shiro实现登陆安全认证
shiro实现登陆安全认证
shiro的优点,不须要再代码里面判断是否登陆,是否有执行的权限,实现了从前端页面到后台代码的权限的控制很是的灵活方便css
传统的登陆认证方式是,从前端页面获取到用户输入的帐号和密码以后,直接去数据库查询帐号和密码是否匹配和存在,若是匹配和存在就登陆成功,没有就提示错误前端
而shiro的认证方式则是,从前端页面获取到用户输入的帐号和密码以后,传入给一个UsernamePasswordToken对象也就是令牌,java
而后再把令牌传给subject,subject会调用自定义的 realm,web
realm作的事情就是用前端用户输入的用户名,去数据库查询出一条记录(只用用户名去查,查询拿到返回用户名和密码),而后再把两个密码进行对比,不一致就跑出异常spring
也就是说若是subject.login(token);没有抛出异常,就表示用户名和密码是匹配的,表示登陆成功sql
1.在pom.xml中引入shiro依赖
<!-- 引入shiro框架的依赖 -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.2.2</version>
</dependency>
2.在web.xml中配置过滤器
<!-- 配置spring提供的用于整合shiro框架的过滤器 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
3.在applicationContext.xml中配置DelegatingFilterProxy的Bean
<!-- 配置一个shiro框架的过滤器工厂bean,用于建立shiro框架的过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- 注入安全管理器对象 -->
<property name="securityManager" ref="securityManager"/>
<!-- 注入登陆页面访问URL -->
<property name="loginUrl" value="/login.jsp"/>
<!-- 注入权限不足提供页面访问URL -->
<property name="unauthorizedUrl" value="/unauthorized.jsp"/><!-- 已经登陆,可是用户没有权限的时候才跳转 -->
<!-- 配置URL拦截规则 -->
<property name="filterChainDefinitions">
<value>
/css/** = anon
/js/** = anon
/images/** = anon
/validatecode.jsp* = anon
/login.jsp* = anon
/userAction_login.action = anon
/page_base_staff.action = perms["staff"]
/** = authc<!-- 其余设置用户认证才能使用-->
</value>
</property>
</bean>
<!-- 注册安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"></bean>
经常使用过滤器
经常使用过滤器: anon:例子/admins/**=anon表示能够匿名访问 authc:例如/admins/user/**=authc表示须要认证才能使用,没有参数 perms:例子/page_base_staff.action = perms["staff"],当前用户须要有staff权限才能够访问。 roles:例子/admins/user/**=roles[admin],当前用户是否有这个角色权限。
登陆方法的编写
传统的登陆方法
public String login(){
//调用service层查询帐号和密码是否一致
UserBean user= userService.login(model);
if(user!=null)
{
return "index";
}
else
{
addActionError("用户名和密码不匹配...");
return "login";
}
}
}
shiro的登陆认证方法
public String login(){
if((!StringUtils.isBlank(checkcode))&&key.contentEquals(checkcode) )
{
Subject subject = SecurityUtils.getSubject();//获取当前用户对象
//生成令牌(传入用户输入的帐号和密码)
UsernamePasswordToken token=new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));
//认证登陆
try {
//这里会加载自定义的realm
subject.login(token);//把令牌放到login里面进行查询,若是查询帐号和密码时候匹配,若是匹配就把user对象获取出来,失败就抛异常
UserBean user= (UserBean) subject.getPrincipal();//获取登陆成功的用户对象(之前是直接去service里面查)
ServletActionContext.getRequest().getSession().setAttribute("user", user);
return "index";
} catch (Exception e) {
//认证登陆失败抛出异常
addActionError("用户名和密码不匹配...");
return "login";
}
}
}
自定义realm的编写
public class Bos_realm extends AuthorizingRealm {
@Resource
private IUserDao<UserBean> userDao;
//受权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
// TODO Auto-generated method stub
return null;
}
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
UsernamePasswordToken usertoken=(UsernamePasswordToken) token;//获取令牌(里面存放new UsernamePasswordToken放入的帐号和密码)
//获得帐号和密码
String username = usertoken.getUsername();
UserBean findusername = userDao.findByusername(username);//去sql查询用户名是否存在,若是存在返回对象(帐号和密码都有的对象)
if(findusername!=null)//若是用户名存在
{
//参数1.用户认证的对象(subject.getPrincipal();返回的对象),
//参数2.从数据库根据用户名查询到的用户的密码
//参数3.把当前自定义的realm对象传给SimpleAuthenticationInfo,在配置文件须要注入
AuthenticationInfo Info = new SimpleAuthenticationInfo(findusername, findusername.getPassword(),this.getName());
return Info;
}else
{
return null;
}
}
}
在安全管理器里面注入自定义的realm
<!-- 注册安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 注入realm到安全管理器进行密码匹配 -->
