Shiro第四篇【Shiro與Spring整合、快速入門、Shiro過濾器、登錄認證】
Spring與Shiro整合
導入jar包
- shiro-web的jar、
- shiro-spring的jar
- shiro-code的jar
快速入門
shiro也經過filter進行攔截。filter攔截後將操做權交給spring中配置的filterChain(過慮鏈兒)java
在web.xml中配置filterweb
<!-- shiro的filter --> <!-- shiro過慮器,DelegatingFilterProxy經過代理模式將spring容器中的bean和filter關聯起來 --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <!-- 設置true由servlet容器控制filter的生命週期 --> <init-param> <param-name>targetFilterLifecycle</param-name> <param-value>true</param-value> </init-param> <!-- 設置spring容器filter的bean id,若是不設置則找與filter-name一致的bean--> <init-param> <param-name>targetBeanName</param-name> <param-value>shiroFilter</param-value> </init-param> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
在applicationContext-shiro.xml 中配置web.xml中fitler對應spring容器中的bean。spring
<!-- web.xml中shiro的filter對應的bean --> <!-- Shiro 的Web過濾器 --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager" /> <!-- loginUrl認證提交地址,若是沒有認證將會請求此地址進行認證,請求此地址將由formAuthenticationFilter進行表單認證 --> <property name="loginUrl" value="/login.action" /> <!-- 認證成功統一跳轉到first.action,建議不配置,shiro認證成功自動到上一個請求路徑 --> <!-- <property name="successUrl" value="/first.action"/> --> <!-- 經過unauthorizedUrl指定沒有權限操做時跳轉頁面--> <property name="unauthorizedUrl" value="/refuse.jsp" /> <!-- 自定義filter配置 --> <property name="filters"> <map> <!-- 將自定義 的FormAuthenticationFilter注入shiroFilter中--> <entry key="authc" value-ref="formAuthenticationFilter" /> </map> </property> <!-- 過慮器鏈定義,從上向下順序執行,通常將/**放在最下邊 --> <property name="filterChainDefinitions"> <value> <!--全部url均可以匿名訪問--> /** = anon </value> </property> </bean>
配置安全管理器數據庫
<!-- securityManager安全管理器 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="customRealm" /> </bean>
配置reamlapache
<!-- realm --> <bean id="customRealm" class="cn.itcast.ssm.shiro.CustomRealm"> </bean>
步驟:安全
- 在web.xml文件中配置shiro的過濾器
- 在對應的Spring配置文件中配置與之對應的filterChain(過慮鏈兒)
- 配置安全管理器,注入自定義的reaml
- 配置自定義的reaml
靜態資源不攔截
咱們在spring配置過濾器鏈的時候,咱們發現這麼一行代碼:markdown
<!--全部url均可以匿名訪問 -->
/** = anon
anon其實就是shiro內置的一個過濾器,上邊的代碼就表明着全部的匿名用戶均可以訪問session
固然了,後邊咱們還須要配置其餘的信息,爲了讓頁面可以正常顯示,咱們的靜態資源通常是不須要被攔截的。app
因而咱們能夠這樣配置:dom
<!-- 對靜態資源設置匿名訪問 -->
/images/** = anon
/js/** = anon
/styles/** = anon
初識shiro過濾器
上面咱們瞭解到了anno過濾器的,shiro還有其餘的過濾器的..咱們來看看
經常使用的過濾器有下面幾種:
anon:例子/admins/**=anon 沒有參數,表示能夠匿名使用。
authc:例如/admins/user/**=authc表示須要認證(登陸)才能使用,FormAuthenticationFilter是表單認證,沒有參數
perms:例子/admins/user/**=perms[user:add:*],參數能夠寫多個,多個時必須加上引號,而且參數之間用逗號分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],當有多個參數時必須每一個參數都經過才經過,想當於isPermitedAll()方法。
user:例如/admins/user/**=user沒有參數表示必須存在用戶, 身份認證經過或經過記住我認證經過的能夠訪問,當登入操做時不作檢查
登錄與退出
使用FormAuthenticationFilter過慮器實現 ,原理以下:
- 當用戶沒有認證時,請求loginurl進行認證【上邊咱們已經配置了】,用戶身份和用戶密碼提交數據到loginurl
- FormAuthenticationFilter攔截住取出request中的username和password(兩個參數名稱是能夠配置的)
- FormAuthenticationFilter**調用realm傳入一個token**(username和password)
- realm認證時根據username查詢用戶信息(在Activeuser中存儲,包括 userid、usercode、username、menus)。
- 若是查詢不到,realm返回null,FormAuthenticationFilter向request域中填充一個參數(記錄了異常信息)
登錄頁面
因爲FormAuthenticationFilter的用戶身份和密碼的input的默認值(username和password),修改頁面的帳號和密碼的input的名稱爲username和password
<TR> <TD>用戶名:</TD> <TD colSpan="2"><input type="text" id="usercode" name="username" style="WIDTH: 130px" /></TD> </TR> <TR> <TD>密 碼:</TD> <TD><input type="password" id="pwd" name="password" style="WIDTH: 130px" /> </TD> </TR>
登錄代碼實現
上面咱們已經說了,當用戶沒有認證的時候,請求的loginurl進行認證,用戶身份的用戶密碼提交數據到loginrul中。
當咱們提交到loginurl的時候,表單過濾器會自動解析username和password去調用realm來進行認證。最終在request域對象中存儲shiroLoginFailure認證信息,若是返回的是異常的信息,那麼咱們在login中拋出異常便可
