詳解登陸認證及受權--Shiro系列（一）

時間 2019-11-30

標籤詳解登陸認證受權 shiro 系列简体版

原文原文鏈接

Apache Shiro 是一個強大而靈活的開源安全框架，它乾淨利落地處理身份認證，受權，企業會話管理和加密。
Apache Shiro 的首要目標是易於使用和理解。安全有時候是很複雜的，甚至是痛苦的，但它沒有必要這樣。框架應該儘量掩蓋複雜的地方，露出一個乾淨而直觀的 API，來簡化開發人員在使他們的應用程序安全上的努力。
如下是你能夠用 Apache Shiro 所作的事情：
驗證用戶來覈實他們的身份
對用戶執行訪問控制，如：
判斷用戶是否被分配了一個肯定的安全角色。
判斷用戶是否被容許作某事。
在任何環境下使用 Session API，即便沒有 Web 或 EJB 容器。
在身份驗證，訪問控制期間或在會話的生命週期，對事件做出反應。
彙集一個或多個用戶安全數據的數據源，並做爲一個單一的複合用戶「視圖」。css

啓用單點登陸（SSO）功能。html

併發登陸管理（一個帳號多人登陸做踢人操做）。java

爲沒有關聯到登陸的用戶啓用"Remember Me"服務。
…web

以及更多——所有集成到緊密結合的易於使用的 API 中。spring

目前Java領域主流的安全框架有SpringSecurity和Shiro，相比於SpringSecurity，Shiro輕量化，簡單容易上手，且不侷限於Java和Spring；SpringSecurity太笨重了，難以上手，且只能在Spring裏用，因此博主極力推薦Shiro。apache

spring集成shiro要用到shiro-all-1.2.4.jarspring-mvc

jar包下載地址：http://download.csdn.net/detail/qq_33556185/9540257安全

第一步：配置shiro.xml文件併發

shiro.xml配置文件代碼：mvc

[html] view plain copy

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:tx="http://www.springframework.org/schema/tx" xmlns:context="http://www.springframework.org/schema/context"
xmlns:mvc="http://www.springframework.org/schema/mvc"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-4.2.xsd
http://www.springframework.org/schema/tx
http://www.springframework.org/schema/tx/spring-tx-4.2.xsd
http://www.springframework.org/schema/context
http://www.springframework.org/schema/context/spring-context-4.2.xsd
http://www.springframework.org/schema/mvc
http://www.springframework.org/schema/mvc/spring-mvc-4.2.xsd">
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" />
<property name="loginUrl" value="/toLogin" />
<property name="unauthorizedUrl" value="/unauthorizedUrl.jsp" />
<property name="filterChainDefinitions">
<value>
/loginin=anon
/toLogin=anon
/css/**=anon
/html/**=anon
/images/**=anon
/js/**=anon
/upload/**=anon
/userList=authc,perms[/userList]
/toDeleteUser=authc,perms[/toDeleteUser]
/** = authc
</value>
</property>
</bean>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="myRealm" />
</bean>
<bean id="myRealm" class="com.core.shiro.realm.CustomRealm" />
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
<bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
<property name="prefix" value="/"/>
<property name="suffix" value=".jsp"></property>
</bean>
</beans>

anno表明不須要受權便可訪問，對於靜態資源，訪問權限都設置爲anno

authc表示須要登陸纔可訪問

/userList=roles[admin]的含義是要訪問/userList須要有admin這個角色，若是沒有此角色訪問此URL會返回無受權頁面

/userList=authc,perms[/userList]的含義是要訪問/userList須要有/userList的權限，要是沒分配此權限訪問此URL會返回無受權頁面

[html] view plain copy

<bean id="myRealm" class="com.core.shiro.realm.CustomRealm" />

這個是業務對象，須要咱們去實現。

第二步：在web.xml文件里加載shiro.xml,和加載其餘配置文件是同樣的，就很少說了

[html] view plain copy

<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
classpath*:/spring/spring-common.xml,
classpath*:/spring/shiro.xml
</param-value>
</context-param>