<property name="realm" ref="BosRealm"></property>
</bean>
<!-- 自定义的realm -->
<bean id="BosRealm" class="com.itheima.bos.action.Bos_realm"></bean>
添加权限四方式
1_url
在里面添加拦截规则数据库
<!-- 配置URL拦截规则 -->
<property name="filterChainDefinitions">
<value>
/css/** = anon
/js/** = anon
/images/** = anon
/validatecode.jsp* = anon
/login.jsp* = anon
/User_login.action= anon
/page_base_staff.action = perms["staff"] <!-- 拦截page_base_staff.action这个方法必须有staff权限才能使用 -->
/** = authc
</value>
</property>
2_注解
须要在中配置开启注解扫描才能使用apache
开启添加权限的注解扫描
<bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
<!-- 配置强制使用cglib方式为Action建立代理对象 -->
<property name="proxyTargetClass" value="true"/>
</bean>
<!-- 配置shiro框架的切面类 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>
//把订单设置为做废
@RequiresPermissions("staff.delete")//为delete这个方法添加staff.delete权限
public String delete()
{
//获得id
staffService.deleteBatch(ids);
return "staff";
}
3_jsp页面
须要导入shiro标签库安全
<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro"%>
/* 有staff权限才能显示此按钮 */
<shiro:hasPermission name="staff1">
{
id : 'button-delete',
text : '做废',
iconCls : 'icon-cancel',
handler : doDelete
},
</shiro:hasPermission>
4_代码(几乎不用)
在要设置权限的代码中添加一下两行代码就能够了session
//修改
public String edit()
{
Subject subject = SecurityUtils.getSubject();
subject.checkPermission("staff.edit");//要运行此方法下面的代码,必需要拥有staff.edit的权限
//更新model
staffService.update(model);
return "staff";
}
受权
手动受权和认证
由于要受权的权限太多,因此须要一张权限表
public class Bos_realm extends AuthorizingRealm {
@Resource
private IUserDao<UserBean> userDao;
//受权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermission("staff");//为page_base_staff.action请求受权staff权限
info.addStringPermission("staff.delete");//为page_base_staff.action请求受权staff权限
info.addStringPermission("staff.edit");
return info;
}
//用户的登陆认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//这里添加认证代码
UsernamePasswordToken usertoken=(UsernamePasswordToken) token;//获取令牌(里面存放的有帐号和密码)
//查询用户名是否存在
String username = usertoken.getUsername();
UserBean findusername = userDao.findByusername(username);//去sql查询用户名是否存在
if(findusername!=null)//若是用户名存在
{
//参数1.用户认证的对象(subject.getPrincipal();返回的对象),
//参数2.从数据库根据用户名查询到的用户的密码
//参数3.把当前自定义的realm对象传给SimpleAuthenticationInfo,在配置文件须要注入
AuthenticationInfo Info = new SimpleAuthenticationInfo(findusername, findusername.getPassword(),this.getName());
return Info;
}else
{
return null;
}
}
遍历数据库受权
获取当前登陆的用户,去数据库查询当前用户的全部权限,而后添加
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//获取当前用户
UserBean findusername = session.get......;
//结果集
List<AuthFunction> functionList =null;
//去sql查询当前用户的权限
if("admin".equals(findusername.getUsername()))//若是是管理员,获取全部权限
{
functionList = functionDao.findAll();
}else
{
String hql = "SELECT DISTINCT f FROM AuthFunction f LEFT OUTER JOIN f.authRoles r LEFT OUTER JOIN r.userBeans u WHERE u.id = ?";
functionList = functionDao.findByHQL(hql,findusername.getId());
}
//遍历结果集受权
for (AuthFunction authFunction : functionList) {
info.addStringPermission(authFunction.getCode());
}
return info;
相关文章
- 1. Shiro登陆认证
- 2. Shiro+easyUI+SpringMVC实现登陆认证
- 3. Springboot+shiro学习一(身份认证)实现登陆认证
- 4. 安全登陆认证
- 5. Shiro安全认证
- 6. springboot2+shiro+jwt整合(一)登陆认证
- 7. shiro多登陆入口,多realm认证
- 8. Shiro 登陆认证及权限管理
- 9. shiro 之 认证登陆的demo——转载
- 10. shiro 之 认证登陆的demo
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • C# 不安全代码 - C#教程
- • ☆基于Java Instrument的Agent实现
- • Spring Cloud 微服务实战(三) - 服务注册与发现
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
