Shiro第四篇【Shiro與Spring整合、快速入門、Shiro過濾器、登錄認證】
Spring與Shiro整合
導入jar包
- shiro-web的jar、
- shiro-spring的jar
- shiro-code的jar
快速入門
shiro也經過filter進行攔截。filter攔截後將操做權交給spring中配置的filterChain(過慮鏈兒)css
在web.xml中配置filterjava
<!-- shiro的filter -->
<!-- shiro過慮器,DelegatingFilterProxy經過代理模式將spring容器中的bean和filter關聯起來 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<!-- 設置true由servlet容器控制filter的生命週期 -->
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
<!-- 設置spring容器filter的bean id,若是不設置則找與filter-name一致的bean-->
<init-param>
<param-name>targetBeanName</param-name>
<param-value>shiroFilter</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
在applicationContext-shiro.xml 中配置web.xml中fitler對應spring容器中的bean。web
<!-- web.xml中shiro的filter對應的bean -->
<!-- Shiro 的Web過濾器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" />
<!-- loginUrl認證提交地址,若是沒有認證將會請求此地址進行認證,請求此地址將由formAuthenticationFilter進行表單認證 -->
<property name="loginUrl" value="/login.action" />
<!-- 認證成功統一跳轉到first.action,建議不配置,shiro認證成功自動到上一個請求路徑 -->
<!-- <property name="successUrl" value="/first.action"/> -->
<!-- 經過unauthorizedUrl指定沒有權限操做時跳轉頁面-->
<property name="unauthorizedUrl" value="/refuse.jsp" />
<!-- 自定義filter配置 -->
<property name="filters">
<map>
<!-- 將自定義 的FormAuthenticationFilter注入shiroFilter中-->
<entry key="authc" value-ref="formAuthenticationFilter" />
</map>
</property>
<!-- 過慮器鏈定義,從上向下順序執行,通常將/**放在最下邊 -->
<property name="filterChainDefinitions">
<value>
<!--全部url均可以匿名訪問-->
/** = anon
</value>
</property>
</bean>
配置安全管理器spring
<!-- securityManager安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="customRealm" />
</bean>
配置reaml數據庫
<!-- realm -->
<bean id="customRealm" class="cn.itcast.ssm.shiro.CustomRealm">
</bean>
步驟:apache
- 在web.xml文件中配置shiro的過濾器
- 在對應的Spring配置文件中配置與之對應的filterChain(過慮鏈兒)
- 配置安全管理器,注入自定義的reaml
- 配置自定義的reaml
靜態資源不攔截
咱們在spring配置過濾器鏈的時候,咱們發現這麼一行代碼:安全
<!--全部url均可以匿名訪問 -->
/** = anon
anon其實就是shiro內置的一個過濾器,上邊的代碼就表明着全部的匿名用戶均可以訪問markdown
固然了,後邊咱們還須要配置其餘的信息,爲了讓頁面可以正常顯示,咱們的靜態資源通常是不須要被攔截的。session
因而咱們能夠這樣配置:app
<!-- 對靜態資源設置匿名訪問 -->
/images/** = anon
/js/** = anon
/styles/** = anon
初識shiro過濾器
上面咱們瞭解到了anno過濾器的,shiro還有其餘的過濾器的..咱們來看看
經常使用的過濾器有下面幾種:
anon:例子/admins/**=anon 沒有參數,表示能夠匿名使用。
authc:例如/admins/user/**=authc表示須要認證(登陸)才能使用,FormAuthenticationFilter是表單認證,沒有參數
perms:例子/admins/user/**=perms[user:add:*],參數能夠寫多個,多個時必須加上引號,而且參數之間用逗號分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],當有多個參數時必須每一個參數都經過才經過,想當於isPermitedAll()方法。
user:例如/admins/user/**=user沒有參數表示必須存在用戶, 身份認證經過或經過記住我認證經過的能夠訪問,當登入操做時不作檢查
登錄與退出
使用FormAuthenticationFilter過慮器實現 ,原理以下:
- 當用戶沒有認證時,請求loginurl進行認證【上邊咱們已經配置了】,用戶身份和用戶密碼提交數據到loginurl
- FormAuthenticationFilter攔截住取出request中的username和password(兩個參數名稱是能夠配置的)
- FormAuthenticationFilter**調用realm傳入一個token**(username和password)
- realm認證時根據username查詢用戶信息(在Activeuser中存儲,包括 userid、usercode、username、menus)。
- 若是查詢不到,realm返回null,FormAuthenticationFilter向request域中填充一個參數(記錄了異常信息)
登錄頁面
因爲FormAuthenticationFilter的用戶身份和密碼的input的默認值(username和password),修改頁面的帳號和密碼的input的名稱爲username和password
<TR>
<TD>用戶名:</TD>
<TD colSpan="2"><input type="text" id="usercode" name="username" style="WIDTH: 130px" /></TD>
</TR>
<TR>
<TD>密 碼:</TD>
<TD><input type="password" id="pwd" name="password" style="WIDTH: 130px" />
</TD>
</TR>
登錄代碼實現
上面咱們已經說了,當用戶沒有認證的時候,請求的loginurl進行認證,用戶身份的用戶密碼提交數據到loginrul中。
當咱們提交到loginurl的時候,表單過濾器會自動解析username和password去調用realm來進行認證。最終在request域對象中存儲shiroLoginFailure認證信息,若是返回的是異常的信息,那麼咱們在login中拋出異常便可
