Apache Shiro 那点破事

Apache Shiro 是一个框架，可用于身份验证和授权。本文提供了几个示例用来展示如何在 Java™ 应用程序中使用 Shiro 并给出了如何在一个 Grails web 应用程序中使用它的概述。为了从本文中最大限度地受益，您应该习惯于创建 Java 应用程序并安装了如下的几个组件：

• Java 1.6 JDK
• Grails（用来运行这些 web 应用程序示例）

在对系统进行安全保障时，有两个安全性元素非常重要：身份验证和授权。虽然这两个术语代表的是不同的含义，但出于它们在应用程序安全性方面各自的角色考虑，它们有时会被交换使用。身份验证和授权

身份验证 指的是验证用户的身份。在验证用户身份时，需要确认用户的身份的确如他们所声称的那样。在大多数应用程序中，身份验证是通过用户名和密码的组合完成的。只要用户选择了他人很难猜到的密码，那么用户名和密码的组合通常就足以确立身份。但是，还有其他的身份验证方式可用，比如指纹、证书和生成键。

一旦身份验证过程成功地建立起身份，授权 就会接管以便进行访问的限制或允许。 所以，有这样的可能性：用户虽然通过了身份验证可以登录到一个系统，但是未经过授权，不准做任何事情。还有一种可能是用户虽然具有了某种程度的授权，却并未经过身份验证。

在为应用程序规划安全性模型时，必须处理好这两个元素以确保系统具有足够的安全性。身份验证是应用程序常见的问题（特别是在只有用户和密码组合的情况下），所以让框架来处理这项工作是一个很好的做法。合理的框架可提供经过测试和维护的优势，让您可以集中精力处理业务问题，而不是解决其解决方案已经实现的问题。

Apache Shiro 提供了一个可用的安全性框架，各种客户机都可将这个框架应用于它们的应用程序。本文中的这些例子旨在介绍 Shiro 并着重展示对用户进行身份验证的基本任务。

了解 Shiro

Shiro 是一个用 Java 语言实现的框架，通过一个简单易用的 API 提供身份验证和授权。使用 Shiro，您就能够为您的应用程序提供安全性而又无需从头编写所有代码。

Shiro 的 Session 对象允许无需 HttpSession 即可使用一个用户会话。通过使用一个通用的 Session 对象，即便该代码没有在一个 Web 应用程序中运行，仍可以使用相同的代码。没有对应用服务器或 Web 应用服务器会话管理的依赖，您甚至可以在命令行环境中使用 Shiro。换言之，使用 Shiro 的 API 编写的代码让您可以构建连接到 LDAP 服务器的命令行应用程序并且与 web 应用程序内用来访问 LDAP 服务器的代码相同。由于 Shiro 提供具有诸多不同数据源的身份验证，以及 Enterprise Session Management，所以是实现单点登录（SSO）的理想之选 — 大型企业内的一个理想特性，因为在大型企业内，用户需要在一天内经常登录到并使用不同系统。这些数据源包括 JDBC、LDAP、 Kerberos 和 Microsoft® Active Directory® Directory Services (AD DS)。

shiro-springmvc-mybatis登录认证 权限控制

1:shiro jar

[html] view plain copy

 print?

