spring整合shiro的方法

這篇文章主要介紹“spring整合shiro的方法”，在日常操作中，相信很多人在spring整合shiro的方法問題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對(duì)大家解答”spring整合shiro的方法”的疑惑有所幫助！接下來，請(qǐng)跟著小編一起來學(xué)習(xí)吧！

成都一家集口碑和實(shí)力的網(wǎng)站建設(shè)服務(wù)商，擁有專業(yè)的企業(yè)建站團(tuán)隊(duì)和靠譜的建站技術(shù)，十載企業(yè)及個(gè)人網(wǎng)站建設(shè)經(jīng)驗(yàn) ,為成都數(shù)千家客戶提供網(wǎng)頁(yè)設(shè)計(jì)制作,網(wǎng)站開發(fā),企業(yè)網(wǎng)站制作建設(shè)等服務(wù),包括成都營(yíng)銷型網(wǎng)站建設(shè)，成都品牌網(wǎng)站建設(shè)，同時(shí)也為不同行業(yè)的客戶提供成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)的服務(wù),包括成都電商型網(wǎng)站制作建設(shè),裝修行業(yè)網(wǎng)站制作建設(shè)，傳統(tǒng)機(jī)械行業(yè)網(wǎng)站建設(shè),傳統(tǒng)農(nóng)業(yè)行業(yè)網(wǎng)站制作建設(shè)。在成都做網(wǎng)站,選網(wǎng)站制作建設(shè)服務(wù)商就選創(chuàng)新互聯(lián)建站。

* principal : 主角
* credentials : 證書

ps : 整合過程中有大量的配置,我直接貼代碼說明

一:配置

(一)在發(fā)動(dòng)機(jī)(web.xml)中配置過濾器

• shiro是權(quán)限控制是通過filter來實(shí)現(xiàn)的,所以我們配置一個(gè)過濾器

<filter>
	<filter-name>shiroFilter</filter-name>
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
	<filter-name>shiroFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

• 因?yàn)槭呛蛃pring整合,所以我們需要一個(gè)類

• 見名知意,這是一個(gè)可以代理filter的代理類(怎么有種念繞口令的感覺?)

• 它代理一個(gè)實(shí)現(xiàn)了Filter接口的,由spring管理的bean,在init-param中聲明目標(biāo)類的名稱,描述目標(biāo)類在spiring上下文中的名字

• 通常我們直接指定filter-name來告訴spring,就可以直接指定到 spring context 中的bean了

(二)applicationContext.xml

1.配置shiroFilter

• 注意要和web.xml中發(fā)filter-name一致

2.配置過濾器鏈(url的權(quán)限控制的規(guī)則)

• 權(quán)限控制的規(guī)則

過濾器簡(jiǎn)稱	功能	對(duì)應(yīng)的java類
anon	未認(rèn)證可以訪問	org.apache.shiro.web.filter.authc.AnonymousFilter
authc	認(rèn)證后可以訪問	org.apache.shiro.web.filter.authc.FormAuthenticationFilter
perms	需要特定權(quán)限才能訪問	org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
roles	需要特定角色才能訪問	org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
user	需要特定用戶才能訪問	org.apache.shiro.web.filter.authc.UserFilter

3.shiroFilter中還需要一個(gè)securityManager

4.信息后處理器

5.代碼

<!-- 配置subject的后臺(tái)推手securityManager -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">			
	<property name="realm" ref="myRealm"></property>
</bean>

<!-- 配置攔截器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
	<!-- 安全管理器 -->
	<property name="securityManager" ref="securityManager"></property>
	<!-- 未認(rèn)證,跳轉(zhuǎn)到哪個(gè)界面 -->
	<property name="loginUrl" value="/login.html"></property>
	<!-- 認(rèn)證成功后跳轉(zhuǎn)到哪個(gè)界面 -->
	<property name="successUrl" value="/index.html"></property>
	<!-- 認(rèn)證成功后,未授權(quán),跳轉(zhuǎn)到哪個(gè)界面 -->
	<property name="unauthorizedUrl" value="/unauthorized.html"></property>
	<!-- url控制過濾器鏈 -->
	<property name="filterChainDefinitions">
		<value>
			/login.html* = anon
			/user_login.action* = anon
			/validatecode.jsp = anon
			/css/** = anon
			/js/** = anon
			/images/** = anon
			/** = authc
		</value>
	</property>
</bean>

