shiro的優點,不須要再代碼裏面判斷是否登陸,是否有執行的權限,實現了從前端頁面到後臺代碼的權限的控制很是的靈活方便css
傳統的登陸認證方式是,從前端頁面獲取到用戶輸入的帳號和密碼以後,直接去數據庫查詢帳號和密碼是否匹配和存在,若是匹配和存在就登陸成功,沒有就提示錯誤前端
而shiro的認證方式則是,從前端頁面獲取到用戶輸入的帳號和密碼以後,傳入給一個UsernamePasswordToken對象也就是令牌,java
而後再把令牌傳給subject,subject會調用自定義的 realm,web
realm作的事情就是用前端用戶輸入的用戶名,去數據庫查詢出一條記錄(只用用戶名去查,查詢拿到返回用戶名和密碼),而後再把兩個密碼進行對比,不一致就跑出異常spring
也就是說若是subject.login(token);沒有拋出異常,就表示用戶名和密碼是匹配的,表示登陸成功sql
<!-- 引入shiro框架的依賴 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.2.2</version> </dependency>
<!-- 配置spring提供的用於整合shiro框架的過濾器 --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
<!-- 配置一個shiro框架的過濾器工廠bean,用於建立shiro框架的過濾器 --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- 注入安全管理器對象 --> <property name="securityManager" ref="securityManager"/> <!-- 注入登陸頁面訪問URL --> <property name="loginUrl" value="/login.jsp"/> <!-- 注入權限不足提供頁面訪問URL --> <property name="unauthorizedUrl" value="/unauthorized.jsp"/><!-- 已經登陸,可是用戶沒有權限的時候才跳轉 --> <!-- 配置URL攔截規則 --> <property name="filterChainDefinitions"> <value> /css/** = anon /js/** = anon /images/** = anon /validatecode.jsp* = anon /login.jsp* = anon /userAction_login.action = anon /page_base_staff.action = perms["staff"] /** = authc<!-- 其餘設置用戶認證才能使用--> </value> </property> </bean> <!-- 註冊安全管理器 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"></bean>
經常使用過濾器: anon:例子/admins/**=anon表示能夠匿名訪問 authc:例如/admins/user/**=authc表示須要認證才能使用,沒有參數 perms:例子/page_base_staff.action = perms["staff"],當前用戶須要有staff權限才能夠訪問。 roles:例子/admins/user/**=roles[admin],當前用戶是否有這個角色權限。
public String login(){ //調用service層查詢帳號和密碼是否一致 UserBean user= userService.login(model); if(user!=null) { return "index"; } else { addActionError("用戶名和密碼不匹配..."); return "login"; } } }
public String login(){ if((!StringUtils.isBlank(checkcode))&&key.contentEquals(checkcode) ) { Subject subject = SecurityUtils.getSubject();//獲取當前用戶對象 //生成令牌(傳入用戶輸入的帳號和密碼) UsernamePasswordToken token=new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword())); //認證登陸 try { //這裏會加載自定義的realm subject.login(token);//把令牌放到login裏面進行查詢,若是查詢帳號和密碼時候匹配,若是匹配就把user對象獲取出來,失敗就拋異常 UserBean user= (UserBean) subject.getPrincipal();//獲取登陸成功的用戶對象(之前是直接去service裏面查) ServletActionContext.getRequest().getSession().setAttribute("user", user); return "index"; } catch (Exception e) { //認證登陸失敗拋出異常 addActionError("用戶名和密碼不匹配..."); return "login"; } } }
public class Bos_realm extends AuthorizingRealm { @Resource private IUserDao<UserBean> userDao; //受權 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) { // TODO Auto-generated method stub return null; } //認證 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken usertoken=(UsernamePasswordToken) token;//獲取令牌(裏面存放new UsernamePasswordToken放入的帳號和密碼) //獲得帳號和密碼 String username = usertoken.getUsername(); UserBean findusername = userDao.findByusername(username);//去sql查詢用戶名是否存在,若是存在返回對象(帳號和密碼都有的對象) if(findusername!=null)//若是用戶名存在 { //參數1.用戶認證的對象(subject.getPrincipal();返回的對象), //參數2.從數據庫根據用戶名查詢到的用戶的密碼 //參數3.把當前自定義的realm對象傳給SimpleAuthenticationInfo,在配置文件須要注入 AuthenticationInfo Info = new SimpleAuthenticationInfo(findusername, findusername.getPassword(),this.getName()); return Info; }else { return null; } } }