1. <dependency>  
2.             <groupId>org.apache.shiro</groupId>  
3.             <artifactId>shiro-core</artifactId>  
4.             <version>1.2.3</version>  
5.         </dependency>  
6.         <dependency>  
7.             <groupId>org.apache.shiro</groupId>  
8.             <artifactId>shiro-spring</artifactId>  
9.             <version>1.2.3</version>  
10.         </dependency>  
11.         <dependency>  
12.             <groupId>org.apache.shiro</groupId>  
13.             <artifactId>shiro-cas</artifactId>  
14.             <version>1.2.3</version>  
15.             <exclusions>  
16.                 <exclusion>  
17.                     <groupId>commons-logging</groupId>  
18.                     <artifactId>commons-logging</artifactId>  
19.                 </exclusion>  
20.             </exclusions>  
21.         </dependency>  
22.         <dependency>  
23.             <groupId>org.apache.shiro</groupId>  
24.             <artifactId>shiro-web</artifactId>  
25.             <version>1.2.3</version>  
26.         </dependency>  
27.         <dependency>  
28.             <groupId>org.apache.shiro</groupId>  
29.             <artifactId>shiro-ehcache</artifactId>  
30.             <version>1.2.3</version>  
31.         </dependency>  
32.         <dependency>  
33.             <groupId>org.apache.shiro</groupId>  
34.             <artifactId>shiro-quartz</artifactId>  
35.             <version>1.2.3</version>  
36.         </dependency>  
37.       

2:shiro 配置文件:

[html] view plain copy

 print?

1. <?xml version="1.0" encoding="UTF-8"?>  
2. <beans xmlns="http://www.springframework.org/schema/beans" xmlns:aop="http://www.springframework.org/schema/aop"  
3.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context"  
4.     xmlns:tx="http://www.springframework.org/schema/tx"  
5.     xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-2.5.xsd http://www.springframework.org/schema/data/jpa http://www.springframework.org/schema/data/jpa/spring-jpa-1.0.xsd">  
6.   
7.     <description>Shiro Configuration</description>  
8.   
9.     <!-- Shiro's main business-tier object for web-enabled applications -->  
10.     <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
11.         <property name="realm" ref="shiroDbRealm" />  
12.         <property name="cacheManager" ref="cacheManager" />  
13.     </bean>  
14.   
15.     <!-- 項目自定义的Realm认证登录 授权 -->  
16.     <bean id="shiroDbRealm" class="com.cat.shiro.ShiroRealm">  
17.         <property name="cacheManager" ref="cacheManager" />  
18.     </bean>  
19.   
20.     <!-- Shiro Filter -->  
21.     <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
22.         <property name="securityManager" ref="securityManager" />  
23.         <property name="successUrl" value="/govern/pages/member/index" />  
24.         <property name="loginUrl" value="/govern/pages/login" />  
25.         <property name="unauthorizedUrl" value="/govern/pages/err" />  
26.         <!-- <property name="filters">  
27.             <map>  
28.                 <entry key="authc" value-ref="shiro"></entry>  
29.             </map>  
30.         </property> -->  
31.         <property name="filterChainDefinitions">  
32.             <value>  
33.                 <!-- 静态资源允许访问 -->  
34.                 <!-- anon 允许访问 -->  
35.                 /login/logincs.do = anon  
36.                 /login/submitcs.do = anon  
37.                 <!-- authc需要授权 -->  
38.                 /** = authc  
39.             </value>  
40.         </property>  
41.     </bean>  
42.     <!-- <bean id="shiro" class="com.cat.shiro.ShiroFilter">  
43.   
44.     </bean> -->  
45.     <!-- 用户授权信息Cache -->  
46.     <bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" />  
47.   
48.     <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->  
49.     <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />  
50.   
51.     <!-- AOP式方法级权限检查 -->  
52.     <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"  
53.         depends-on="lifecycleBeanPostProcessor">  
54.         <property name="proxyTargetClass" value="true" />  
55.     </bean>  
56.     <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">  
57.         <property name="securityManager" ref="securityManager" />  
58.     </bean>  
59. </beans>  

3:web.xml 对应配置

[html] view plain copy

 print?

1. <context-param>  
2. <param-name>contextConfigLocation</param-name>  
3. <param-value>  
4. classpath:conf/shiro.xml  
5. </param-value>  
6. </context-param>  

[html] view plain copy

 print?

1. <filter>    
2.         <filter-name>shiroFilter</filter-name>    
3.         <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>    
4.         <init-param>    
5.             <param-name>targetFilterLifecycle</param-name>    
6.             <param-value>true</param-value>    
7.         </init-param>    
8.     </filter>    
9.     <filter-mapping>    
10.         <filter-name>shiroFilter</filter-name>    
11.         <url-pattern>/*</url-pattern>    
12.     </filter-mapping>    

4:springmvc.xml

[html] view plain copy

 print?

