceptionClassName)) {// 最终会抛给异常处理器throw new CustomJsonException("账号不存在");} else if (IncorrectCredentialsException.class.getName().equals(exceptionClassName)) {throw new CustomJsonException("用户名/密码错误");} else if ("randomCodeError".equals(exceptionClassName)) {throw new CustomJsonException("验证码错误 ");} else {throw new Exception();// 最终在异常处理器生成未知错误}}// 此方法不处理登陆成功（认证成功），shiro认证成功会自动跳转到上一个请求路径// 登陆失败还到login页面return "admin/login";}

8.用户回显Controller

当用户登录认证成功后，CustomRealm在调用完doGetAuthenticationInfo时，通过

AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(adminUser, password, this.getName());return authcInfo;

SimpleAuthenticationInfo构造参数的第一个参数传入一个用户的对象，之后，可通过Subject subject = SecurityUtils.getSubject();中的subject.getPrincipal()获取到此对象。

所以需要回显用户信息时，我这样调用的

@RequestMapping("index.do")public String index(Model model) {//从shiro的session中取activeUserSubject subject = SecurityUtils.getSubject();//取身份信息TAdminUser adminUser = (TAdminUser) subject.getPrincipal();//通过model传到页面model.addAttribute("adminUser", adminUser);return "admin/index";}

9.在jsp页面中控制权限

先引入shiro的头文件

<!-- shiro头引入 --><%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro"%>

采用shiro标签对权限进行处理

<!-- 有curd权限才显示修改链接，没有该 权限不显示，相当 于if(hasPermission(curd)) --><shiro:hasPermission name="curd"><BR />我拥有超级的增删改查权限额</shiro:hasPermission>

10.在Controller控制权限

通过@RequiresPermissions注解，指定执行此controller中某个请求方法需要的权限

@RequestMapping("/queryInfo.do")@RequiresPermissions("q")//执行需要"q"权限public ModelAndView queryItems(HttpServletRequest request) throws Exception {

11.MD5加密加盐处理

这里以修改密码为例,通过获取新的密码(明文)后通过MD5加密+加盐+6次加密为例

@RequestMapping("updatePassword.do")@ResponseBodypublic String updateAdminUserPassword(String newPassword) {// 从shiro的session中取activeUserSubject subject = SecurityUtils.getSubject();// 取身份信息TAdminUser adminUser = (TAdminUser) subject.getPrincipal();// 生成salt,随机生成SecureRandomNumberGenerator secureRandomNumberGenerator = new SecureRandomNumberGenerator();String salt = secureRandomNumberGenerator.nextBytes().toHex();Md5Hash md5 = new Md5Hash(newPassword, salt, 6);String newMd5Password = md5.toHex();// 设置新密码adminUser.setPassword(newMd5Password);// 设置盐adminUser.setSalt(salt);adminUserService.updateAdminUserPassword(adminUser);return newPassword;}

ok!编码完成后对此WEB程序跑一下，截图符几张：

当前用户信息和权限信息表截图如下

系统管理员表：

权限表：

管理员权限关系中间表：