Shiro学习总结(10)——Spring集成Shiro

1.引入Shiro的Maven依赖

[html] view
plain copy

  1. <!-- Spring 整合Shiro需要的依赖 -->
  2. <dependency>
  3. <groupId>org.apache.shiro</groupId>
  4. <artifactId>shiro-core</artifactId>
  5. <version>1.2.1</version>
  6. </dependency>
  7. <dependency>
  8. <groupId>org.apache.shiro</groupId>
  9. <artifactId>shiro-web</artifactId>
  10. <version>1.2.1</version>
  11. </dependency>
  12. <dependency>
  13. <groupId>org.apache.shiro</groupId>
  14. <artifactId>shiro-ehcache</artifactId>
  15. <version>1.2.1</version>
  16. </dependency>
  17. <dependency>
  18. <groupId>org.apache.shiro</groupId>
  19. <artifactId>shiro-spring</artifactId>
  20. <version>1.2.1</version>
  21. </dependency>
  22. <!-- 除此之外还有一些东西也不可少spring, spring-mvc, ibatis等 spring.3.1.2 spring-mvc.3.1.2
  23. ibatis.2.3.4 cglib.2.2 -->

2.web.xml中配置

[html] view
plain copy

  1. <!-- 配置shiro的核心拦截器 -->
  2. <filter>
  3. <filter-name>shiroFilter</filter-name>
  4. <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  5. </filter>
  6. <filter-mapping>
  7. <filter-name>shiroFilter</filter-name>
  8. <url-pattern>/*</url-pattern>
  9. </filter-mapping>

3.    编写自己的UserRealm类继承自Realm,主要实现认证和授权的管理操作

[java] view
plain copy

  1. package com.jay.demo.shiro;
  2. import java.util.HashSet;
  3. import java.util.Iterator;
  4. import java.util.Set;
  5. import org.apache.shiro.authc.AuthenticationException;
  6. import org.apache.shiro.authc.AuthenticationInfo;
  7. import org.apache.shiro.authc.AuthenticationToken;
  8. import org.apache.shiro.authc.LockedAccountException;
  9. import org.apache.shiro.authc.SimpleAuthenticationInfo;
  10. import org.apache.shiro.authc.UnknownAccountException;
  11. import org.apache.shiro.authz.AuthorizationInfo;
  12. import org.apache.shiro.authz.SimpleAuthorizationInfo;
  13. import org.apache.shiro.realm.AuthorizingRealm;
  14. import org.apache.shiro.subject.PrincipalCollection;
  15. import org.springframework.beans.factory.annotation.Autowired;
  16. import com.jay.demo.bean.Permission;
  17. import com.jay.demo.bean.Role;
  18. import com.jay.demo.bean.User;
  19. import com.jay.demo.service.UserService;
  20. public class UserRealm extends AuthorizingRealm{
  21. @Autowired
  22. private UserService userService;
  23. /**
  24. * 授权操作
  25. */
  26. @Override
  27. protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
  28. //      String username = (String) getAvailablePrincipal(principals);
  29. String username = (String) principals.getPrimaryPrincipal();
  30. Set<Role> roleSet =  userService.findUserByUsername(username).getRoleSet();
  31. //角色名的集合
  32. Set<String> roles = new HashSet<String>();
  33. //权限名的集合
  34. Set<String> permissions = new HashSet<String>();
  35. Iterator<Role> it = roleSet.iterator();
  36. while(it.hasNext()){
  37. roles.add(it.next().getName());
  38. for(Permission per:it.next().getPermissionSet()){
  39. permissions.add(per.getName());
  40. }
  41. }
  42. SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
  43. authorizationInfo.addRoles(roles);
  44. authorizationInfo.addStringPermissions(permissions);
  45. return authorizationInfo;
  46. }
  47. /**
  48. * 身份验证操作
  49. */
  50. @Override
  51. protected AuthenticationInfo doGetAuthenticationInfo(
  52. AuthenticationToken token) throws AuthenticationException {
  53. String username = (String) token.getPrincipal();
  54. User user = userService.findUserByUsername(username);
  55. if(user==null){
  56. //木有找到用户
  57. throw new UnknownAccountException("没有找到该账号");
  58. }
  59. /* if(Boolean.TRUE.equals(user.getLocked())) {
  60. throw new LockedAccountException(); //帐号锁定
  61. } */
  62. /**
  63. * 交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配,如果觉得人家的不好可以在此判断或自定义实现
  64. */
  65. SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(),getName());
  66. return info;
  67. }
  68. @Override
  69. public String getName() {
  70. return getClass().getName();
  71. }
  72. }

