shiro實現登陸安全認證

shiro實現登陸安全認證

shiro的優點,不須要再代碼裏面判斷是否登陸,是否有執行的權限,實現了從前端頁面到後臺代碼的權限的控制很是的靈活方便css

傳統的登陸認證方式是,從前端頁面獲取到用戶輸入的帳號和密碼以後,直接去數據庫查詢帳號和密碼是否匹配和存在,若是匹配和存在就登陸成功,沒有就提示錯誤前端

而shiro的認證方式則是,從前端頁面獲取到用戶輸入的帳號和密碼以後,傳入給一個UsernamePasswordToken對象也就是令牌,java

而後再把令牌傳給subject,subject會調用自定義的 realm,web

realm作的事情就是用前端用戶輸入的用戶名,去數據庫查詢出一條記錄(只用用戶名去查,查詢拿到返回用戶名和密碼),而後再把兩個密碼進行對比,不一致就跑出異常spring

也就是說若是subject.login(token);沒有拋出異常,就表示用戶名和密碼是匹配的,表示登陸成功sql

1.在pom.xml中引入shiro依賴

<!-- 引入shiro框架的依賴 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-all</artifactId>
            <version>1.2.2</version>
        </dependency>

2.在web.xml中配置過濾器

<!-- 配置spring提供的用於整合shiro框架的過濾器 -->
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

3.在applicationContext.xml中配置DelegatingFilterProxy的Bean

<!-- 配置一個shiro框架的過濾器工廠bean,用於建立shiro框架的過濾器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 注入安全管理器對象 -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 注入登陸頁面訪問URL -->
        <property name="loginUrl" value="/login.jsp"/>
        <!-- 注入權限不足提供頁面訪問URL -->
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/><!-- 已經登陸,可是用戶沒有權限的時候才跳轉 -->
        <!-- 配置URL攔截規則 -->
        <property name="filterChainDefinitions">
            <value>
                /css/** = anon
                /js/** = anon
                /images/** = anon
                /validatecode.jsp* = anon
                /login.jsp* = anon
                /userAction_login.action = anon
                /page_base_staff.action = perms["staff"]
                /** = authc<!-- 其餘設置用戶認證才能使用-->
            </value>
        </property>
    </bean>
    
    <!-- 註冊安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"></bean>

經常使用過濾器

經常使用過濾器:
anon:例子/admins/**=anon表示能夠匿名訪問
authc:例如/admins/user/**=authc表示須要認證才能使用,沒有參數
perms:例子/page_base_staff.action = perms["staff"],當前用戶須要有staff權限才能夠訪問。
roles:例子/admins/user/**=roles[admin],當前用戶是否有這個角色權限。

登陸方法的編寫

傳統的登陸方法

public String login(){
                //調用service層查詢帳號和密碼是否一致
                UserBean user= userService.login(model);
                if(user!=null)
                {
                    return "index";
                }
                else
                {
                    addActionError("用戶名和密碼不匹配...");
                    return "login";
                }
                
            }
    }

shiro的登陸認證方法

public String login(){           
                if((!StringUtils.isBlank(checkcode))&&key.contentEquals(checkcode) )
                {
                    Subject subject = SecurityUtils.getSubject();//獲取當前用戶對象
                    //生成令牌(傳入用戶輸入的帳號和密碼)
                    UsernamePasswordToken token=new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));
                    
                    //認證登陸
                    try {
                        //這裏會加載自定義的realm
                subject.login(token);//把令牌放到login裏面進行查詢,若是查詢帳號和密碼時候匹配,若是匹配就把user對象獲取出來,失敗就拋異常
                UserBean user= (UserBean) subject.getPrincipal();//獲取登陸成功的用戶對象(之前是直接去service裏面查)
                ServletActionContext.getRequest().getSession().setAttribute("user", user);
                        return "index";
                    } catch (Exception e) {
                        //認證登陸失敗拋出異常
                        addActionError("用戶名和密碼不匹配...");
                        return "login";
                    }
                }
        }

自定義realm的編寫

public class Bos_realm extends AuthorizingRealm {

    @Resource
    private IUserDao<UserBean> userDao;
    //受權
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
        // TODO Auto-generated method stub
        return null;
    }

    //認證
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        
    UsernamePasswordToken usertoken=(UsernamePasswordToken) token;//獲取令牌(裏面存放new UsernamePasswordToken放入的帳號和密碼)
      
        //獲得帳號和密碼
        String username = usertoken.getUsername();
        
        UserBean findusername = userDao.findByusername(username);//去sql查詢用戶名是否存在,若是存在返回對象(帳號和密碼都有的對象)
      
        if(findusername!=null)//若是用戶名存在
        {
            //參數1.用戶認證的對象(subject.getPrincipal();返回的對象),
            //參數2.從數據庫根據用戶名查詢到的用戶的密碼
            //參數3.把當前自定義的realm對象傳給SimpleAuthenticationInfo,在配置文件須要注入
            AuthenticationInfo Info = new SimpleAuthenticationInfo(findusername, findusername.getPassword(),this.getName());
            return Info;
        
