Spring集成Shiro使用小结

shiro的认证流程

Spring集成Shiro使用小结

Application Code：应用程序代码，由开发人员负责开发的

Subject：框架提供的接口，代表当前用户对象

SecurityManager：框架提供的接口，代表安全管理器对象

Realm：可以开发人员编写，框架也提供一些，类似于DAO层，用于访问权限数据

引入maven依赖



   <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-all -->

        <dependency>

            <groupId>org.apache.shiro</groupId>

            <artifactId>shiro-all</artifactId>

            <version>1.3.2</version>

        </dependency>

        <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring -->

        <dependency>

            <groupId>org.apache.shiro</groupId>

            <artifactId>shiro-spring</artifactId>

            <version>1.4.0</version>

        </dependency>

配置web.xml



    <!-- 配置Spring框架提供的用于整合Shiro框架的过滤器   shiro 过滤器一定要保证 要先进入！！

        这个过滤器的名字必须与Spring配置文件中的ben配置id相同

    -->

    <filter>

        <filter-name>shiroFilter</filter-name>

        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

    </filter>

    <filter-mapping>

        <filter-name>shiroFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

在Spring配置文件中配置shiro



    <!--shiro 配置方式-->

    <!--注册realm-->

    <bean id="myRealm" class="top.wintp.crud.service.MyRealm"/>

    <!--配置安全管理器-->

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

        <property name="realm" ref="myRealm"/>

    </bean>

    <!--配置shiro过滤器工厂对象-->

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

        <!--securityManager 注入安全管理器-->

        <property name="securityManager" ref="securityManager"/>

        <!--注入相关页面的访问URL-->

        <property name="loginUrl" value="/user/login.do"/>

        <!--<property name="successUrl"/>-->

        <property name="unauthorizedUrl" value="/user/unAuth.do"/>

        <!--

            注入URL拦截规则

        -->

        <property name="filterChainDefinitions">

            <value>

                /static/** = anon

                /user/login.do=anon

                /user/loginUser.do=anon

                /emp/findAll.do=perms["admin"]

                /** = authc

            </value>

        </property>

    </bean>

MyRealm

package top.wintp.crud.service;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.SimpleAuthenticationInfo;

import org.apache.shiro.authc.UsernamePasswordToken;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.realm.Realm;

import org.apache.shiro.subject.PrincipalCollection;

import org.springframework.beans.factory.annotation.Autowired;

import java.util.List;

import top.wintp.crud.dao.TUserMapper;

import top.wintp.crud.entity.TUser;

import top.wintp.crud.entity.TUserExample;

/**

 * 类描述：

 * <p>

 * 作者：  pyfysf

 * <p>

 * qq:  337081267

 * <p>

 * ****:    http://blog.****.net/pyfysf

 * <p>

 * 个人博客：    http://wintp.top

 * <p>

 * 邮箱：  pyfysf@163.com

 * <p>

 * 时间：2018/8/22

 */

public class MyRealm extends AuthorizingRealm {

    @Autowired

    private TUserMapper mTUserMapper;

    @Override

    protected AuthorizationInfo

    doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        System.out.println("自定义realm授权方法");

    @Override

    protected AuthorizationInfo

    doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        System.out.println("自定义realm授权方法");

        TUser user = (TUser) principalCollection.getPrimaryPrincipal();

        System.out.println(user.getUsername());

        System.out.println(user.getPassword());

        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

        authorizationInfo.addStringPermission("admin");

        //授权

        return authorizationInfo;

    }

    @Override

    protected AuthenticationInfo

    doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        System.out.println("自定义realm认证方法");

        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;

        TUserExample tUserExample = new TUserExample();

        tUserExample.createCriteria().andUsernameEqualTo(token.getUsername());

        List<TUser> tUsers = mTUserMapper.selectByExample(tUserExample);

        if (tUsers != null && tUsers.size() > 0) {

            TUser tUser = tUsers.get(0);

            //简单认证信息对象

            AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(tUser, tUser.getPassword(), this.getName());

            //认证

            return authenticationInfo;

        } else {

            return null;

        }

    }

}

修改用户登录的方法

@Service

public class UserService {

    public boolean loginUser(TUser user) {

        String username = user.getUsername();

