shiro与spring web项目开发
加入shiro的jar包
自定义realm
/**
* 自定义realm 继承授权realm
* @author Administrator
*
*/
public class CustomRealm extends AuthorizingRealm{ @Autowired
UserMapper userMapper;
@Autowired
MenuMapper menuMapper; @Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
UsernamePasswordToken upToken = (UsernamePasswordToken) token;
String username = upToken.getUsername(); // Null username is invalid
if (username == null) {
throw new AccountException("账号不能为空");
} //模拟数据库获取数据
User user = userMapper.findUserByUsername(username);
//通过数据库获取username的信息
if (user==null) {
return null;
}
SessionUser sessionUser = new SessionUser();
sessionUser.setUser(user);
//查询用户对应的菜单资源
List<Menu> menu = menuMapper.getMenu(user.getId(), "menu");
sessionUser.setMenus(menu);
//查询用户对应的按钮资源
List<Menu> button = menuMapper.getMenu(user.getId(), "button");
sessionUser.setButtons(button);
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(sessionUser, user.getPassword(),ByteSource.Util.bytes("tdit"), getName()); return info;
} /**
* 实现授权的方法 principals ======认证保存的SimpleAuthenticationInfo对象
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
if (principals == null) {
throw new AuthorizationException("PrincipalCollection method argument cannot be null.");
} SessionUser sessionUser= (SessionUser) getAvailablePrincipal(principals);
List<String>permissions = new ArrayList<>();
//模拟通过用户名查询数据库权限信息
List<Menu> buttons = sessionUser.getButtons();
for (Menu menu : buttons) {
permissions.add(menu.getMenuCode());
} SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermissions(permissions);
return info;
} }
添加spring-shiro.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:context="http://www.springframework.org/schema/context" xsi:schemaLocation="
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd"> <bean id="shiroSecurityFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- 配置安全管理器 -->
<property name="securityManager" ref="securityManager"/>
<!-- 登录的url 指的是提交登录信息的url login.do -->
<property name="loginUrl" value="/login.do"/>
<!-- 认证通过跳转的页码 只在浏览器第一次请求系统的时候起作用,之后就不起作用了 一般不需要配,默认跳转到你前一次请求的路径 -->
<!-- <property name="successUrl" value="/main.do"></property> -->
<!-- 授权没有通过跳转的页面 可以指定错误页面-->
<property name="unauthorizedUrl" value="error.jsp"/>
<property name="filters">
<map>
<entry key="authc" value-ref="formAuthenticationFilter"></entry>
</map>
</property> <!-- shiro 连接约束配置 -->
<property name="filterChainDefinitions">
<value>
/index.do=anon<!--登录页面可以匿名访问 -->
/logout.do=logout<!-- 退出过滤器 -->
/**=authc<!-- 需要认证才可访问 -->
</value>
</property>
</bean>
<!-- 配置登录form 登录用户名name属性,密码name属性 存放错误信息的key值 -->
<bean id="formAuthenticationFilter" class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
<property name="usernameParam" value="user"/>
<property name="passwordParam" value="pwd"/>
<!-- request 域中错误信息的key 用户login.do中获取认证错误信息 -->
<property name="failureKeyAttribute" value="shiroException"/>
</bean> <!-- 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="customRealm"/>
</bean> <!-- 配置自定义realm -->
<bean id="customRealm" class="com.td.realm.CustomRealm">
<property name="credentialsMatcher" ref="credentialsMatcher"/>
</bean> <!-- 配置认证器 -->
<bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<property name="hashAlgorithmName" value="md5"/>
<property name="hashIterations" value="2"/>
</bean>
</beans>
securityManager:这个属性是必须的。
loginUrl:没有登录认证的用户请求将跳转到此地址,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。
unauthorizedUrl:没有权限默认跳转的页面。
shiro过滤器
anon:例子/admins/**=anon 没有参数,表示可以匿名使用。
authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数
roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。
perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。
rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。