4.在Spring的applicationContext.xml中进行Shiro的相关配置

1、添加shiroFilter定义

Xml代码  

  1. <!-- Shiro Filter -->
  2. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
  3. <property name="securityManager" ref="securityManager" />
  4. <property name="loginUrl" value="/login" />
  5. <property name="successUrl" value="/user/list" />
  6. <property name="unauthorizedUrl" value="/login" />
  7. <property name="filterChainDefinitions">
  8. <value>
  9. /login = anon
  10. /user/** = authc
  11. /role/edit/* = perms[role:edit]
  12. /role/save = perms[role:edit]
  13. /role/list = perms[role:view]
  14. /** = authc
  15. </value>
  16. </property>
  17. </bean>

2、添加securityManager定义

Xml代码  

  1. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
  2. <property name="realm" ref="myRealm" />
  3. </bean>

3、添加realm定义

Xml代码  

  1. <bean id=" myRealm" class="com.jay.demo.shiro.UserRealm/>

4、配置EhCache

<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager" />

5、保证实现了Shiro内部lifecycle函数的bean执行

<span class="code-tag" style="color: rgb(0, 0, 145); background-color: inherit;"><bean id=<span class="code-quote" style="color: rgb(0, 145, 0); background-color: inherit;">"lifecycleBeanPostProcessor"</span> class=<span class="code-quote" style="color: rgb(0, 145, 0); background-color: inherit;">"org.apache.shiro.spring.LifecycleBeanPostProcessor"</span>/></span>

特别注意:

如果使用Shiro相关的注解,需要在springmvc-servlet.xml中配置一下信息

<span class="code-tag" style="color: rgb(0, 0, 145); background-color: inherit;"><bean class=<span class="code-quote" style="color: rgb(0, 145, 0); background-color: inherit;">"org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"</span> depends-on=<span class="code-quote" style="color: rgb(0, 145, 0); background-color: inherit;">"lifecycleBeanPostProcessor"</span>/></span>
<span class="code-tag" style="color: rgb(0, 0, 145); background-color: inherit;"><bean class=<span class="code-quote" style="color: rgb(0, 145, 0); background-color: inherit;">"org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"</span>></span>
    <span class="code-tag" style="color: rgb(0, 0, 145); background-color: inherit;"><property name=<span class="code-quote" style="color: rgb(0, 145, 0); background-color: inherit;">"securityManager"</span> ref=<span class="code-quote" style="color: rgb(0, 145, 0); background-color: inherit;">"securityManager"</span>/></span>
<span class="code-tag" style="color: rgb(0, 0, 145); background-color: inherit;"></bean></span>

备注:Shiro权限管理的过滤器解释:

[java] view
plain copy

  1. 默认过滤器(10个)
  2. anon -- org.apache.shiro.web.filter.authc.AnonymousFilter
  3. authc -- org.apache.shiro.web.filter.authc.FormAuthenticationFilter
  4. authcBasic -- org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
  5. perms -- org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
  6. port -- org.apache.shiro.web.filter.authz.PortFilter
  7. rest -- org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
  8. roles -- org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
  9. ssl -- org.apache.shiro.web.filter.authz.SslFilter
  10. user -- org.apache.shiro.web.filter.authc.UserFilter
  11. logout -- org.apache.shiro.web.filter.authc.LogoutFilter
  12. anon:例子/admins/**=anon 没有参数,表示可以匿名使用。
  13. authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数
  14. roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。
  15. perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。
  16. rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。
  17. port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。
  18. authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证
  19. ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
  20. user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查

关于Shiro的标签应用:

[java] view
plain copy

  1. <shiro:authenticated> 登录之后
  2. <shiro:notAuthenticated> 不在登录状态时
  3. <shiro:guest> 用户在没有RememberMe时
  4. <shiro:user> 用户在RememberMe时
  5. <shiro:hasAnyRoles name="abc,123" > 在有abc或者123角色时
  6. <shiro:hasRole name="abc"> 拥有角色abc
  7. <shiro:lacksRole name="abc"> 没有角色abc
  8. <shiro:hasPermission name="abc"> 拥有权限abc
  9. <shiro:lacksPermission name="abc"> 没有权限abc
  10. <shiro:principal> 显示用户登录名