        //shiro执行过程  获取当前用户--subject -->然后获取securityManager（安全管理器）(login 登录)

        // 然后调用realm

        //获取当前用户对象 -- 未认证

        Subject subject = SecurityUtils.getSubject();

        UsernamePasswordToken token

                = new UsernamePasswordToken(user.getUsername(), user.getPassword());

        try {

            subject.login(token);

            TUser resultUer = (TUser) subject.getPrincipal();

            System.out.println("登录成功");

            return true;

        } catch (Exception e) {

        //代表认证失败

            e.printStackTrace();

            return false;

        }

    }

}

常用过滤器配置简称

Spring集成Shiro使用小结

注解式编程

首先需要在Spring的配置文件中开启Shiro的注解支持：在applicationContext.xml中加入下面代码：



    <!--开启shiro 框架的注解支持-->

    <bean id="advisorAutoProxyCreator"

          class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">

        <!--默认开启CGLIB代理-->

        <property name="proxyTargetClass" value="true"/>

    </bean>

    <!--配置切面  用于创建代理对象-->

    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>

有了上面的配置，我们就可以在我们的代码中使用Shiro的注解进行权限控制了：



    @RequestMapping("/findAll")

   @RequiresPermissions("emp-check")

    public String findAll(Model model, @RequestParam(value = "pageNum", defaultValue = "1")

            Integer pageNum) {

        logger.info("请求开始>>>>>");

        //书写分页逻辑--在这里进行分页声明之后，后面紧跟的查询就是一个分页目标

        //第二个参数是指定每次查询几条数据

        PageHelper.startPage(pageNum, 5);

        //调用Service里面的方法进行使用

        List<Employee> allEmployees = mEmployeeService.findAll();

        //使用PageInfo来包装返回的数据--可以更好的管理分页逻辑

        //第二个参数是页面上最多显示几个页数，比如限制只显示5个那么就为1,2,3,4,5

        //2,3,4,5,6||||3,4,5,6,7

        PageInfo<Employee> employeePageInfo = new PageInfo<Employee>(allEmployees, 5);

        logger.info("数据为：" + employeePageInfo);

        logger.info("请求结束>>>>>");

        //存储数据，跳转界面

        model.addAttribute("employeePageInfo", employeePageInfo);

        return "list";

    }

中途遇到的问题

配置注解之后，没有起到任何作用。

可能一：在你的spring的配置文件中忽略扫描Controller注解，然而你在Controller中使用了@RequiresPermissions，那么我们需要把上面注解支持的代码配置到Spring-mvc.xml文件中。



    <!--扫描所有包-->

    <context:component-scan base-package="top.wintp.crud">

        <!--除了控制器 都进行注解扫描-->

        <context:exclude-filter type="annotation"

                                expression="org.springframework.stereotype.Controller"/>

    </context:component-scan>

如果有上面的配置，那么spring将不会扫描到Controller注解

可能二：在你的spring-mvc中仅仅只是扫描到了Controller注解，然而你在service层或者dao层用到了@RequiresPermissions，那么我们需要把上面注解支持的代码配置到applicationContext.xml文件中。

  <context:component-scan base-package="top.wintp.crud" use-default-filters="false">

        <!--只扫描控制器即可-->

        <context:include-filter type="annotation"

                                expression="org.springframework.stereotype.Controller"/>

    </context:component-scan>

建议：在Spring的主配置文件中和Springmvc的配置文件中都加入对shiro注解的支持。特别注意:如果两个配置文件中都配置了，注意其id不能相同

在jsp中使用shiro提供的标签库

一、引入标签库

<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

二、使用合适的标签在合适的位置进行使用

例如：

<shiro:hasPermission name="admin">

    <button class="btn btn-primary" id="btn_add_emp">新增</button>

    <button class="btn btn-danger btn_all_del">删除</button>

</shiro:hasPermission>

上述代码为，当当前用户具有admin的权限时，新增和删除按钮才会显示

秒客网

Spring集成Shiro使用小结

shiro的认证流程

引入maven依赖

配置web.xml

在Spring配置文件中配置shiro

MyRealm

修改用户登录的方法

常用过滤器配置简称

注解式编程

中途遇到的问题

在jsp中使用shiro提供的标签库

一、引入标签库

二、使用合适的标签在合适的位置进行使用

相关文章