port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString
是你访问的url里的?后面的参数。
authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证
ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查
注:
这些过滤器分为两组,一组是认证过滤器,一组是授权过滤器。
anon,authcBasic,auchc,user是认证过滤器,
perms,roles,ssl,rest,port是授权过滤器
FormAuthenticationFilter 拦截器
通过查看默认的拦截器链 最终发现进行认证拦截的是FormAuthenticationFilter这个拦截器
进入它的父类AuthenticationFilter 可以看到执行的login的方法这里边发现如果登录失败,会回调FormAuthenticationFilter的一个登录失败的方法
最终取到的就是上边默认的错误属性名 shiroLoginFailure
自定义拦截器
web.xml添加shiro Filter
<!-- 配置shiro拦截器 -->
<filter>
<filter-name>shiroFilter</filter-name>
<!-- 配置一个代理拦截器 因为项目启动之后 shiro的拦截器还没有加载,需要通过代理拦截器 来进行分配 -->
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<!-- 设置true由servlet容器控制filter的生命周期 false 由pring来控制生命周期-->
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
<!-- 指定拦截器的名称,如果不配置默认查找和拦截器名称(filter-name)相同的拦截器对象 -->
<init-param>
<param-name>targetBeanName</param-name>
<!-- 配置的拦截器名称需要和spring-shiro.xml中的bean id 一样 -->
<param-value>shiroFilter</param-value>
</init-param>
</filter> <filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>*.do</url-pattern>
</filter-mapping>
登录controller
/**
* 提交登录的方法
* @param request
* @param model
* @return
*/
@RequestMapping("/login")
public ModelAndView login(HttpServletRequest request,Model model) {
// 认证失败 过滤器会把异常信息放入request域中 key 为shiroLoginFailure
//所以在这里可以通过request获取到错误信息
String shiroLoginFailure = (String) request.getAttribute(FormAuthenticationFilter.DEFAULT_ERROR_KEY_ATTRIBUTE_NAME);
if (shiroLoginFailure!=null) {
if(UnknownAccountException.class.getName().equals(shiroLoginFailure)) {
model.addAttribute("error", "账号错误");
}else if(IncorrectCredentialsException.class.getName().equals(shiroLoginFailure)) {
model.addAttribute("error", "密码错误");
}else {
model.addAttribute("error", "认证错误");
}
}
return new ModelAndView("forward:index.do");
} /**
* 登录页面
* @return
*/
@RequestMapping("/index")
public String index() {
return "login";
}
登录页面
<form class="loginForm" action="${ctx}/login.do" method="post">
<div class="inputbox">
<label for="user">用户名:</label>
<input id="username" type="text" name="usercode" placeholder="请输入用户名" onchange="checkUser()" required/>
<span id="usernameError" style="color:red;"></span>${userError}
</div>
<div class="inputbox">
<label for="password">密码:</label>
<input id="password" type="password" name="pwd" placeholder="请输入密码" required/>
<span style="color:red;">${pwdError}</span>
</div>
<div class="subBtn">
<input type="submit" value="登录" />
<input type="reset" value="重置"/>
</div>
</form>
退出
由于使用shiro的sessionManager,不用开发退出功能,使用shiro的logout拦截器即可。
<!-- 退出拦截,请求logout.action执行退出操作 -->
/logout.do = logout
自定义FormAuthenticationFilter实现登录跳转到main.do页面
经过测试发现successUrl只在浏览器第一次请求的时候才会跳转,之后再次登录不会跳转 ,查看源码发现shiro先查询session中是否有记录(上次请求),如果有获取到上次请求的记录中的url 然后跳转过去,如果没有session才会跳转到successUrl的连接中 ,所有我们只需要在跳转之前情况session即可。
以下为自定义过滤器实现情况的操作
public class MyFormAuthenticationFilter extends FormAuthenticationFilter{
@Override
protected boolean onLoginSuccess(AuthenticationToken token, Subject subject, ServletRequest request,
ServletResponse response) throws Exception {
WebUtils.getAndClearSavedRequest(request);//情况session
// WebUtils.redirectToSavedRequest(request,response,"/main.do");
return super.onLoginSuccess(token, subject, request, response);
}
}
现在就可以放开successUrl的连接了
配置自定义拦截器
使用shiro注解授权
在springmvc.xml中配置shiro注解支持,可在controller方法中使用shiro注解配置权限:
<!-- 开启aop,对类代理 -->
<aop:config proxy-target-class="true"></aop:config>
<!-- 开启shiro注解支持 -->
<bean
class="
org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager" />
</bean>
修改Controller代码,在方法上添加授权注解,如下:
/**
* 进入添加用户页面
* @return
*/
@RequiresPermissions("user:add")
@RequestMapping("/userAddPage")
public String userAddPage() {
return "userAdd";
}
上边代码@RequiresPermissions("user:add")表示必须拥有“user:add”权限方可执行。