第三步：配置shiroFilter，全部請求都要先進shiro的代理類

[html] view plain copy

<!--
DelegatingFilterProxy類是一個代理類，全部的請求都會首先發到這個filter代理
而後再按照"filter-name"委派到spring中的這個bean。
在Spring中配置的bean的name要和web.xml中的<filter-name>同樣.
targetFilterLifecycle，是否由spring來管理bean的生命週期，設置爲true有個好處，能夠調用spring後續的bean
-->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>
org.springframework.web.filter.DelegatingFilterProxy
</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

第四步：自定義realm

[java] view plain copy

package com.core.shiro.realm;
import java.util.List;
import javax.annotation.Resource;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.util.StringUtils;
import com.core.shiro.dao.IPermissionDao;
import com.core.shiro.dao.IRoleDao;
import com.core.shiro.dao.IUserDao;
import com.core.shiro.entity.Permission;
import com.core.shiro.entity.Role;
import com.core.shiro.entity.User;
public class CustomRealm extends AuthorizingRealm{
@Resource
private IUserDao userDao;
@Resource
private IPermissionDao permissionDao;
@Resource
private IRoleDao roleDao;
/**
* 添加角色
* @param username
* @param info
*/
private void addRole(String username, SimpleAuthorizationInfo info) {
List<Role> roles = roleDao.findByUser(username);
if(roles!=null&&roles.size()>0){
for (Role role : roles) {
info.addRole(role.getRoleName());
}
}
}
/**
* 添加權限
* @param username
* @param info
* @return
*/
private SimpleAuthorizationInfo addPermission(String username,SimpleAuthorizationInfo info) {
List<Permission> permissions = permissionDao.findPermissionByName(username);
for (Permission permission : permissions) {
info.addStringPermission(permission.getUrl());//添加權限
}
return info;
}
/**
* 獲取受權信息
*/
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
//用戶名
String username = (String) principals.fromRealm(getName()).iterator().next();
//根據用戶名來添加相應的權限和角色
if(!StringUtils.isEmpty(username)){
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
addPermission(username,info);
addRole(username, info);
return info;
}
return null;
}
/**
* 登陸驗證
*/
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken ) throws AuthenticationException {
//令牌——基於用戶名和密碼的令牌
UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
//令牌中能夠取出用戶名
String accountName = token.getUsername();
//讓shiro框架去驗證帳號密碼
if(!StringUtils.isEmpty(accountName)){
User user = userDao.findUser(accountName);
if(user != null){
return new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(), getName());
}
}
return null;
}
}

第五步：控制層代碼

[java] view plain copy

package com.core.shiro.controller;
import javax.servlet.http.HttpServletRequest;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
@Controller
public class ShiroAction {
@RequestMapping("loginin")
public String login(HttpServletRequest request){
//當前Subject
Subject currentUser = SecurityUtils.getSubject();
//加密（md5+鹽），返回一個32位的字符串小寫
String salt="("+request.getParameter("username")+")";
String md5Pwd=new Md5Hash(request.getParameter("password"),salt).toString();
//傳遞token給shiro的realm
UsernamePasswordToken token = new UsernamePasswordToken(request.getParameter("username"),md5Pwd);
try {
currentUser.login(token);
return "welcome";
} catch (AuthenticationException e) {//登陸失敗
request.setAttribute("msg", "用戶名和密碼錯誤");
}
return "login";
}
@RequestMapping("toLogin")
public String toLogin(){
return "login";
}
}

第六步：login頁面略

login請求調用currentUser.login以後，shiro會將token傳遞給自定義realm,此時realm會先調用doGetAuthenticationInfo(AuthenticationToken authcToken )登陸驗證的方法，驗證經過後會接着調用 doGetAuthorizationInfo(PrincipalCollection principals)獲取角色和權限的方法（受權），最後返回視圖。

當其餘請求進入shiro時，shiro會調用doGetAuthorizationInfo(PrincipalCollection principals)去獲取受權信息，如果沒有權限或角色，會跳轉到未受權頁面，如有權限或角色，shiro會放行，ok，此時進入真正的請求方法……

到此shiro的認證及受權便完成了。

http://blog.csdn.net/qq_33556185/article/details/51579680