1. <?xml version="1.0" encoding="UTF-8"?>  
2. <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
3.     xmlns:mvc="http://www.springframework.org/schema/mvc" xmlns:context="http://www.springframework.org/schema/context"  
4.     xmlns:aop="http://www.springframework.org/schema/aop" xmlns:tx="http://www.springframework.org/schema/tx"  
5.     xsi:schemaLocation="http://www.springframework.org/schema/beans   
6.             http://www.springframework.org/schema/beans/spring-beans-3.0.xsd   
7.             http://www.springframework.org/schema/mvc   
8.             http://www.springframework.org/schema/mvc/spring-mvc-3.0.xsd   
9.             http://www.springframework.org/schema/context   
10.             http://www.springframework.org/schema/context/spring-context-3.0.xsd   
11.             http://www.springframework.org/schema/aop   
12.             http://www.springframework.org/schema/aop/spring-aop-3.0.xsd   
13.             http://www.springframework.org/schema/tx   
14.             http://www.springframework.org/schema/tx/spring-tx-3.0.xsd ">  
15.   
16.     <!-- 加载包中的controller 注解扫描包 -->  
17.     <context:component-scan base-package="com.hnust.controller">  
18.         <context:include-filter type="annotation" expression="org.springframework.stereotype.Controller" />  
19.     </context:component-scan>  
20.       
21.     <bean class="org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter" />  
22.     <bean class="org.springframework.web.servlet.mvc.annotation.DefaultAnnotationHandlerMapping" />  
23.   
24.     <!--配置拦截器, 多个拦截器,顺序执行 -->  
25.     <!-- 匹配的是url路径 -->  
26.     <!-- <mvc:mapping path="/user/**" /> <mvc:mapping path="/test/**" /> -->  
27.     <!-- 当设置多个拦截器时，先按顺序调用preHandle方法，然后逆序调用每个拦截器的postHandle和afterCompletion方法 -->  
28.     <!-- 测试shiro权限控制 暂时去掉自带的权限控制 <mvc:interceptors> <mvc:interceptor> <mvc:mapping path="/*/*" /> <bean   
29.         class="com.hnust.interceptor.LoginInterceptor"></bean> </mvc:interceptor> </mvc:interceptors> -->  
30.     <!-- 静态资源的访问 -->  
31.     <!-- 视图分解器 -->  
32.     <bean id="viewResolver" class="org.springframework.web.servlet.view.InternalResourceViewResolver">  
33.         <property name="prefix" value="/govern/" />  
34.         <property name="suffix" value=".jsp" />  
35.     </bean>  
36.     <!-- 国际化的消息资源文件（本系统中主要用于显示/错误消息定制） -->  
37.     <bean id="messageSource" class="org.springframework.context.support.ReloadableResourceBundleMessageSource">  
38.         <property name="basenames">  
39.             <list>  
40.                 <!-- 在web环境中一定要定位到classpath 否则默认到当前web应用下找 -->  
41.                 <value>classpath:/messages</value>  
42.             </list>  
43.         </property>  
44.         <property name="useCodeAsDefaultMessage" value="false" />  
45.         <property name="defaultEncoding" value="UTF-8" />  
46.         <property name="cacheSeconds" value="60" />  
47.     </bean>  
48.   
49.   
50.     <!-- 避免IE在ajax请求时，返回json出现下载 -->  
51.     <bean id="jacksonMessageConverter" class="org.springframework.http.converter.json.MappingJacksonHttpMessageConverter">  
52.         <property name="supportedMediaTypes">  
53.             <list>  
54.                 <value>text/html;charset=UTF-8</value>  
55.             </list>  
56.         </property>  
57.     </bean>  
58.   
59.     <!-- 上传文件的解析器 -->  
60.     <bean id="multipartResolver" class="org.springframework.web.multipart.commons.CommonsMultipartResolver">  
61.         <property name="defaultEncoding" value="utf-8" />  
62.         <property name="maxUploadSize" value="10485760000" />  
63.         <property name="maxInMemorySize" value="40960" />  
64.     </bean>  
65.   
66.     <!-- 支持Shiro对Controller的方法级AOP安全控制 begin -->  
67.     <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"  
68.         depends-on="lifecycleBeanPostProcessor">  
69.         <property name="proxyTargetClass" value="true" />  
70.     </bean>  
71.   
72.     <!-- 无权限 控制后台不报错 -->  
73.     <bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">  
74.         <property name="exceptionMappings">  
75.             <props>  
76.                 <prop key="org.apache.shiro.authz.UnauthorizedException">405</prop>  
77.                 <prop key="java.lang.Throwable">405</prop>  
78.             </props>  
79.         </property>  
80.     </bean>   
81.   
82. </beans>    