//登錄提交地址,和applicationContext-shiro.xml中配置的loginurl一致 @RequestMapping("login") public String login(HttpServletRequest request)throws Exception{ //若是登錄失敗從request中獲取認證異常信息,shiroLoginFailure就是shiro異常類的全限定名 String exceptionClassName = (String) request.getAttribute("shiroLoginFailure"); //根據shiro返回的異常類路徑判斷,拋出指定異常信息 if(exceptionClassName!=null){ if (UnknownAccountException.class.getName().equals(exceptionClassName)) { //最終會拋給異常處理器 throw new CustomException("帳號不存在"); } else if (IncorrectCredentialsException.class.getName().equals( exceptionClassName)) { throw new CustomException("用戶名/密碼錯誤"); } else if("randomCodeError".equals(exceptionClassName)){ throw new CustomException("驗證碼錯誤 "); }else { throw new Exception();//最終在異常處理器生成未知錯誤 } } //此方法不處理登錄成功(認證成功),shiro認證成功會自動跳轉到上一個請求路徑 //登錄失敗還到login頁面 return "login"; }
配置認證過濾器
<value> <!-- 對靜態資源設置匿名訪問 --> /images/** = anon /js/** = anon /styles/** = anon <!-- /** = authc 全部url都必須認證經過才能夠訪問--> /** = authc </value>
退出
不用咱們去實現退出,只要去訪問一個退出的url(該 url是能夠不存在),由LogoutFilter攔截住,清除session。
在applicationContext-shiro.xml配置LogoutFilter:
<!-- 請求 logout.action地址,shiro去清除session-->
/logout.action = logout
認證後信息在頁面顯示
一、認證後用戶菜單在首頁顯示
二、認證後用戶的信息在頁頭顯示
realm從數據庫查詢用戶信息,將用戶菜單、usercode、username等設置在SimpleAuthenticationInfo中。
//realm的認證方法,從數據庫查詢用戶信息 @Override protected AuthenticationInfo doGetAuthenticationInfo( AuthenticationToken token) throws AuthenticationException { // token是用戶輸入的用戶名和密碼 // 第一步從token中取出用戶名 String userCode = (String) token.getPrincipal(); // 第二步:根據用戶輸入的userCode從數據庫查詢 SysUser sysUser = null; try { sysUser = sysService.findSysUserByUserCode(userCode); } catch (Exception e1) { // TODO Auto-generated catch block e1.printStackTrace(); } // 若是查詢不到返回null if(sysUser==null){// return null; } // 從數據庫查詢到密碼 String password = sysUser.getPassword(); //鹽 String salt = sysUser.getSalt(); // 若是查詢到返回認證信息AuthenticationInfo //activeUser就是用戶身份信息 ActiveUser activeUser = new ActiveUser(); activeUser.setUserid(sysUser.getId()); activeUser.setUsercode(sysUser.getUsercode()); activeUser.setUsername(sysUser.getUsername()); //.. //根據用戶id取出菜單 List<SysPermission> menus = null; try { //經過service取出菜單 menus = sysService.findMenuListByUserId(sysUser.getId()); } catch (Exception e) { // TODO Auto-generated catch block e.printStackTrace(); } //將用戶菜單 設置到activeUser activeUser.setMenus(menus); //將activeUser設置simpleAuthenticationInfo SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo( activeUser, password,ByteSource.Util.bytes(salt), this.getName()); return simpleAuthenticationInfo; }
配置憑配器,由於咱們用到了md5和散列
<!-- 憑證匹配器 --> <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher"> <property name="hashAlgorithmName" value="md5" /> <property name="hashIterations" value="1" /> </bean>
<!-- realm --> <bean id="customRealm" class="cn.itcast.ssm.shiro.CustomRealm"> <!-- 將憑證匹配器設置到realm中,realm按照憑證匹配器的要求進行散列 --> <property name="credentialsMatcher" ref="credentialsMatcher"/> </bean>
在跳轉到首頁的時候,取出用戶的認證信息,轉發到JSP便可
//系統首頁 @RequestMapping("/first") public String first(Model model)throws Exception{ //從shiro的session中取activeUser Subject subject = SecurityUtils.getSubject(); //取身份信息 ActiveUser activeUser = (ActiveUser) subject.getPrincipal(); //經過model傳到頁面 model.addAttribute("activeUser", activeUser); return "/first"; }
相關文章
- 1. Shiro第四篇【Shiro與Spring整合、快速入門、Shiro過濾器、登錄認證】
- 2. Shiro【受權、整合Spirng、Shiro過濾器】
- 3. shiro登錄認證過程
- 4. Shiro快速入門 —— 4.登錄認證(身份驗證)
- 5. Shiro入門(四)Shiro登錄驗證源碼及策略
- 6. spring boot整合shiro之shiro過濾器介紹
- 7. Spring與Shiro整合 登錄操做
- 8. shiro認證 -Spring與Shiro集成
- 9. springboot整合shiro -快速入門(二)
- 10. Shiro登錄認證流程
- 更多相關文章...
- • PHP 過濾器 - PHP教程
- • MyBatis與Spring的整合實例 - MyBatis教程
- • YAML 入門教程
- • Java Agent入門實戰(一)-Instrumentation介紹與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