二:粗粒度的認(rèn)證和授權(quán)

Subject subject = SecurityUtils.getSubject();
AuthenticationToken token = new UsernamePasswordToken(model.getUsername(), model.getPassword());
subject.login(token);

(一)認(rèn)證

1.執(zhí)行過程(這個(gè)過程有點(diǎn)復(fù)雜,需要點(diǎn)耐心)

1. 當(dāng)我們執(zhí)行subject.login(token),Subject是一個(gè)接口,真實(shí)調(diào)用的是它的實(shí)現(xiàn)類DelegatingSubject的login(token)方法,這個(gè)方法內(nèi)部會(huì)執(zhí)行Subject subject = securityManager.login(this, token);可以看到token已經(jīng)傳遞給securityManager了

2. 安全管理器SecurityManager也是一個(gè)接口,真實(shí)調(diào)用的是它的實(shí)現(xiàn)類DefaultSecurityManager的login(subject,token)方法,這個(gè)方法的內(nèi)部又調(diào)用其父類AuthenticatingSecurityManager的authenticate(token)方法,這個(gè)方法內(nèi)部又會(huì)調(diào)用authenticator.authenticate(token)

3. 認(rèn)證器Authenticator也是接口,調(diào)用實(shí)現(xiàn)類AbstractAuthenticator的authenticate(token),這是一個(gè)抽象方法,調(diào)用他的子類ModularRealmAuthenticator的doAuthenticate(token)方法,內(nèi)部調(diào)用doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);,內(nèi)部調(diào)用realm.getAuthenticationInfo(token);

4. realm是接口,調(diào)用其實(shí)現(xiàn)類AuthenticatingRealm的getAuthenticationInfo(token),在這個(gè)方法中會(huì)調(diào)用一個(gè)抽象方法doGetAuthenticationInfo(token),這時(shí)候就可以調(diào)用我們自定義的實(shí)現(xiàn)類myRealm中的getAuthenticationInfo(token)方法了

5. 我們發(fā)現(xiàn)經(jīng)過一系列的傳遞最后我們接收到的token就是我們自己創(chuàng)建的UsernamePasswordToken,大膽的強(qiáng)轉(zhuǎn)不要怕,在這個(gè)token中,我們可以重新拿到我們的用戶名和密碼,通過用戶名去數(shù)據(jù)庫(kù)中查詢當(dāng)前用戶是否存在,如果不存在則返回null,如果存在,則將用戶,用戶的密碼和自定義realm的名字一同返回

6. 后續(xù)代碼雖然也很復(fù)雜,但我實(shí)在是寫不動(dòng)了,其實(shí)也可以猜的到,因?yàn)閞ealm是shiro和數(shù)據(jù)庫(kù)之間的橋梁,它并不做判定,所以當(dāng)我們把用戶密碼返回后,securityManager會(huì)將我們返回的密碼和用戶輸入的密碼進(jìn)行比對(duì),從而做出判定

2.過程簡(jiǎn)述

1. 將用戶名和密碼封裝成token,通過subject的login(token)方法傳給securityManager

2. securityManager調(diào)用realm通過用戶名查詢用戶是否存在,如果存在則將用戶密碼返回,如果不存在則返回null

3. securityManager將realm返回的用戶密碼和用戶實(shí)際的密碼進(jìn)行比對(duì)

3.MyRealm代碼

@Component
public class CustomRealm extends AuthorizingRealm{

	@Autowired
	private UserService userService;

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		return null;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
		User user = userService.findByUserName(usernamePasswordToken.getUsername());
		if(user==null) {
			return null;
		}else {
			return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
		}
	}
}

(二):授權(quán)

