shiro實現登陸安全認證
shiro實現登陸安全認證
shiro的優點,不須要再代碼裏面判斷是否登陸,是否有執行的權限,實現了從前端頁面到後臺代碼的權限的控制很是的靈活方便css
傳統的登陸認證方式是,從前端頁面獲取到用戶輸入的帳號和密碼以後,直接去數據庫查詢帳號和密碼是否匹配和存在,若是匹配和存在就登陸成功,沒有就提示錯誤前端
而shiro的認證方式則是,從前端頁面獲取到用戶輸入的帳號和密碼以後,傳入給一個UsernamePasswordToken對象也就是令牌,java
而後再把令牌傳給subject,subject會調用自定義的 realm,web
realm作的事情就是用前端用戶輸入的用戶名,去數據庫查詢出一條記錄(只用用戶名去查,查詢拿到返回用戶名和密碼),而後再把兩個密碼進行對比,不一致就跑出異常spring
也就是說若是subject.login(token);沒有拋出異常,就表示用戶名和密碼是匹配的,表示登陸成功sql
1.在pom.xml中引入shiro依賴
<!-- 引入shiro框架的依賴 -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.2.2</version>
</dependency>
2.在web.xml中配置過濾器
<!-- 配置spring提供的用於整合shiro框架的過濾器 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
3.在applicationContext.xml中配置DelegatingFilterProxy的Bean
<!-- 配置一個shiro框架的過濾器工廠bean,用於建立shiro框架的過濾器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- 注入安全管理器對象 -->
<property name="securityManager" ref="securityManager"/>
<!-- 注入登陸頁面訪問URL -->
<property name="loginUrl" value="/login.jsp"/>
<!-- 注入權限不足提供頁面訪問URL -->
<property name="unauthorizedUrl" value="/unauthorized.jsp"/><!-- 已經登陸,可是用戶沒有權限的時候才跳轉 -->
<!-- 配置URL攔截規則 -->
<property name="filterChainDefinitions">
<value>
/css/** = anon
/js/** = anon
/images/** = anon
/validatecode.jsp* = anon
/login.jsp* = anon
/userAction_login.action = anon
/page_base_staff.action = perms["staff"]
/** = authc<!-- 其餘設置用戶認證才能使用-->
</value>
</property>
</bean>
<!-- 註冊安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"></bean>
經常使用過濾器
經常使用過濾器: anon:例子/admins/**=anon表示能夠匿名訪問 authc:例如/admins/user/**=authc表示須要認證才能使用,沒有參數 perms:例子/page_base_staff.action = perms["staff"],當前用戶須要有staff權限才能夠訪問。 roles:例子/admins/user/**=roles[admin],當前用戶是否有這個角色權限。
登陸方法的編寫
傳統的登陸方法
public String login(){
//調用service層查詢帳號和密碼是否一致
UserBean user= userService.login(model);
if(user!=null)
{
return "index";
}
else
{
addActionError("用戶名和密碼不匹配...");
return "login";
}
}
}
shiro的登陸認證方法
public String login(){
if((!StringUtils.isBlank(checkcode))&&key.contentEquals(checkcode) )
{
Subject subject = SecurityUtils.getSubject();//獲取當前用戶對象
//生成令牌(傳入用戶輸入的帳號和密碼)
UsernamePasswordToken token=new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));
//認證登陸
try {
//這裏會加載自定義的realm
subject.login(token);//把令牌放到login裏面進行查詢,若是查詢帳號和密碼時候匹配,若是匹配就把user對象獲取出來,失敗就拋異常
UserBean user= (UserBean) subject.getPrincipal();//獲取登陸成功的用戶對象(之前是直接去service裏面查)
ServletActionContext.getRequest().getSession().setAttribute("user", user);
return "index";
} catch (Exception e) {
//認證登陸失敗拋出異常
addActionError("用戶名和密碼不匹配...");
return "login";
}
}
}
自定義realm的編寫
public class Bos_realm extends AuthorizingRealm {
@Resource
private IUserDao<UserBean> userDao;
//受權
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
// TODO Auto-generated method stub
return null;
}
//認證
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
UsernamePasswordToken usertoken=(UsernamePasswordToken) token;//獲取令牌(裏面存放new UsernamePasswordToken放入的帳號和密碼)
//獲得帳號和密碼
String username = usertoken.getUsername();
UserBean findusername = userDao.findByusername(username);//去sql查詢用戶名是否存在,若是存在返回對象(帳號和密碼都有的對象)
if(findusername!=null)//若是用戶名存在
{
//參數1.用戶認證的對象(subject.getPrincipal();返回的對象),
//參數2.從數據庫根據用戶名查詢到的用戶的密碼
//參數3.把當前自定義的realm對象傳給SimpleAuthenticationInfo,在配置文件須要注入
AuthenticationInfo Info = new SimpleAuthenticationInfo(findusername, findusername.getPassword(),this.getName());
return Info;
}else
{
return null;
}
}
}
在安全管理器裏面注入自定義的realm
<!-- 註冊安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 注入realm到安全管理器進行密碼匹配 -->