//登錄提交地址,和applicationContext-shiro.xml中配置的loginurl一致 @RequestMapping("login") public String login(HttpServletRequest request)throws Exception{ //若是登錄失敗從request中獲取認證異常信息,shiroLoginFailure就是shiro異常類的全限定名 String exceptionClassName = (String) request.getAttribute("shiroLoginFailure"); //根據shiro返回的異常類路徑判斷,拋出指定異常信息 if(exceptionClassName!=null){ if (UnknownAccountException.class.getName().equals(exceptionClassName)) { //最終會拋給異常處理器 throw new CustomException("帳號不存在"); } else if (IncorrectCredentialsException.class.getName().equals( exceptionClassName)) { throw new CustomException("用戶名/密碼錯誤"); } else if("randomCodeError".equals(exceptionClassName)){ throw new CustomException("驗證碼錯誤 "); }else { throw new Exception();//最終在異常處理器生成未知錯誤 } } //此方法不處理登錄成功(認證成功),shiro認證成功會自動跳轉到上一個請求路徑 //登錄失敗還到login頁面 return "login"; }
配置認證過濾器
<value>
<!-- 對靜態資源設置匿名訪問 -->
/images/** = anon
/js/** = anon
/styles/** = anon
<!-- /** = authc 全部url都必須認證經過才能夠訪問-->
/** = authc
</value>
退出
不用咱們去實現退出,只要去訪問一個退出的url(該 url是能夠不存在),由LogoutFilter攔截住,清除session。
在applicationContext-shiro.xml配置LogoutFilter:
<!-- 請求 logout.action地址,shiro去清除session-->
/logout.action = logout
認證後信息在頁面顯示
一、認證後用戶菜單在首頁顯示
二、認證後用戶的信息在頁頭顯示
realm從數據庫查詢用戶信息,將用戶菜單、usercode、username等設置在SimpleAuthenticationInfo中。
//realm的認證方法,從數據庫查詢用戶信息
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) throws AuthenticationException {
// token是用戶輸入的用戶名和密碼
// 第一步從token中取出用戶名
String userCode = (String) token.getPrincipal();
// 第二步:根據用戶輸入的userCode從數據庫查詢
SysUser sysUser = null;
try {
sysUser = sysService.findSysUserByUserCode(userCode);
} catch (Exception e1) {
// TODO Auto-generated catch block
e1.printStackTrace();
}
// 若是查詢不到返回null
if(sysUser==null){//
return null;
}
// 從數據庫查詢到密碼
String password = sysUser.getPassword();
//鹽
String salt = sysUser.getSalt();
// 若是查詢到返回認證信息AuthenticationInfo
//activeUser就是用戶身份信息
ActiveUser activeUser = new ActiveUser();
activeUser.setUserid(sysUser.getId());
activeUser.setUsercode(sysUser.getUsercode());
activeUser.setUsername(sysUser.getUsername());
//..
//根據用戶id取出菜單
List<SysPermission> menus = null;
try {
//經過service取出菜單
menus = sysService.findMenuListByUserId(sysUser.getId());
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
//將用戶菜單 設置到activeUser
activeUser.setMenus(menus);
//將activeUser設置simpleAuthenticationInfo
SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
activeUser, password,ByteSource.Util.bytes(salt), this.getName());
return simpleAuthenticationInfo;
}
配置憑配器,由於咱們用到了md5和散列
<!-- 憑證匹配器 -->
<bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<property name="hashAlgorithmName" value="md5" />
<property name="hashIterations" value="1" />
</bean>
<!-- realm -->
<bean id="customRealm" class="cn.itcast.ssm.shiro.CustomRealm">
<!-- 將憑證匹配器設置到realm中,realm按照憑證匹配器的要求進行散列 -->
<property name="credentialsMatcher" ref="credentialsMatcher"/>
</bean>
在跳轉到首頁的時候,取出用戶的認證信息,轉發到JSP便可
//系統首頁
@RequestMapping("/first")
public String first(Model model)throws Exception{
//從shiro的session中取activeUser
Subject subject = SecurityUtils.getSubject();
//取身份信息
ActiveUser activeUser = (ActiveUser) subject.getPrincipal();
//經過model傳到頁面
model.addAttribute("activeUser", activeUser);
return "/first";
}
相關文章
- 1. Shiro第四篇【Shiro與Spring整合、快速入門、Shiro過濾器、登錄認證】
- 2. Shiro【受權、整合Spirng、Shiro過濾器】
- 3. shiro登錄認證過程
- 4. Shiro快速入門 —— 4.登錄認證(身份驗證)
- 5. Shiro入門(四)Shiro登錄驗證源碼及策略
- 6. spring boot整合shiro之shiro過濾器介紹
- 7. Spring與Shiro整合 登錄操做
- 8. shiro認證 -Spring與Shiro集成
- 9. springboot整合shiro -快速入門(二)
- 10. Shiro登錄認證流程
- 更多相關文章...
- • PHP 過濾器 - PHP教程
- • MyBatis與Spring的整合實例 - MyBatis教程
- • YAML 入門教程
- • Java Agent入門實戰(一)-Instrumentation介紹與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