以上是Shiro的相关配置,出于安全的考虑,一般都会使用ACL(基于角色的用户权限管理去控制用户登录后的权限)

ACL详细代码案例如下:

涉及到的表:3+2(User,Role,Permission  +  user-role,role-permission)

3张实体表+2张关系表

1.关于User类:

[java] view
plain copy

  1. package com.jay.demo.bean;
  2. import java.util.HashSet;
  3. import java.util.Set;
  4. public class User {
  5. private String id;
  6. private String username;
  7. private String password;
  8. private Set<Role> roleSet = new HashSet<Role>();
  9. public User() {
  10. }
  11. public String getId() {
  12. return id;
  13. }
  14. public void setId(String id) {
  15. this.id = id;
  16. }
  17. public String getUsername() {
  18. return username;
  19. }
  20. public void setUsername(String username) {
  21. this.username = username;
  22. }
  23. public String getPassword() {
  24. return password;
  25. }
  26. public void setPassword(String password) {
  27. this.password = password;
  28. }
  29. public Set<Role> getRoleSet() {
  30. return roleSet;
  31. }
  32. public void setRoleSet(Set<Role> roleSet) {
  33. this.roleSet = roleSet;
  34. }
  35. }

2.关于Role表

[java] view
plain copy

  1. package com.jay.demo.bean;
  2. import java.io.Serializable;
  3. import java.util.HashSet;
  4. import java.util.Set;
  5. public class Role implements Serializable {
  6. private static final long serialVersionUID = -4987248128309954399L;
  7. private Integer id;
  8. private String name;
  9. private Set<Permission> permissionSet = new HashSet<Permission>();
  10. public Role() {
  11. super();
  12. }
  13. // --------------------------------------------------------------------------------
  14. @Override
  15. public int hashCode() {
  16. final int prime = 31;
  17. int result = 1;
  18. result = prime * result + ((id == null) ? 0 : id.hashCode());
  19. return result;
  20. }
  21. @Override
  22. public boolean equals(Object obj) {
  23. if (this == obj)
  24. return true;
  25. if (obj == null)
  26. return false;
  27. if (getClass() != obj.getClass())
  28. return false;
  29. Role other = (Role) obj;
  30. if (id == null) {
  31. if (other.id != null)
  32. return false;
  33. } else if (!id.equals(other.id))
  34. return false;
  35. return true;
  36. }
  37. // --------------------------------------------------------------------------------
  38. public Integer getId() {
  39. return id;
  40. }
  41. public void setId(Integer id) {
  42. this.id = id;
  43. }
  44. public String getName() {
  45. return name;
  46. }
  47. public void setName(String name) {
  48. this.name = name;
  49. }
  50. public Set<Permission> getPermissionSet() {
  51. return permissionSet;
  52. }
  53. public void setPermissionSet(Set<Permission> permissionSet) {
  54. this.permissionSet = permissionSet;
  55. }
  56. }

3.关于permission表

[java] view
plain copy

  1. <pre name="code" class="java">package com.jay.demo.bean;
  2. import java.io.Serializable;
  3. public class Permission implements Serializable {
  4. private static final long serialVersionUID = -8025597823572680802L;
  5. private Integer id;
  6. private String name;
  7. public Permission() {
  8. super();
  9. }
  10. // --------------------------------------------------------------------------------------
  11. @Override
  12. public int hashCode() {
  13. final int prime = 31;
  14. int result = 1;
  15. result = prime * result + ((id == null) ? 0 : id.hashCode());
  16. return result;
  17. }
  18. @Override
  19. public boolean equals(Object obj) {
  20. if (this == obj)
  21. return true;
  22. if (obj == null)
  23. return false;
  24. if (getClass() != obj.getClass())
  25. return false;
  26. Permission other = (Permission) obj;
  27. if (id == null) {
  28. if (other.id != null)
  29. return false;
  30. } else if (!id.equals(other.id))
  31. return false;
  32. return true;
  33. }
  34. // --------------------------------------------------------------------------------------
  35. public Integer getId() {
  36. return id;
  37. }
  38. public void setId(Integer id) {
  39. this.id = id;
  40. }
  41. public String getName() {
  42. return name;
  43. }
  44. public void setName(String name) {
  45. this.name = name;
  46. }
  47. }


4.dao层接口


[java] view

 plain copy


    

  1. package com.jay.demo.dao;
    2. 