5:spring.xml

[html] view plain copy

 print?

1. <?xml version="1.0" encoding="UTF-8"?>  
2. <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
3.     xmlns:mvc="http://www.springframework.org/schema/mvc" xmlns:context="http://www.springframework.org/schema/context"  
4.     xmlns:aop="http://www.springframework.org/schema/aop" xmlns:tx="http://www.springframework.org/schema/tx"  
5.     xsi:schemaLocation="http://www.springframework.org/schema/beans   
6.             http://www.springframework.org/schema/beans/spring-beans-3.0.xsd   
7.             http://www.springframework.org/schema/mvc   
8.             http://www.springframework.org/schema/mvc/spring-mvc-3.0.xsd   
9.             http://www.springframework.org/schema/context   
10.             http://www.springframework.org/schema/context/spring-context-3.0.xsd   
11.             http://www.springframework.org/schema/aop   
12.             http://www.springframework.org/schema/aop/spring-aop-3.0.xsd   
13.             http://www.springframework.org/schema/tx   
14.             http://www.springframework.org/schema/tx/spring-tx-3.0.xsd ">  
15.   
16.   
17.     <!-- 引入jdbc配置文件 -->  
18.     <context:property-placeholder location="classpath:conf/jdbc.properties" />  
19.     <context:annotation-config />  
20.   
21.     <!-- 使用Annotation自动注册Bean，解决事物失效问题：在主容器中不扫描@Controller注解，在SpringMvc中只扫描@Controller注解。 -->  
22.     <!-- 扫描service、dao组件 --> <!-- base-package 如果多个，用“,”分隔 -->  
23.     <context:component-scan base-package="com.hnust">  
24.         <context:exclude-filter type="annotation" expression="org.springframework.stereotype.Controller" />  
25.     </context:component-scan>  
26.   
27.     <!-- 分解配置 jdbc.properites -->  
28.     <!-- 数据源c3p0 -->  
29.     <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close">  
30.         <property name="driverClassName" value="${driverClassName}" />  
31.         <property name="url" value="${url}" />  
32.         <property name="username" value="${username}" />  
33.         <property name="password" value="${password}" />  
34.         <!-- <property name="maxPoolSize" value="${c3p0.pool.size.max}" /> <property name="minPoolSize" value="${c3p0.pool.size.min}"   
35.             /> <property name="initialPoolSize" value="${c3p0.pool.size.ini}" /> <property name="acquireIncrement"   
36.             value="${c3p0.pool.size.increment}" /> -->  
37.     </bean>  
38.     <!-- sessionFactory 将spring和mybatis整合 -->  
39.     <bean id="sqlSessionFactory" class="org.mybatis.spring.SqlSessionFactoryBean">  
40.         <property name="dataSource" ref="dataSource" />  
41.         <property name="configLocation" value="classpath:conf/mybatis-config.xml" />  
42.         <property name="mapperLocations" value="classpath:mapper/*.xml" />    <!-- 加载mapper文件 -->  
43.     </bean>  
44.   
45.     <!-- 注入工具类 -->  
46.     <bean id="baseDao" class="com.hnust.base.BaseDao">  
47.         <property name="sqlSessionFactory">  
48.             <ref bean="sqlSessionFactory" />  
49.         </property>  
50.     </bean>  
51.     <!-- 事务 -->  
52.     <bean id="txManager" class="org.springframework.jdbc.datasource.DataSourceTransactionManager">  
53.         <property name="dataSource" ref="dataSource" />  
54.     </bean>  
55.     <tx:advice id="txAdvice" transaction-manager="txManager">  
56.         <tx:attributes>  
57.             <tx:method name="insert*" propagation="REQUIRED" />  
58.             <tx:method name="update*" propagation="REQUIRED" />  
59.             <tx:method name="delete*" propagation="REQUIRED" />  
60.             <tx:method name="find" read-only="true" />  
61.             <tx:method name="get" read-only="true" />  
62.             <tx:method name="*" propagation="REQUIRED" />  
63.         </tx:attributes>  
64.     </tx:advice>  
65.     <aop:config>  
66.         <aop:pointcut expression="execution(* com.hnust.service.impl.*.*(..))" id="pointCut" />  
67.         <aop:advisor advice-ref="txAdvice" pointcut-ref="pointCut" />  
68.     </aop:config>  
69.       
70. </beans>  