• 和認(rèn)證有一些區(qū)別,都需要返回信息

• 認(rèn)證返回的是認(rèn)證信息authenticationInfo

• 授權(quán)當(dāng)然是返回授權(quán)信息authorizationInfo

• 實(shí)現(xiàn)也很簡(jiǎn)單,就是分別查出用戶的角色也權(quán)限,分別添加到信息對(duì)象里就好

• 直接上代碼

@Component
public class CustomRealm extends AuthorizingRealm{

	@Autowired
	private UserService userService;
	
	@Autowired
	private RoleService roleService;
	
	@Autowired
	private PermissionService permissionService;
	
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
		Subject subject = SecurityUtils.getSubject();
		User user = (User) subject.getPrincipal();
		List<Role> roles = roleService.findByUserId(user.getId());
		for (Role role : roles) {
			authorizationInfo.addRole(role.getKeyword());
		}
		
		List<Permission> permissions = permissionService.findByUserId(user.getId());
		for (Permission permission : permissions) {
			authorizationInfo.addStringPermission(permission.getKeyword());
		}
		
		return authorizationInfo;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
		User user = userService.findByUserName(usernamePasswordToken.getUsername());
		if(user==null) {
			return null;
		}else {
			return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
		}
	}

}

三:細(xì)粒度

• 細(xì)粒度（方法）權(quán)限控制原因： 自定義注解（加在方法上，在注解中描述需要權(quán)限信 息），對(duì)目標(biāo)業(yè)務(wù)對(duì)象創(chuàng)建代理對(duì)象，在代理方法中使用反射技術(shù)讀取注解信息，獲取需要 權(quán)限，查詢當(dāng)前登錄用戶具有權(quán)限是否滿足

• applicationContext.xml

<!-- 后處理器 -->	
<bean class="org.apache.shiro.spring.LifecycleBeanPostProcessor" id="lifecycleBeanPostProcessor">

<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" 
		depends-on="lifecycleBeanPostProcessor">
	<property name="proxyTargetClass" value="true">
</bean>
	
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
	<property name="securityManager" ref="securityManager"></property>
</bean>

• 注意:這里的配置是spring aop的傳統(tǒng)配置,需要注意一下實(shí)現(xiàn)原理,通常不做特殊處理的時(shí)候,使用的是JDK動(dòng)態(tài)代理,這是一個(gè)基于接口的代理方式,這里我們需要使用cglib代理(不同代理方式對(duì)注解的讀取情況,詳見代理,注解,接口和實(shí)現(xiàn)類的小測(cè)驗(yàn))

• 同時(shí)需要修改事務(wù)管理的代理模式為cglib

• 當(dāng)然了,如果直接將注解加在接口上,是用jdk動(dòng)態(tài)代理則完全沒有問題

注解	解釋
@RequiresAuthentication	驗(yàn)證用戶是否登錄
@RequiresUser	驗(yàn)證用戶是否被記憶,user有兩種含義,一種是成功登錄的(subject.isAuthenticated()==true),另一種是被記憶(subject.isRemembered()==true)
@RequiresGuest	驗(yàn)證是否是一個(gè)guest的請(qǐng)求,與@RequiresUser完全相反,換言之RequiresUser==!RequiresGuest,此時(shí),subject.getPrincipal()==null
@RequiresRoles	如@RequiresRoles("aRoleName"),表示如果subject中有aRoleName角色才可以執(zhí)行次方法,如果沒有,則會(huì)拋出一個(gè)異常AuthorizationException
@RequiresPermissions	如@RequiresPermissions("file:read","write:a.txt"),要求subject中必須有file:read和write:a.txt才可以執(zhí)行此方法,否則拋出異常AuthorizationException

到此，關(guān)于“spring整合shiro的方法”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章！

網(wǎng)頁(yè)名稱：spring整合shiro的方法
網(wǎng)址分享：http://muchs.cn/article48/ighcep.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站制作、標(biāo)簽優(yōu)化、建站公司、網(wǎng)站改版、外貿(mào)建站、電子商務(wù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)