        }else
        {
            return null;
        }
    }

}

在安全管理器裏面注入自定義的realm

<!-- 註冊安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!-- 注入realm到安全管理器進行密碼匹配 -->
    <property name="realm" ref="BosRealm"></property>
    </bean>
    <!-- 自定義的realm -->
    <bean id="BosRealm" class="com.itheima.bos.action.Bos_realm"></bean>

添加權限四方式

1_url

在裏面添加攔截規則數據庫

<!-- 配置URL攔截規則 -->
        <property name="filterChainDefinitions">
            <value>
                /css/** = anon
                /js/** = anon
                /images/** = anon
                /validatecode.jsp* = anon
                /login.jsp* = anon
                /User_login.action= anon
                /page_base_staff.action = perms["staff"] <!-- 攔截page_base_staff.action這個方法必須有staff權限才能使用 -->
                /** = authc
            </value>
        </property>

2_註解

須要在中配置開啓註解掃描才能使用apache

開啓添加權限的註解掃描

<bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
        <!-- 配置強制使用cglib方式爲Action建立代理對象 -->
        <property name="proxyTargetClass" value="true"/>
    </bean>
    
    <!-- 配置shiro框架的切面類 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>
//把訂單設置爲做廢
    @RequiresPermissions("staff.delete")//爲delete這個方法添加staff.delete權限
    public String delete()
    {
        //獲得id
        staffService.deleteBatch(ids);
        return "staff";
    }

3_jsp頁面

須要導入shiro標籤庫安全

<%@ taglib uri="http://shiro.apache.org/tags"  prefix="shiro"%>
/* 有staff權限才能顯示此按鈕 */
<shiro:hasPermission name="staff1">
    {
        id : 'button-delete',
        text : '做廢',
        iconCls : 'icon-cancel',
        handler : doDelete
    },
    </shiro:hasPermission>

4_代碼(幾乎不用)

在要設置權限的代碼中添加一下兩行代碼就能夠了session

//修改
    public String edit()
    {
        Subject subject = SecurityUtils.getSubject();
        subject.checkPermission("staff.edit");//要運行此方法下面的代碼,必需要擁有staff.edit的權限
        //更新model
        staffService.update(model);
        return "staff";
    }

受權

手動受權和認證

由於要受權的權限太多,因此須要一張權限表

public class Bos_realm extends AuthorizingRealm {

    @Resource
    private IUserDao<UserBean> userDao;
    //受權
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {

      
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermission("staff");//爲page_base_staff.action請求受權staff權限
        info.addStringPermission("staff.delete");//爲page_base_staff.action請求受權staff權限
        info.addStringPermission("staff.edit");
        return info;
     
    }

    //用戶的登陸認證
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //這裏添加認證代碼
      
      UsernamePasswordToken usertoken=(UsernamePasswordToken) token;//獲取令牌(裏面存放的有帳號和密碼)
        
        //查詢用戶名是否存在
        String username = usertoken.getUsername();
        
        UserBean findusername = userDao.findByusername(username);//去sql查詢用戶名是否存在
        if(findusername!=null)//若是用戶名存在
        {
            //參數1.用戶認證的對象(subject.getPrincipal();返回的對象),
            //參數2.從數據庫根據用戶名查詢到的用戶的密碼
            //參數3.把當前自定義的realm對象傳給SimpleAuthenticationInfo,在配置文件須要注入
            AuthenticationInfo Info = new SimpleAuthenticationInfo(findusername, findusername.getPassword(),this.getName());
            return Info;
        
        }else
        {
            return null;
        }
      

}

遍歷數據庫受權

獲取當前登陸的用戶,去數據庫查詢當前用戶的全部權限,而後添加

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();       

        //獲取當前用戶
        UserBean findusername = session.get......;
        
        //結果集
        List<AuthFunction> functionList =null;

        //去sql查詢當前用戶的權限
        if("admin".equals(findusername.getUsername()))//若是是管理員,獲取全部權限
        {
             functionList = functionDao.findAll();
        }else
        {
            String hql = "SELECT DISTINCT f FROM AuthFunction f LEFT OUTER JOIN f.authRoles r LEFT              OUTER JOIN r.userBeans u WHERE u.id = ?";
            functionList = functionDao.findByHQL(hql,findusername.getId());
        }
        
        //遍歷結果集受權
        for (AuthFunction authFunction : functionList) {
            info.addStringPermission(authFunction.getCode());
        }

        return info;
相關文章
相關標籤/搜索