6:上面说的是配置文件下面贴一下 java代码:

当前贴出来的类对应 上面2 配置文件

pojo类就不贴了 我这里没连数据  只是模拟的用户登录 和手动添加的权限

[java] view plain copy

 print?

1. /** 
2.  *  
3.  */  
4. package com.cat.shiro;  
5.   
6. import java.util.ArrayList;  
7. import java.util.List;  
8.   
9. import org.apache.shiro.authc.AuthenticationException;  
10. import org.apache.shiro.authc.AuthenticationInfo;  
11. import org.apache.shiro.authc.AuthenticationToken;  
12. import org.apache.shiro.authc.SimpleAuthenticationInfo;  
13. import org.apache.shiro.authc.UsernamePasswordToken;  
14. import org.apache.shiro.authz.AuthorizationException;  
15. import org.apache.shiro.authz.AuthorizationInfo;  
16. import org.apache.shiro.authz.SimpleAuthorizationInfo;  
17. import org.apache.shiro.realm.AuthorizingRealm;  
18. import org.apache.shiro.subject.PrincipalCollection;  
19.   
20. import com.cat.spring.entity.Role;  
21. import com.cat.spring.entity.User;  
22.   
23. /** 
24.  */  
25. public class ShiroRealm extends AuthorizingRealm {  
26.     /* 
27.      * 授权 
28.      */  
29.     @Override  
30.     protected AuthorizationInfo doGetAuthorizationInfo(  
31.             PrincipalCollection principals) {  
32.         // 根据用户配置用户与权限  
33.         if (principals == null) {  
34.             throw new AuthorizationException(  
35.                     "PrincipalCollection method argument cannot be null.");  
36.         }  
37.         String name = (String) getAvailablePrincipal(principals);  
38.         List<String> roles = new ArrayList<String>();  
39.         // 简单默认一个用户与角色，实际项目应User user = userService.getByAccount(name);  
40.         // 根据用户名查询出用户 判断用户信息的有效性 然获取用户的角色权限 授权  
41.         User user = new User("shiro", "123456");  
42.         if (user.getName().equals(name)) {  
43.             // 模拟三个角色  
44.             for (int x = 0; x < 3; x++) {  
45.                 roles.add("user" + x);  
46.             }  
47.         } else {  
48.             throw new AuthorizationException();  
49.         }  
50.         SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();  
51.         // 增加角色  
52.         // 取出所有角色授权  
53.         info.addRoles(roles);  
54.         // 取出所有权限授权  
55.         // info.addStringPermissions(permissions);  
56.         // 模拟拥有的权限  
57.         info.addStringPermission("cp:updatecs,updatecs1");  
58.         return info;  
59.     }  
60.   
61.     /* 
62.      * 认证登录 
63.      */  
64.     @SuppressWarnings("unused")  
65.     @Override  
66.     protected AuthenticationInfo doGetAuthenticationInfo(  
67.             AuthenticationToken authcToken) throws AuthenticationException {  
68.         UsernamePasswordToken token = (UsernamePasswordToken) authcToken;  
69.         // 简单默认一个用户,实际项目应User user =  
70.         // userService.getByAccount(token.getUsername());  
71.         User user = new User("shiro", "123456");  
72.         if (user == null) {  
73.             throw new AuthorizationException();  
74.         }  
75.         SimpleAuthenticationInfo info = null;  
76.         if (user.getName().equals(token.getUsername())) {  
77.             info = new SimpleAuthenticationInfo(user.getName(),  
78.                     user.getPassword(), getName());  
79.         }  
80.         return info;  
81.     }  
82. }  