无权限refuse.jsp
权限拦截会抛出UnauthorizedException
在spring-mvc.xml中配置
<!-- 接收注解方式抛出的异常 unauthorizedException -->
<bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
<property name="exceptionMappings">
<props>
<!-- refuse 跳转到错误页面名称 -->
<prop key="org.apache.shiro.authz.UnauthorizedException">refuse</prop>
</props>
</property>
</bean>
shiro的jsp标签
Jsp页面添加:
<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro" %>
session管理
在spring-shiro.xml中配置SessionManager
<!-- 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="userRealm" />
<property name="sessionManager" ref="sessionManager" />
</bean>
<!-- 会话管理器 -->
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
<!-- session的失效时长,单位毫秒 -->
<property name="globalSessionTimeout" value="600000"/>
<!-- 删除失效的session -->
<property name="deleteInvalidSessions" value="true"/>
</bean>
缓存
shiro每个授权都会通过realm获取权限信息,为了提高访问速度需要添加缓存,第一次从realm中读取权限数据,之后不再读取,这里Shiro和Ehcache整合。
添加Ehcache的jar包
配置
在applicationContext-shiro.xml中配置缓存管理器。
<!-- 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="userRealm" />
<property name="sessionManager" ref="sessionManager" />
<property name="cacheManager" ref="cacheManager"/>
</bean> <!-- 缓存管理器 -->
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
</bean>
验证码
自定义FormAuthenticationFilter
需要在验证账号和名称之前校验验证码。
public class MyFormAuthenticationFilter extends FormAuthenticationFilter {
protected boolean onAccessDenied(ServletRequest request,
ServletResponse response, Object mappedValue) throws Exception {
// 校验验证码
// 从session获取正确的验证码
HttpSession session = ((HttpServletRequest)request).getSession();
//页面输入的验证码
String randomcode = request.getParameter("randomcode");
//从session中取出验证码
String validateCode = (String) session.getAttribute("validateCode");
if (!randomcode.equals(validateCode)) {
// randomCodeError表示验证码错误
request.setAttribute("shiroLoginFailure", "randomCodeError");
//拒绝访问,不再校验账号和密码
return true;
}
return super.onAccessDenied(request, response, mappedValue);
}
}
修改FormAuthenticationFilter配置
修改applicationContext-shiro.xml中对FormAuthenticationFilter的配置。
<bean id="formAuthenticationFilter"
class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter"> 改为 <bean id="formAuthenticationFilter"
class="cn.td.tderp.shiro.MyFormAuthenticationFilter">
登录页面
添加验证码
<TR>
TD>验证码:</TD>
<TD>
<input id="randomcode" name="randomcode" size="8" />
<img id="randomcode_img" src="${baseurl}validatecode.jsp" alt=""
width="56" height="20" align='absMiddle' />
<a href=javascript:randomcode_refresh()>刷新</a>
</TD>
</TR>
配置validatecode.jsp匿名访问
修改spring-shiro.xml:
记住我
用户登陆选择“自动登陆”本次登陆成功会向cookie写身份信息,下次登陆从cookie中取出身份信息实现自动登陆。
配置
<!-- 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="userRealm" />
<property name="sessionManager" ref="sessionManager" />
<property name="cacheManager" ref="cacheManager"/>
<!-- 记住我 -->
<property name="rememberMeManager" ref="rememberMeManager"/>
</bean> <!-- rememberMeManager管理器 -->
<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
<property name="cookie" ref="rememberMeCookie" />
</bean>
<!-- 记住我cookie -->
<bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
<constructor-arg value="rememberMe" />
<!-- 记住我cookie生效时间30天 -->
<property name="maxAge" value="2592000" />
</bean>
修改formAuthenticationFitler添加页面中“记住我checkbox”的input名称:
<bean id="formAuthenticationFilter"
class="com.td.bill.shiro.MyFormAuthenticationFilter">
<!-- 表单中账号的input名称 -->
<property name="usernameParam" value="usercode" />
<!-- 表单中密码的input名称 -->
<property name="passwordParam" value="password" />
<property name="rememberMeParam" value="rememberMe"/>
<!-- loginurl:用户登陆地址,此地址是可以http访问的url地址 -->
<property name="loginUrl" value="/login.do" />
</bean>
登陆页面
在login.jsp中添加“记住我”checkbox。
<TR>
<TD></TD>
<TD><input type="checkbox" name="rememberMe" />自动登陆</TD>
</TR>