<!-- 註冊安全管理器 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <!-- 注入realm到安全管理器進行密碼匹配 --> <property name="realm" ref="BosRealm"></property> </bean> <!-- 自定義的realm --> <bean id="BosRealm" class="com.itheima.bos.action.Bos_realm"></bean>
在裏面添加攔截規則數據庫
<!-- 配置URL攔截規則 --> <property name="filterChainDefinitions"> <value> /css/** = anon /js/** = anon /images/** = anon /validatecode.jsp* = anon /login.jsp* = anon /User_login.action= anon /page_base_staff.action = perms["staff"] <!-- 攔截page_base_staff.action這個方法必須有staff權限才能使用 --> /** = authc </value> </property>
須要在中配置開啓註解掃描才能使用apache
<bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"> <!-- 配置強制使用cglib方式爲Action建立代理對象 --> <property name="proxyTargetClass" value="true"/> </bean> <!-- 配置shiro框架的切面類 --> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>
//把訂單設置爲做廢 @RequiresPermissions("staff.delete")//爲delete這個方法添加staff.delete權限 public String delete() { //獲得id staffService.deleteBatch(ids); return "staff"; }
須要導入shiro標籤庫安全
<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro"%>
/* 有staff權限才能顯示此按鈕 */ <shiro:hasPermission name="staff1"> { id : 'button-delete', text : '做廢', iconCls : 'icon-cancel', handler : doDelete }, </shiro:hasPermission>
在要設置權限的代碼中添加一下兩行代碼就能夠了session
//修改 public String edit() { Subject subject = SecurityUtils.getSubject(); subject.checkPermission("staff.edit");//要運行此方法下面的代碼,必需要擁有staff.edit的權限 //更新model staffService.update(model); return "staff"; }
由於要受權的權限太多,因此須要一張權限表
public class Bos_realm extends AuthorizingRealm { @Resource private IUserDao<UserBean> userDao; //受權 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) { SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); info.addStringPermission("staff");//爲page_base_staff.action請求受權staff權限 info.addStringPermission("staff.delete");//爲page_base_staff.action請求受權staff權限 info.addStringPermission("staff.edit"); return info; } //用戶的登陸認證 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { //這裏添加認證代碼 UsernamePasswordToken usertoken=(UsernamePasswordToken) token;//獲取令牌(裏面存放的有帳號和密碼) //查詢用戶名是否存在 String username = usertoken.getUsername(); UserBean findusername = userDao.findByusername(username);//去sql查詢用戶名是否存在 if(findusername!=null)//若是用戶名存在 { //參數1.用戶認證的對象(subject.getPrincipal();返回的對象), //參數2.從數據庫根據用戶名查詢到的用戶的密碼 //參數3.把當前自定義的realm對象傳給SimpleAuthenticationInfo,在配置文件須要注入 AuthenticationInfo Info = new SimpleAuthenticationInfo(findusername, findusername.getPassword(),this.getName()); return Info; }else { return null; } }
獲取當前登陸的用戶,去數據庫查詢當前用戶的全部權限,而後添加
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); //獲取當前用戶 UserBean findusername = session.get......; //結果集 List<AuthFunction> functionList =null; //去sql查詢當前用戶的權限 if("admin".equals(findusername.getUsername()))//若是是管理員,獲取全部權限 { functionList = functionDao.findAll(); }else { String hql = "SELECT DISTINCT f FROM AuthFunction f LEFT OUTER JOIN f.authRoles r LEFT OUTER JOIN r.userBeans u WHERE u.id = ?"; functionList = functionDao.findByHQL(hql,findusername.getId()); } //遍歷結果集受權 for (AuthFunction authFunction : functionList) { info.addStringPermission(authFunction.getCode()); } return info;