源码:https://github.com/huangshengz/myJavaDemo本例子参考:https://www.cnblogs.com/HowieYuan/p/9259638.html 本例子验证主要有两个类,一个是自定义的拦截类ShiroConfig,在这里我们自定义了很多需要的操作。例如:角色权限路径,登录路径等,一些具体的含义如下: * anon:无参,开放权限,可以理解为匿名用户或游客 * logout:无参,注销,执行后会直接跳转到shiroFilterFactoryBean.setLoginUrl(); 设置的 url * authc:无参,需要认证 * authcBasic:无参,表示 httpBasic 认证 * user:无参,表示必须存在用户,当登入操作时不做检查 * ssl:无参,表示安全的URL请求,协议为 https * perms[user]:参数可写多个,表示需要某个或某些权限才能通过,多个参数时写 perms["user, admin"],当有多个参数时必须每个参数都通过才算通过 * roles[admin]:参数可写多个,表示是某个或某些角色才能通过,多个参数时写 roles["admin,user"],当有多个参数时必须每个参数都通过才算通过 * rest[user]:根据请求的方法,相当于 perms[user:method],其中 method 为 post,get,delete 等 * port[8081]:当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString 其中 schmal 是协议 http 或 https 等等, * serverName 是你访问的 Host,8081 是 Port 端口,queryString 是你访问的 URL 里的 ? 后面的参数 第二个类是CustomRealm。它继承了AuthorizingRealm类并且重写了登录验证和权限验证。在里面我们可以自定义我们的业务逻辑。这个类非常重要,因为在拦截类ShiroConfig里,securityManager.setRealm(),就是把这个类注入进去,使得拦截能知道用户信息。这个类doGetAuthenticationInfo 和 doGetAuthorizationInfo一定要区分明白,第一个是身份认证,例如登录时就是它,而第二个是角色权限认证,在里面我们设置了角色权限。 在登录方法里,很明确的把用户信息放入到了UsernamePasswordToken里,而doGetAuthenticationInfo进行身份认证时,用户信息就从UsernamePasswordToken取。 最后说一下整个流程:1. 项目启动时,Shiro拦截器工厂类ShiroConfig已经成功的注入。2. 然后我们登录的时候,跳转到login方法里,数据会保存到UsernamePasswordToken里面,主要是用户名和用户密码。3. 然后就走到了CustomRealm类了的身份证方法doGetAuthenticationInfo,在这里,我们根据用户名从数据库里拿到了用户密码与登录密码做比较,然后判断密码是否正确,然后放行,到此用户登录成功。4. 然后用户访问数据的时候,会调用CustomRealm的doGetAuthorizationInfo进行权限认证。
原文地址:https://www.cnblogs.com/hsz-csy/p/9820895.html
时间: 2024-11-09 11:33:35