  2. import com.jay.demo.bean.User;
    3. 

  3. public interface UserDao {
    4. 

  4. User findUserByUsername(String username);
    5. 

  5. }
    6. 



4.使用Mybatis完成的Dao层实现


[html] view

 plain copy


    

  1. <?xml version="1.0" encoding="UTF-8" ?>
    2. 

  2. <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
    3. 

  3. <mapper namespace="com.jay.demo.dao.UserDao">
    4. 

  4. <resultMap id="userMap" type="com.jay.demo.bean.User">
    5. 

  5. <id property="id" column="USER_ID"/>
    6. 

  6. <result property="username" column="USER_USERNAME"/>
    7. 

  7. <result property="password" column="USER_PASSWORD"/>
    8. 

  8. <!-- 进行 多表关联插叙,先关联user和role -->
    9. 

  9. <collection property="roleSet" column="roleid" ofType="com.jay.demo.bean.Role">
    10. 

  10. <id property="id" column="ROLE_ID"/>
    11. 

  11. <result property="name" column="ROLE_NAME"/>
    12. 

  12. <!-- 再在role中关联role和permission -->
    13. 

  13. <collection property="permissionSet" column="permissionid" ofType="com.jay.demo.bean.Permission">
    14. 

  14. <id property="id" column="permission_id"/>
    15. 

  15. <result property="name" column="permission_name"/>
    16. 

  16. </collection>
    17. 

  17. </collection>
    18. 

  18. </resultMap>
    19. 

  19. <!--  通过User来查找Role   -->
    20. 

  20. <!-- <select id="selectRoleByUser" parameterType="int" resultMap="RoleMap">
    21. 

  21. select * from tbl_role_user user_id  = #{id}
    22. 

  22. </select>
    23. 

  23. <resultMap  id="roleMap" type="com.jay.demo.bean.User">
    24. 

  24. <result property="id" column="ROLE_ID" />
    25. 

  25. <result property="name" column="ROLE_NAME" />
    26. 

  26. </resultMap>
    27. 

  27. <resultMap id="permissionMap" type="com.jay.demo.bean.Permission">
    28. 

  28. <result property="id" column="PERMISSION_ID" />
    29. 

  29. <result property="name" column="PERMISSION_NAME" />
    30. 

  30. </resultMap> -->
    31. 

  31. <sql id="select-base-01">
    32. 

  32. SELECT
    33. 

  33. u.USER_ID,
    34. 

  34. u.USER_USERNAME,
    35. 

  35. u.USER_PASSWORD,
    36. 

  36. r.ROLE_ID,
    37. 

  37. r.ROLE_NAME,
    38. 

  38. p.PERMISSION_ID,
    39. 

  39. p.PERMISSION_NAME
    40. 

  40. FROM
    41. 

  41. tbl_user as u,
    42. 

  42. tbl_role as r,
    43. 

  43. tbl_permission as p,
    44. 

  44. tbl_permission_role as pr,
    45. 

  45. tbl_role_user as ru
    46. 

  46. WHERE
    47. 

  47. u.USER_ID = ru.USER_ID
    48. 

  48. AND
    49. 

  49. r.ROLE_ID = ru.ROLE_ID
    50. 

  50. AND
    51. 

  51. p.PERMISSION_ID = pr.PERMISSION_ID
    52. 

  52. AND
    53. 

  53. r.ROLE_ID = pr.ROLE_ID
    54. 

  54. </sql>
    55. 

  55. <select id="findUserByUsername" parameterType="string" resultMap="userMap">
    56. 

  56. <include refid="select-base-01" />
    57. 

  57. AND
    58. 

  58. u.USER_USERNAME = #{username}
    59. 

  59. <!-- select * from tbl_user u, tbl_role r, tbl_role_user tu
    60. 

  60. where u.user_id = tu.user_id and r.role_id = tu.role_id
    61. 

  61. and user_username=#{username} -->
    62. 

  62. </select>
    63. 

  63. </mapper>
    64. 

