談談Shiro的原理及在SSM和SpringBoot兩種環境下的使用姿式(下篇)

在上一篇中,我已經對Shiro中認證和受權模塊基本認證作了介紹,本篇主要介紹Shiro在SSM的工程中的整合使用方式和在SpringBoot工程中的使用方式。

接上篇:談談Shiro的原理及在SSM和SpringBoot兩種環境下的使用姿式(上篇)

##首先是在SSM工程中的整合

以前咱們在SSM工程中做爲身份認證和權限攔截的模塊是經過攔截器的方式來實現的。如今咱們去掉攔截器,使用Shiro整合搭建工程。

1. 首先搭建基本的SSM工程。我這裏仍是採用了傳統的SSM工程結構。利用maven建立一個骨架爲web的工程中,而後在pom文件中引入依賴。

2. 配置web.xml文件,注意這裏因爲咱們是採用Shiro做爲安全模塊,因此咱們這裏會在web.xml中配置一個代理的Filter,這個代理的Filter由Shiro實現並在Spring中配置。這個Filter將會攔截咱們系統中全部的請求,而後進行處理。也就是起到了原來攔截器的做用。

   <!-- 這裏須要配置一個Filter,將由Shiro實現 -->
      	<filter>
    		<filter-name>shiroFilter</filter-name>
    		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    		<!-- 設置true由servlet容器控制filter的生命週期 -->
    		<init-param>
    			<param-name>targetFilterLifecycle</param-name>
    			<param-value>true</param-value>
    		</init-param>
    		<!-- 設置spring容器filter的bean id，若是不設置則找與filter-name一致的bean-->
    		<init-param>
    			<param-name>targetBeanName</param-name>
    			<param-value>shiroFilter</param-value>
    		</init-param>
    	</filter>
    	<filter-mapping>
    		<filter-name>shiroFilter</filter-name>
    		<url-pattern>/*</url-pattern>
    	</filter-mapping>
   複製代碼

3. 在src/main/resources中引入db.properties和Mybatis的配置文件SqlMapConfig.xml。而後咱們對工程中進行MyBatis配置。

   <!DOCTYPE configuration PUBLIC "-//mybatis.org//DTD Config 3.0//EN"
    	"http://mybatis.org/dtd/mybatis-3-config.dtd">
    	<configuration>
    		<!-- 定義 別名 -->
    		<typeAliases>
    			<package name="com.beautifulsoup.shiro.ssmdemo.entity"/>
    		</typeAliases>
    	</configuration>
   複製代碼

4. 配置Spring的環境和SpringMVC的環境。在src/main/resources目錄下建立spring目錄,而後依次建立applicationContext-dao.xml,applicationContext-service.xml,applicationContext-trans.xml,springmvc.xml文件。以後在這些文件中進行SSM框架整合的配置。

5. 在第3步的spring目錄下建立一個applicationContext-shiro.xml的配置文件,咱們在web.xml中配置所需的Filter將在這裏註冊。 首先在web.xml中咱們已經指定了filter bean的名字是shiroFilter,因此咱們註冊的filter的beanname也應該是shiroFilter。此外,在上一篇的基本介紹中咱們也知道了,Shiro中的核心是SecurityManager,SecurityManager最終交給Realm進行認證和受權,因此這些咱們也應該在Spring配置文件中配置,交給Spring容器管理。

   <!-- 配置Realm -->
    			<bean id="shiroDemoRealm" class="com.beautifulsoup.shiro.ssmdemo.realm.ShiroDemoRealm"/>
    			<!-- 配置安全管理器 -->
    			<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    				<property name="realm" ref="shiroDemoRealm" />
    			</bean>
    			<!-- Shiro 的Web過濾器 -->
    			<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    				<property name="securityManager" ref="securityManager" />
    				<!-- 若是沒有認證將要跳轉的登錄地址 -->
    				<property name="loginUrl" value="/login.action" />
    				<!-- 沒有權限跳轉的地址 -->
    				<property name="unauthorizedUrl" value="/refuse.jsp" />
    				<property name="filterChainDefinitions">
    					<value>
    						/** = anon
    					</value>
    				</property>
    			</bean>
   複製代碼

爲了簡單,我直接使用了上一次所介紹的realm類。

能夠看到,這裏咱們主要是配置了一個ShiroFilterFactoryBean,這是一個工廠類,它主要用於生產ShiroFilter,咱們能夠在這個工廠Bean中定義一系列咱們所須要的Filter鏈。Shiro這個框架自己就爲咱們提供了不少的過濾器,經過使用這些已經內置的過濾器已經可以很好的實現咱們所須要實現的功能。上面咱們配置的/**=anon表示對於該工程中全部的url均可以以匿名的方式來訪問,anon表示一個過濾器的縮寫,除此以外,Shiro還提供了其餘的一系列的過濾器。以下:

過濾器簡稱	對應的實際過濾器
		anon	org.apache.shiro.web.filter.authc.AnonymousFilter
		authc	org.apache.shiro.web.filter.authc.FormAuthenticationFilter
		authcBasic	org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
		perms	org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
		port	org.apache.shiro.web.filter.authz.PortFilter
		rest	org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
		roles	org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
		ssl	org.apache.shiro.web.filter.authz.SslFilter
		user	org.apache.shiro.web.filter.authc.UserFilter
		logout	org.apache.shiro.web.filter.authc.LogoutFilter
複製代碼

接下來,咱們就經過這些攔截器來實現咱們SSM工程的認證和受權。

認證 代碼在(v0.3標籤下) 登陸和退出: 配置以下:

<bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
			<property name="hashAlgorithmName" value="md5"/>
			<property name="hashIterations" value="3"/>
		</bean>
		<bean id="shiroDemoRealm" class="com.beautifulsoup.shiro.ssmdemo.realm.ShiroDemoRealm">
			<property name="credentialsMatcher" ref="credentialsMatcher"></property>
		</bean>
		<!-- 配置安全管理器 -->
		<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
			<property name="realm" ref="shiroDemoRealm" />
		</bean>
		<!-- Shiro 的Web過濾器 -->
		<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
			<property name="securityManager" ref="securityManager" />
			<!-- 若是沒有認證將要跳轉的登錄地址 -->
			<property name="loginUrl" value="/login.action" />
			<!-- 沒有權限跳轉的地址 -->
			<property name="unauthorizedUrl" value="/refuse.jsp" />
			<property name="filterChainDefinitions">
				<value>
					<!-- 定義退出的路徑 -->
					/logout.action = logout
					/** = authc					
				</value>
			</property>
		</bean>
複製代碼

主要經過FormAuthenticationFilter實現。這裏須要注意的是,咱們提交認證的表單的參數默認爲username和password,記住個人蔘數默認爲:rememberMe。緣由以下:

注意,當咱們在系統中採用FormAuthenticationFilter做爲配置時,FormAuthenticationFilter會將表單的提交參數取出,並調用realm進行認證。若是認證失敗,則系統自動跳轉到咱們配置的loginUrl的連接地址,同時會將認證失敗的異常信息添加到request中,咱們能夠在Controller中定義一個方法接受loginUrl配置的連接地址,而後從中取出異常信息進行二次處理。而若是咱們認證成功了,系統的成功處理器會默認跳轉到咱們將要訪問的url路徑。咱們可使用相似loginUrl的配置配置一個successUrl實現自定義的成功跳轉邏輯。

受權:

代碼在v0.4標籤下

上面提到了,Shiro的web模塊主要是爲咱們提供了一系列的過濾器Filter,在傳統的ssm項目整合過程當中,咱們是經過將Shiro交給Spring進行管理而後在容器中配置一個過濾器鏈。

上面提到的認證是經過配置過濾器FormAuthenticationFilter完成的,這裏的受權是經過配置PermissionsAuthorizationFilter完成的。

配置以下:

<bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
			<property name="hashAlgorithmName" value="md5"/>
			<property name="hashIterations" value="3"/>
		</bean>
		<bean id="shiroDemoRealm" class="com.beautifulsoup.shiro.ssmdemo.realm.ShiroDemoRealm">
			<property name="credentialsMatcher" ref="credentialsMatcher"></property>
		</bean>
		<!-- 配置安全管理器 -->
		<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
			<property name="realm" ref="shiroDemoRealm" />
		</bean>
		<!-- Shiro 的Web過濾器 -->
		<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
			<property name="securityManager" ref="securityManager" />
			<!-- 若是沒有認證將要跳轉的登錄地址 -->
			<property name="loginUrl" value="/login.action" />
			<!-- 沒有權限跳轉的地址 -->
			<property name="unauthorizedUrl" value="/refuse.action" />
			<property name="filterChainDefinitions">
				<value>
					<!-- 定義所需的權限信息 -->
					/item/query.action=perms[item:query]
					/item/delete02.action=perms[item:delete:02]
					<!-- 定義退出的路徑 -->
					/logout.action = logout
					/** = authc					
				</value>
			</property>
		</bean>
複製代碼

除了xml中的配置,shiro還提供了註解的受權的方法。因爲註解的受權方式本質上是Spring的AOP的代理方式,因此咱們須要在Spring的配置文件中開啓AOP的支持。:

<aop:config proxy-target-class="true"></aop:config>
		<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
			<property name="securityManager" ref="securityManager" />
		</bean>
		
