SpringMVC + Mybatis + Shiro 权限整合【转】

1. <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>

, 否则controller无法使用注解. 
这个方法可能避免使用sessionValidationScheduler, 就是避免使用, 就能使用高版本的quartz了.

配置会话监听:

Java代码  

1. package com.pandy.core.security.session;
2. import org.apache.shiro.session.Session;
3. import org.apache.shiro.session.SessionListener;
4. public class CoreSessionListener implements SessionListener {
5. ......
6. }

Xml代码  

1. <!-- 会话管理器 -->
2. <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
3. <property name="sessionListeners">
4. <list>
5. <bean id="sessionListener" class="com.pandy.core.security.session.CoreSessionListener"/>
6. </list>
7. </property>
8. </bean>

一些配置参考:

Xml代码  

1. <?xml version="1.0" encoding="UTF-8"?>
2. <beans xmlns="http://www.springframework.org/schema/beans"
3. xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
4. xsi:schemaLocation="http://www.springframework.org/schema/beans
5. http://www.springframework.org/schema/beans/spring-beans-3.0.xsd"
6. default-lazy-init="true">
7. <description>Shiro Configuration</description>
8. <!-- Shiro‘s main business-tier object for web-enabled applications -->
9. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
10. <property name="realm" ref="shiroDbRealm" />
11. <property name="cacheManager" ref="cacheManager" />
12. </bean>
13. <!-- 項目自定义的Realm -->
14. <bean id="shiroDbRealm" class="cn.ssms.realm.ShiroDbRealm">
15. <property name="cacheManager" ref="cacheManager" />
16. </bean>
17. <!-- Shiro Filter -->
18. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
19. <property name="securityManager" ref="securityManager" />
20. <property name="loginUrl" value="/tologin.html" />
21. <property name="successUrl" value="/view/index.html" />
22. <property name="unauthorizedUrl" value="/error/noperms.jsp" />
23. <property name="filterChainDefinitions">
24. <value>
25. /index.html = authc
26. /login.html = anon
27. /tologin.html = anon
28. /logout.html = anon
29. /** = authc
30. </value>
31. </property>
32. </bean>
33. <!-- 用户授权信息Cache -->
34. <bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" />
35. <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
36. <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
37. <!-- AOP式方法级权限检查 -->
38. <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
39. depends-on="lifecycleBeanPostProcessor">
40. <property name="proxyTargetClass" value="true" />
41. </bean>
42. <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
43. <property name="securityManager" ref="securityManager" />
44. </bean>
45. </beans>

Realm类:

Java代码  

1. package cn.ssms.realm;
2. import java.util.HashSet;
3. import java.util.Set;
4. import javax.annotation.PostConstruct;
5. import org.apache.shiro.authc.AuthenticationException;
6. import org.apache.shiro.authc.AuthenticationInfo;
7. import org.apache.shiro.authc.AuthenticationToken;
8. import org.apache.shiro.authc.IncorrectCredentialsException;
9. import org.apache.shiro.authc.SimpleAuthenticationInfo;
10. import org.apache.shiro.authc.UsernamePasswordToken;
11. import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
12. import org.apache.shiro.authz.AuthorizationInfo;
13. import org.apache.shiro.authz.SimpleAuthorizationInfo;
14. import org.apache.shiro.cache.Cache;
15. import org.apache.shiro.realm.AuthorizingRealm;
16. import org.apache.shiro.subject.PrincipalCollection;
17. import org.apache.shiro.subject.SimplePrincipalCollection;
18. import org.slf4j.Logger;
19. import org.slf4j.LoggerFactory;
20. import org.springframework.beans.factory.annotation.Autowired;
21. import cn.ssms.model.User;
22. import cn.ssms.service.UserService;
23. import cn.ssms.util.CipherUtil;
24. import cn.ssms.util.EncryptUtils;
25. public class ShiroDbRealm extends AuthorizingRealm {
26. private static Logger logger = LoggerFactory.getLogger(ShiroDbRealm.class);
27. private static final String ALGORITHM = "MD5";
28. @Autowired
29. private UserService userService;
30. public ShiroDbRealm() {
31. super();
32. }
33. /**
34. * 认证回调函数, 登录时调用.
35. */
36. @Override
37. protected AuthenticationInfo doGetAuthenticationInfo(
38. AuthenticationToken authcToken) throws AuthenticationException {
39. UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
40. System.out.println(token.getUsername());
41. User user = userService.findUserByLoginName(token.getUsername());
42. System.out.println(user);
43. if (user != null) {
44. return new SimpleAuthenticationInfo(user.getName(), user.getPassword(), getName());
45. }else{
46. throw new AuthenticationException();
47. }
48. }
49. /**
50. * 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用.
51. */
52. @Override
53. protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
54. /* 这里编写授权代码 */
55. Set<String> roleNames = new HashSet<String>();
56. Set<String> permissions = new HashSet<String>();
57. roleNames.add("admin");
58. roleNames.add("zhangsan");
59. permissions.add("user.do?myjsp");
60. permissions.add("login.do?main");
61. permissions.add("login.do?logout");
62. SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roleNames);
63. info.setStringPermissions(permissions);
64. return info;
65. }
66. /**
67. * 更新用户授权信息缓存.
68. */
69. public void clearCachedAuthorizationInfo(String principal) {
70. SimplePrincipalCollection principals = new SimplePrincipalCollection(principal, getName());
71. clearCachedAuthorizationInfo(principals);
72. }
73. /**
74. * 清除所有用户授权信息缓存.
75. */
76. public void clearAllCachedAuthorizationInfo() {
77. Cache<Object, AuthorizationInfo> cache = getAuthorizationCache();
78. if (cache != null) {
79. for (Object key : cache.keys()) {
80. cache.remove(key);
81. }
82. }
83. }
84. //  @PostConstruct
85. //  public void initCredentialsMatcher() {//MD5加密
86. //      HashedCredentialsMatcher matcher = new HashedCredentialsMatcher(ALGORITHM);
87. //      setCredentialsMatcher(matcher);
88. //  }
89. }

UserService实现类

Java代码  

1. @Service("userService")
2. public class UserServiceImpl implements UserService {
3. @Autowired
4. private UserMapper userMapper;
5. public User getUserById(int id) {
6. return userMapper.selectByPrimaryKey(id);
7. }
8. public User findUserByLoginName(String username) {
9. System.out.println("findUserByLoginName call!");
10. return userMapper.findUserByLoginName(username);
11. }
12. }
13. 框架/平台构成：

    Maven+Springmvc + Mybatis + Shiro（权限）+ Tiles（模板） +ActiveMQ（消息队列） + Rest（服务） + WebService（服务）+ EHcache（缓存） + Quartz（定时调度）+ Html5（支持PC、IOS、Android）

    用户权限系统：
    组织结构：角色、用户、用户组、组织机构；权限点：页面、方法、按钮、数据权限、分级授权

    项目管理新体验：
    快速出原型系统、组件树、版本控制、模块移植、协同开发、实时监控、发布管理

    可持续集成：
    所有组件可移植、可定制、可扩充，开发成果不断积累，形成可持续发展的良性循环

    支持平台平台： 
    Windows XP、Windows 7 、Windows 10 、 Linux 、 Unix

    服务器容器：
    Tomcat 5/6/7 、Jetty、JBoss、WebSphere 8.5