7:logincontroller

[java] view plain copy

 print?

1. package com.hnust.controller;  
2. @Controller  
3. @RequestMapping(value = "/login")  
4. public class LoginController {  
5.   
6.   
7.     /*****************测试shiro************************************/  
8.       
9.     @RequestMapping(value = "/logincs", method = RequestMethod.GET)  
10.     public String logincs() {  
11.         return "/pages/login";  
12.     }  
13.   
14.     @RequestMapping(value = "/submitcs", method = RequestMethod.POST)  
15.     public String submitcs(String username, String password) {  
16.         User user = new User("shiro", "123456");  
17.         try {  
18.             // 如果登陆成功  
19.             if (user.getName().equals(username)  
20.                     && user.getPassword().equals(password)) {  
21.                 UsernamePasswordToken token = new UsernamePasswordToken(  
22.                         user.getName(), user.getPassword().toString());  
23.                 Subject subject = SecurityUtils.getSubject();  
24.                 subject.login(token);  
25.                 return "/pages/member/index";  
26.             } else {  
27.                 return "/pages/login";  
28.             }  
29.         } catch (Exception e) {  
30.             e.printStackTrace();  
31.             return "/pages/login";  
32.         }  
33.   
34.     }  
35.       
36.   
37. }  

8:测试权限类 对应上面6 类里面设置的权限访问URL

[java] view plain copy

 print?

1. package com.hnust.controller;  
2.   
3. @Controller  
4. @RequestMapping(value = "/cp")  
5. public class CompanyController extends BaseController{  
6.   
7.       
8.     /** 
9.      * updatecs 
10.      */  
11.     @RequiresPermissions("cp:updatecs")  
12.     @RequestMapping(value="/updatecs",method=RequestMethod.GET)  
13.     public String updatecs(){  
14.         System.err.println("成功1");  
15.         return "index";  
16.     }  
17.     /** 
18.      * updatecs 
19.      */  
20.     @RequiresPermissions("cp:updatecs1")  
21.     @RequestMapping(value="/updatecs1",method=RequestMethod.GET)  
22.     public String updatecs1(){  
23.         System.err.println("成功2");  
24.         return "index";  
25.     }  
26.       
27.     /** 
28.      * updatecs   这个我没用给当前用户添加权限  是会提示无权限的 
29.      */  
30.     @RequiresPermissions("cp:updatecs2")  
31.     @RequestMapping(value="/updatecs2",method=RequestMethod.GET)  
32.     public String updatecs2(){  
33. //      System.err.println("失败");  
34.         return "index";  
35.     }  
36.   
37. }  

9：下面贴出 效果图

登录不做权限验证:

登录成功:

下面开始进行权限认证:

这是我当前角色有的权限 所以去到了我指定的页面

下面进行 没有权限的URL访问: