apache shiro框架简介
apache shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。现在,使用apache shiro的人越来越多,因为它相当简单,相比比spring security,shiro可能没有spring security那么多强大的功能,但是在实际工作时可能并不需要那么复杂的东西,所以使用简单的shiro就足够了。
以下是你可以用 apache shiro所做的事情:
shiro的4大核心部分——身份验证,授权,会话管理和加密
authentication:身份验证,简称“登录”。
authorization:授权,给用户分配角色或者权限资源
session management:用户session管理器,可以让cs程序也使用session来控制权限
cryptography:把jdk中复杂的密码加密方式进行封装。
除了以上功能,shiro还提供很多扩展
web support:主要针对web应用提供一些常用功能。
caching:缓存可以使应用程序运行更有效率。
concurrency:多线程相关功能。
testing:帮助我们进行测试相关功能
run as:一个允许用户假设为另一个用户身份(如果允许)的功能,有时候在管理脚本很有用。
remember me:记住用户身份,提供类似购物车功能。
shiro框架认证流程
application code:应用程序代码,由开发人员负责开发的
subject:框架提供的接口,是与程序进行交互的对象,可以是人也可以是服务或者其他,通常就理解为用户。所有subject 实例都必须绑定到一个securitymanager上。我们与一个 subject 交互,运行时shiro会自动转化为与 securitymanager交互的特定 subject的交互。
securitymanager:框架提供的接口,是 shiro的核心,代表安全管理器对象。初始化时协调各个模块运行。然而,一旦 securitymanager协调完毕,securitymanager 会被单独留下,且我们只需要去操作subject即可,无需操作securitymanager 。 但是我们得知道,当我们正与一个 subject 进行交互时,实质上是 securitymanager在处理 subject 安全操作。
realm:可以开发人员编写,框架也提供一些。realms在 shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。他获取安全数据来判断subject是否能够登录,subject拥有什么权限。他有点类似dao。在配置realms时,需要至少一个realm。而且shiro提供了一些常用的 realms来连接数据源,如ldap数据源的jndildaprealm,jdbc数据源的jdbcrealm,ini文件数据源的inirealm,properties文件数据源的propertiesrealm,等等。我们也可以插入自己的 realm实现来代表自定义的数据源。 像其他组件一样,realms也是由securitymanager控制。
更详细的图
下面就开始shiro与ssm工程的整合使用
下载地址:
下载下来这两个个文件,一个jar包,一个源码文件
首先,第一步,将jar包导入到工程中
然后,第二步,在web.xml中配置spring框架提供的用于整合shiro框架的过滤器(一定要放到springmvc或struts框架过滤器的前面,为了保险起见,放到最上面就好了)
1
2
3
4
5
6
7
8
9
|
<!--配置过滤器,用于整合shiro-->
<filter>
<filter-name>shirofilter</filter-name>
<filter- class >org.springframework.web.filter.delegatingfilterproxy</filter- class >
</filter>
<filter-mapping>
<filter-name>shirofilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
|
第三步,在spring配置文件中配置bean,id为shirofilter
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|
<!-- 配置shiro框架的过滤器工厂bean -->
<bean id= "shirofilter" class = "org.apache.shiro.spring.web.shirofilterfactorybean" >
<property name= "securitymanager" ref= "securitymanager" />
<property name= "loginurl" value= "/index.jsp" />
<property name= "successurl" value= "" />
<property name= "unauthorizedurl" value= "/noprivilegeui.jsp" />
<!-- 指定url级别拦截策略 -->
<property name= "filterchaindefinitions" >
<value>
/script/** = anon
/style/** = anon
/index.jsp* = anon
/noprivilegeui.jsp* = anon
/user/login = anon
/role/findallrolelist = perms[ "角色管理" ]
/** = authc
</value>
</property>
</bean>
|
securitymanager:这个属性是必须的。
loginurl :没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。
successurl :登录成功默认跳转页面,可以不配置,不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面,则在登录自动跳转到那个需要登录的页面。不跳转到此。
unauthorizedurl :没有权限默认跳转的页面。
anon: 例子/admins/** = anon 没有参数,表示可以匿名使用(需要认证(登录))。
authc : 例如/admins/user/** = authc 表示需要认证(登录)才能使用,没有参数
roles:例子/admins/user/** = roles[admin], 参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/** = roles["admin,guest"], 每个参数通过才算通过,相当于hasallroles()方法。
perms:例子/admins/user/** = perms[user:add:*], 参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/** = perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于 ispermitedall()方法。
rest:例子/admins/user/** = rest[user];根据请求的方法,相当于/admins/user/** = perms[user:method] ;其中method为post,get,delete等。
port:例子/admins/user/** = port[8081]; 当请求的url的端口不是8081是跳转到schemal://servername:8081?querystring,其中schmal是协议http或https等,servername是你访问的host,8081是url配置里port的端口,querystring
是你访问的url里的?后面的参数。
authcbasic:例如/admins/user/** = authcbasic; 没有参数表示httpbasic认证
ssl:例子/admins/user/** = ssl;没有参数,表示安全的url请求,协议为https
user:例如/admins/user/** = user; 没有参数表示必须存在用户,当登入操作时不做检查
注:anon,authcbasic,auchc,user是认证过滤器,
perms,roles,ssl,rest,port是授权过滤器
第四步:配置安全管理器
1
2
|
<!-- 配置安全管理器 -->
<bean id= "securitymanager" class = "org.apache.shiro.web.mgt.defaultwebsecuritymanager" />
|
第五步:写一个login方法,使用shiro提供的方式进行认证操作
这是我之前的login方法,以这种方法,shiro是不知道登录验证通过了的,一直不通过,所以我们要以shiro提供的认证操作方式进行登录操作
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
/**
* 登录
*/
@requestmapping ( "/login" )
public string login(user user, httpservletrequest request, model model){
httpsession session = request.getsession();
user newuser = userservice.login(user);
if (newuser != null ){
session.setattribute( "loginuser" ,newuser);
return "home/home" ;
}
model.addattribute( "errormessage" , "用户名或者密码不正确!" );
return "forward:/index.jsp" ;
}
|
修改后的login方法
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
|
/**
* 使用shiro框架提供的方式进行认证登录
*/
@requestmapping ( "/login" )
public string login(user user, httpservletrequest request, model model){
httpsession session = request.getsession();
//使用shiro框架提供的方式进行认证
subject subject = securityutils.getsubject(); //获得当前登录用户对象,现在状态为 “未认证”
//用户名密码令牌
authenticationtoken token = new usernamepasswordtoken(user.getloginname(), md5utils.md5(user.getpassword()));
try {
subject.login(token); //执行你自定义的realm
user user1 = (user) subject.getprincipal();
session.setattribute( "loginuser" ,user1);
return "home/home" ;
} catch (unknownaccountexception e){
e.printstacktrace();
model.addattribute( "errormessage" , "此用户名不存在!" );
} catch (incorrectcredentialsexception e){
e.printstacktrace();
model.addattribute( "errormessage" , "密码不正确!" );
} catch (exception e){
e.printstacktrace();
}
return "forward:/index.jsp" ;
}
|
第六步:自定义realm,并注入给安全管理器
创建一个userrealm类,继承authorizingrealm这个类
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
|
public class userrealm extends authorizingrealm{
@autowired
private userdao userdao;
//认证方法
@override
protected authenticationinfo dogetauthenticationinfo(authenticationtoken token) throws authenticationexception {
system.out.println( "realm中的认证方法执行了。。。。" );
usernamepasswordtoken mytoken = (usernamepasswordtoken) token;
string loginname = mytoken.getusername();
//根据用户名查询数据库中的用户,这个方法是自己写的
user user = userdao.finduserbyloginname(loginname);
if (user == null ){
//用户名不存在
return null ;
}
//如果能查询到,再由框架比对数据库中查询到的密码和页面提交的密码是否一致
authenticationinfo info = new simpleauthenticationinfo(user, user.getpassword(), this .getname());
return info;
}
//授权方法
@override
protected authorizationinfo dogetauthorizationinfo(principalcollection principals) {
return null ;
}
}
|
将自定义realm注入给安全管理器
1
2
3
4
5
6
7
|
<!-- 配置安全管理器 -->
<bean id= "securitymanager" class = "org.apache.shiro.web.mgt.defaultwebsecuritymanager" >
<!-- 注入realm -->
<property name= "realm" ref= "userrealm" />
</bean>
<!-- 注册自定义realm -->
<bean id= "userrealm" class = "com.demo.privilege.service.realm.userrealm" />
|
到这里程序就可以正常运行了,登录后进入首页
但是点击角色管理,会进入没有权限的页面
这是因为我在spring配置文件中配置了 /role/findallrolelist = perms["角色管理"],而我还没有给当前用户授权,所以当前用户没有权限访问此路径
所以要给该用户授权,在userrealm类中,编写授权方法
1
2
3
4
5
6
7
8
9
10
11
12
|
//授权方法
@override
protected authorizationinfo dogetauthorizationinfo(principalcollection principals){
simpleauthorizationinfo info = new simpleauthorizationinfo();
user user = (user) principals.getprimaryprincipal();
for (role role : user.getroles()){
for (privilege privilege : role.getprivileges()){
info.addstringpermission(privilege.getname());
}
}
return info;
}
|
这样,就可以正常访问了,这个授权方法是在访问/role/findallrolelist这个路径时,shiro框架自动调用的
我们之前进行权限控制是在spring配置文件中配置了 /role/findallrolelist = perms["角色管理"] ,现在介绍另一种方式,也是我比较喜欢的方式, 使用注解方式进行权限控制
使用shiro的方法注解方式权限控制
第一步:在springmvc配置文件中开启shiro注解支持(注意:springmvc框架,放到springmvc配置文件中,struts放到spring配置文件中)
1
2
3
4
5
6
7
8
9
10
11
|
<!-- 保证实现了shiro内部lifecycle函数的bean执行 -->
<bean id= "lifecyclebeanpostprocessor" class = "org.apache.shiro.spring.lifecyclebeanpostprocessor" />
<!-- 开启shiro框架注解支持 -->
<!-- 自动代理 -->
<bean id= "defaultadvisorautoproxycreator" class = "org.springframework.aop.framework.autoproxy.defaultadvisorautoproxycreator" depends-on= "lifecyclebeanpostprocessor" >
<!-- value必须设置为 true 使用cglib方式为对象创建代理对象,
默认为 false ,设为 false ,就是使用jdk方式为对象创建代理对象,程序会出错 -->
<property name= "proxytargetclass" value= "true" />
</bean>
<!-- 配置shiro框架提供的切面类,用于创建代理对象 -->
<bean class = "org.apache.shiro.spring.security.interceptor.authorizationattributesourceadvisor" />
|
第二步:在controller的方法上使用shiro注解------ @requirespermissions("") 执行这个方法必须有相应的权限
1
2
3
4
5
6
7
8
9
10
|
/**
* 查询岗位列表
*/
@requirespermissions ( "角色列表" ) //执行这个方法必须有角色列表这个权限
@requestmapping ( "/findallrolelist" )
public string findallrolelist(model model){
list<role> rolelist = roleservice.findallrolelist();
model.addattribute( "rolelist" ,rolelist);
return "role/list" ;
}
|
@requiresauthentication
验证用户是否登录,等同于方法subject.isauthenticated() 结果为true时。
@ requiresuser
验证用户是否被记忆,user有两种含义:
一种是成功登录的(subject.isauthenticated() 结果为true);
另外一种是被记忆的( subject.isremembered()结果为true)。
@ requiresguest
验证是否是一个guest的请求,与@ requiresuser完全相反。
换言之,requiresuser == ! requiresguest 。
此时subject.getprincipal() 结果为null.
@ requiresroles
例如:
1
2
|
@requiresroles ( "arolename" );
void somemethod();
|
如果subject中有arolename角色才可以访问方法somemethod。如果没有这个权限则会抛出异常authorizationexception。
@requirespermissions
例如:
1
2
|
@requirespermissions ( { "file:read" , "write:afile.txt" } )
void somemethod();
|
要求subject中必须同时含有file:read和write:afile.txt的权限才能执行方法somemethod()。否则抛出异常authorizationexception。
注解方式的权限控制就完成了,但这种方式没有权限时不会自动跳转到没有权限的页面,而是直接把异常抛到页面了,所以我们要配置一个全局的异常处理
第三步:在springmvc配置文件中,进行如下配置,配置全局异常捕获,当shiro框架抛出权限不足异常时,跳转到权限不足提示页面
1
2
3
4
5
6
7
8
|
<!-- 全局异常处理 -->
<bean class = "org.springframework.web.servlet.handler.simplemappingexceptionresolver" >
<property name= "exceptionmappings" >
<props>
<prop key= "org.apache.shiro.authz.unauthorizedexception" >redirect:/noprivilegeui.jsp</prop>
</props>
</property>
</bean>
|
使用shiro提供的页面标签方式权限控制
最后,说一说shiro提供的页面标签
第一步:在jsp页面中引入shiro的标签库
1
|
<%@ taglib uri= "http://shiro.apache.org/tags" prefix= "shiro" %>
|
第二步:使用shiro的标签控制页面元素展示
这样,一个shiro入门程序就完成了。
总结
以上所述是小编给大家介绍的apache shiro的简单介绍与使用教程(与spring整合使用),希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对服务器之家网站的支持!
原文链接:http://www.cnblogs.com/xiaobai1226/p/7634575.html