		在Controller中使用
		
		@RequestMapping("/delete02")
		@RequiresPermissions("item:delete:02")
		public String itemDelete(){
			
			
			return "delete02item";
		}
		
		@RequiresPermissions("item:query")
		@RequestMapping("/query")
		public String ItemQuery(){
			return "itemquery";
		}
複製代碼

咱們在每次查詢權限信息的時候,控制檯總會彈出警告:

這是提示咱們沒有添加緩存,這會使得咱們頻繁查詢數據庫致使效率低下。在上一節的基本概念中也已經提到過幾個重要的概念,其中CacheManager就是實現緩存管理的,SessionManager是實現的Session的管理。

這裏咱們使用Shiro整合EhCache來實現緩存的管理。

<!-- 緩存管理器 -->
	<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
		<property name="cacheManagerConfigFile" value="classpath:shiro-ehcache.xml"/>
	</bean>
	
	ehcache的配置文件:
	<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:noNamespaceSchemaLocation="../config/ehcache.xsd">
		<!--diskStore：緩存數據持久化的目錄 地址  -->
		<diskStore path="D:\Temp" />
		<defaultCache 
			maxElementsInMemory="1000" 
			maxElementsOnDisk="10000000"
			eternal="false" 
			overflowToDisk="false" 
			diskPersistent="false"
			timeToIdleSeconds="120"
			timeToLiveSeconds="120" 
			diskExpiryThreadIntervalSeconds="120"
			memoryStoreEvictionPolicy="LRU">
		</defaultCache>
	</ehcache>
複製代碼

Shiro在SSM傳統工程中的整合工程大多就這些,下面簡單說一下關於SpringBoot整合Shiro的使用方式。

##而後是在SpringBoot工程中的整合:

SpringBoot是對Spring傳統項目的簡化,天然Shiro與SpringBoot的整合也是Shiro與Spring整合的簡化。SpringBoot與Shiro的整合相似於SSM工程與Shiro的整合。這裏只介紹關於整合的不一樣之處。對於SSM的整合和SpringBoot整合的完整代碼都已經上傳Github。

主要是將原來的XML中的配置提取到了Java配置中,核心的Java Config的類以下:
		@Bean("credentialMatcher")
	    public CredentialMatcher credentialMatcher(){
	        return new CredentialMatcher();
	    }
	
	    @Bean("authRealm")
	    public AuthRealm authRealm(@Qualifier("credentialMatcher")CredentialMatcher matcher){
	        AuthRealm authRealm=new AuthRealm();
	        authRealm.setCredentialsMatcher(matcher);
	        return authRealm;
	    }
	
	    @Bean("securityManager")
	    public SecurityManager securityManager(@Qualifier("authRealm") AuthRealm authRealm){
	        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
	        securityManager.setRealm(authRealm);
	        return securityManager;
	    }
	
	    @Bean
	    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager")SecurityManager securityManager){
	        ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();
	        shiroFilterFactoryBean.setSecurityManager(securityManager);
	        shiroFilterFactoryBean.setLoginUrl("/login");
	        shiroFilterFactoryBean.setSuccessUrl("/index");
	        shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized");
	
	        LinkedHashMap<String,String> filterChainDefinitionMap=new LinkedHashMap<>();
	        filterChainDefinitionMap.put("/login","anon");
	        filterChainDefinitionMap.put("/index","authc");
	        filterChainDefinitionMap.put("/loginUser","anon");
	        //filterChainDefinitionMap.put("/**","user");//配置shiro只要用戶登陸就能夠查看全部url
	        filterChainDefinitionMap.put("/admin", "roles[role3]");
	        filterChainDefinitionMap.put("/edit", "perms[item:create:01]");
	        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
	        return shiroFilterFactoryBean;
	    }
	
	    @Bean
	    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager")SecurityManager securityManager){
	        AuthorizationAttributeSourceAdvisor advisor=new AuthorizationAttributeSourceAdvisor();
	        advisor.setSecurityManager(securityManager);
	        return advisor;
	    }
	
	    @Bean
	    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
	        DefaultAdvisorAutoProxyCreator creator=new DefaultAdvisorAutoProxyCreator();
	        creator.setProxyTargetClass(true);
	        return creator;
	    }
複製代碼

這裏能夠看到,其實SpringBoot中咱們徹底可使用Java配置替代XML配置,具體的整合思路仍是同樣的。

最後: ###SSM整合Shiro的代碼地址:github.com/fuyunwang/S…

###SpringBoot整合Shiro的代碼地址:github.com/fuyunwang/S…

若是對您有過幫助,但願您隨手一個star。