				


				
时间: 2024-08-02 13:44:45 

		


		


	

	
	

		


		
Shiro学习总结(10)——Spring集成Shiro的相关文章


								

		

			

                spring 集成shiro 之 自定义过滤器
			

		

		

									

				出自:http://blog.csdn.net/shuishouhcd/article/details/9077379 最近一段时间,我一直在将shiro集成到我的一个项目中,用作认证和授权处理. shiro对我来说是个新东西,以下是我学习过的内容: http://shiro.apache.org/authorization.html http://www.cnblogs.com/skyme/archive/2011/09/11/2173760.html  系列 http://www.infoq			

		

	

				

		

			

                shiro实战系列(十五)之Spring集成Shiro
			

		

		

									

				Shiro 的 JavaBean 兼容性使得它非常适合通过 Spring XML 或其他基于 Spring 的配置机制.Shiro 应用程序需要一个具 有单例 SecurityManager 实例的应用程序.请注意,这不会是一个静态的单例,但应该只有一个应用程序能够使用 的实例,无论它是否是静态单例的. Web Applications Shiro 拥有对 Spring Web 应用程序的一流支持.在 Web 应用程序中,所有 Shiro 可访问的万恶不请求必须通过一个 主要的 Shiro 过滤			

		

	

				

		

			

                Shiro学习笔记(1)——shiro入门
			

		

		

									

				创建一个简单shiro项目 Shiro的权限 1 简单字符串 2 多层次管理 2 实例级访问控制 1.创建一个简单shiro项目 创建一个java工程 加入shiro需要的jar包 在src下创建log4j配置文件(非必需步骤,可以跳过) # # Licensed to the Apache Software Foundation (ASF) under one # or more contributor license agreements. See the NOTICE file # dis			

		

	

				

		

			

                Activiti学习——Activiti与Spring集成
			

		

		

									

				与Spring集成 基础准备 目录结构 相关jar包 Activiti的相关jar包 Activiti依赖的相关jar包 Spring的相关jar包 Spring依赖的相关jar包 本示例相关jar包截图 配置文件设置 web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance&qu			

		

	

				

		

			

                Apache Shiro学习笔记(七)Shiro Listener介绍
			

		

		

									

				鲁春利的工作笔记,好记性不如烂笔头 web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"      xmlns="http://java.sun.com/xml/ns/javaee"      xsi:schemaLocation="h			

		

	

				

		

			

                Shiro学习(22)集成验证码
			

		

		

									

				在做用户登录功能时,很多时候都需要验证码支持,验证码的目的是为了防止机器人模拟真实用户登录而恶意访问,如暴力破解用户密码/恶意评论等.目前也有一些验证码比较简单,通过一些OCR工具就可以解析出来:另外还有一些验证码比较复杂(一般通过如扭曲.加线条/噪点等干扰)防止OCR工具识别:但是在中国就是人多,机器干不了的可以交给人来完成,所以在中国就有很多打码平台,人工识别验证码:因此即使比较复杂的如填字.算数等类型的验证码还是能识别的.所以验证码也不是绝对可靠的,目前比较可靠还是手机验证码,但是对于用户			

		

	

				

		

			

                spring集成shiro登陆流程(上)
			

		

		

									

				上一篇已经分析了shiro的入口filter是SpringShiroFilter, 那么它的doFilter在哪儿呢? 我们看到它的直接父类AbstractShrioFilter继承了OncePerRequestFilter类,该类是shiro内置的大部分filter的父类(抽像公共部分),在该类中定义了doFilter方法 OncePerRequestFilte public final void doFilter(ServletRequest request, ServletResponse			

		

	

				

		

			

                Shiro 学习笔记(一)——shiro简介
			

		

		

									

				Apache Shiro 是一个安全框架.说白了,就是进行一下 权限校验,判断下这个用户是否登录了,是否有权限去做这件事情. Shiro 可以帮助我们完成:认证.授权.加密.会话管理.与web 集成.缓存等. 其基本功能点 如下图: Authentication  : 身份认证/登录,验证用户是不是拥有相应的身份 Authorization : 授权,即权限验证,验证某个已认证的用户是否拥有某个权限:即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色,或者 细粒度的验证某个用户对某个			

		

	

				

		

			

                Shiro 学习笔记(二)——shiro身份验证
			

		

		

									

				身份验证: 在应用中证明他就是他本人.一般上用身份证.用户/密码 来证明. 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份 Principals: 身份,即主体的标识属性,只要是主体的