<property name="realm" ref="BosRealm"></property>
</bean>
<!-- 自定義的realm -->
<bean id="BosRealm" class="com.itheima.bos.action.Bos_realm"></bean>
添加權限四方式
1_url
在裏面添加攔截規則數據庫
<!-- 配置URL攔截規則 -->
<property name="filterChainDefinitions">
<value>
/css/** = anon
/js/** = anon
/images/** = anon
/validatecode.jsp* = anon
/login.jsp* = anon
/User_login.action= anon
/page_base_staff.action = perms["staff"] <!-- 攔截page_base_staff.action這個方法必須有staff權限才能使用 -->
/** = authc
</value>
</property>
2_註解
須要在中配置開啓註解掃描才能使用apache
開啓添加權限的註解掃描
<bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
<!-- 配置強制使用cglib方式爲Action建立代理對象 -->
<property name="proxyTargetClass" value="true"/>
</bean>
<!-- 配置shiro框架的切面類 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>
//把訂單設置爲做廢
@RequiresPermissions("staff.delete")//爲delete這個方法添加staff.delete權限
public String delete()
{
//獲得id
staffService.deleteBatch(ids);
return "staff";
}
3_jsp頁面
須要導入shiro標籤庫安全
<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro"%>
/* 有staff權限才能顯示此按鈕 */
<shiro:hasPermission name="staff1">
{
id : 'button-delete',
text : '做廢',
iconCls : 'icon-cancel',
handler : doDelete
},
</shiro:hasPermission>
4_代碼(幾乎不用)
在要設置權限的代碼中添加一下兩行代碼就能夠了session
//修改
public String edit()
{
Subject subject = SecurityUtils.getSubject();
subject.checkPermission("staff.edit");//要運行此方法下面的代碼,必需要擁有staff.edit的權限
//更新model
staffService.update(model);
return "staff";
}
受權
手動受權和認證
由於要受權的權限太多,因此須要一張權限表
public class Bos_realm extends AuthorizingRealm {
@Resource
private IUserDao<UserBean> userDao;
//受權
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermission("staff");//爲page_base_staff.action請求受權staff權限
info.addStringPermission("staff.delete");//爲page_base_staff.action請求受權staff權限
info.addStringPermission("staff.edit");
return info;
}
//用戶的登陸認證
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//這裏添加認證代碼
UsernamePasswordToken usertoken=(UsernamePasswordToken) token;//獲取令牌(裏面存放的有帳號和密碼)
//查詢用戶名是否存在
String username = usertoken.getUsername();
UserBean findusername = userDao.findByusername(username);//去sql查詢用戶名是否存在
if(findusername!=null)//若是用戶名存在
{
//參數1.用戶認證的對象(subject.getPrincipal();返回的對象),
//參數2.從數據庫根據用戶名查詢到的用戶的密碼
//參數3.把當前自定義的realm對象傳給SimpleAuthenticationInfo,在配置文件須要注入
AuthenticationInfo Info = new SimpleAuthenticationInfo(findusername, findusername.getPassword(),this.getName());
return Info;
}else
{
return null;
}
}
遍歷數據庫受權
獲取當前登陸的用戶,去數據庫查詢當前用戶的全部權限,而後添加
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//獲取當前用戶
UserBean findusername = session.get......;
//結果集
List<AuthFunction> functionList =null;
//去sql查詢當前用戶的權限
if("admin".equals(findusername.getUsername()))//若是是管理員,獲取全部權限
{
functionList = functionDao.findAll();
}else
{
String hql = "SELECT DISTINCT f FROM AuthFunction f LEFT OUTER JOIN f.authRoles r LEFT OUTER JOIN r.userBeans u WHERE u.id = ?";
functionList = functionDao.findByHQL(hql,findusername.getId());
}
//遍歷結果集受權
for (AuthFunction authFunction : functionList) {
info.addStringPermission(authFunction.getCode());
}
return info;
相關文章
- 1. Shiro登陸認證
- 2. Shiro+easyUI+SpringMVC實現登陸認證
- 3. Springboot+shiro學習一(身份認證)實現登陸認證
- 4. 安全登陸認證
- 5. Shiro安全認證
- 6. springboot2+shiro+jwt整合(一)登陸認證
- 7. shiro多登陸入口,多realm認證
- 8. Shiro 登陸認證及權限管理
- 9. shiro 之 認證登陸的demo——轉載
- 10. shiro 之 認證登陸的demo
- 更多相關文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • C# 不安全代碼 - C#教程
- • ☆基於Java Instrument的Agent實現
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
歡迎關注本站公眾號,獲取更多信息
