20130115-使用Grails Shiro Plugin實現身份驗證01

目標

• 盡可能簡單的使用Grails Shiro Plugin實現身份驗證功能.

安裝

• Grails版本：2.1.1
• 約定：在代碼示例中，任何使用$開頭，說明這是一個shell命令

$ grails create-app shiro-example
$ cd shiro-example

• shiro plugin最新的插件版本是1.1.4，可以使用grails install-plugin shiro安裝，但是這里使用最新的快照版本。不需要用shell安裝只需要在項目的BuildConfig.groovy中增加插件的引用即可

    plugins {
        runtime ":hibernate:$grailsVersion"
        runtime ":jquery:1.8.3"
        runtime ":resources:1.1.6" runtime ":shiro:1.2.0-SNAPSHOT"

• 當我們修改了BuildConfig.groovy文件后，需要對系統進行重新編譯，修改才能生效

$ grails compile

• 現在插件已經安裝好了，下一步建立一個初步的腳手架，執行這個shell后，系統會幫我們生成一系列的腳手架文件，這個--prefix=[包路徑]是可選項，如果使用包路徑，不要忘記最后面的那個"."

$ grails shiro-quick-start --prefix=com.example.
| Created file grails-app/domain/com/example/User.groovy
| Created file grails-app/domain/com/example/Role.groovy
| Created file grails-app/realms/com/example/DbRealm.groovy
| Created file grails-app/controllers/com/example/AuthController.groovy
| Created file grails-app/views/auth/login.gsp
| Created file grails-app/conf/com/example/SecurityFilters.groovy

 配置

Bootstrap.groovy

import com.example.Role
import com.example.User

class BootStrap {

    def shiroSecurityService

    def init = { servletContext ->
        // Create the admin role
        def adminRole = Role.findByName('ROLE_ADMIN') ?:
                new Role(name: 'ROLE_ADMIN').save(flush: true, failOnError: true)

        // Create the user role
        def userRole = Role.findByName('ROLE_USER') ?:
                new Role(name: 'ROLE_USER').save(flush: true, failOnError: true)

        // Create an admin user
        def adminUser = User.findByUsername('admin') ?:
                new User(username: "admin",
                passwordHash: shiroSecurityService.encodePassword('password'))
                .save(flush: true, failOnError: true)

        // Add roles to the admin user
        assert adminUser.addToRoles(adminRole)
        .addToRoles(userRole)
        .save(flush: true, failOnError: true)

        // Create an standard user
        def standardUser = User.findByUsername('joe') ?:
                new User(username: "joe",
                passwordHash: shiroSecurityService.encodePassword('password'))
                .save(flush: true, failOnError: true)

        // Add role to the standard user
        assert standardUser.addToRoles(userRole)
        .save(flush: true, failOnError: true)

    }
    def destroy = {
    }
}

• 在代碼第6行，引入了shiro的安全服務，並使用服務的encodePassword方法進行加密
• 在代碼第9到15行，新增admin和user兩個角色
• 在代碼第17到21行，新增一個賬號為admin的用戶，並對password進行加密
• 在代碼第23到26行，給admin用戶進行角色授權
• 在代碼第28到36行，給user用戶進行角色授權

運行測試一下效果

$grails run-app
or
$grails -Dserver.port=8888 run-app

登錄http://localhost:8080/shiro-example，點com.example.AuthController控制器，系統彈出登錄窗口，輸入賬號和密碼后，系統返回主界面，什么都沒發生過。這是因為我們沒有需要驗證的界面，下面再增加一點東西

• 新增一個控制器

$ grails create-controller com.example.Home

• 給這個控制器增加三個action

package com.example

class HomeController {

    def index() {
        render "這個頁面不需要驗證"
    }

    def secured() {
        render "這個頁面需要user角色才能訪問"
    }

    def admin() {
        render "這個頁面需要admin角色才能訪問"
    }
}

• 正如我們看到的，我可以分別登陸不同的視圖，特定的角色才能返回正常的結果
• 如果權限不夠的用戶登錄到了相應頁面，系統提示“You do not have permission to access this page”
• 如果我們現在運行，並訪問，不管登錄到index、secured還是admin，系統都會提示“You do not have permission to access this page”

現在，分別給不同的action進行授權，打開SecurityFilters.groovy，拷貝如下代碼

package com.example

/**
 * Generated by the Shiro plugin. This filters class protects all URLs
 * via access control by convention.
 */
class SecurityFilters {

    /**
     * Array of controller/action combinations which will be skipped from authentication
     * if the controller and action names match. The action value can also be '*' if it
     * encompasses all actions within the controller.
     */
    static nonAuthenticatedActions = [
            [controller: 'home', action: 'index']
    ]

    /**
     * Array of controller/action combinations that will be authenticated against the user's
     * role. The map also includes the roles which the controller/action pair will match
     * against.
     */
    static authenticatedActions = [
            [controller: 'home', action: 'secured', roles: ['ROLE_ADMIN', 'ROLE_USER']],
            [controller: 'home', action: 'admin', roles: ['ROLE_ADMIN']]
    ]

    def filters = {

        all(controller: '*', action: '*') {
            before = {

                // Determine if the controller/action belongs is not to be authenticated
                def needsAuth = !nonAuthenticatedActions.find {
                    (it.controller == controllerName) &&
                            ((it.action == '*') || (it.action == actionName))
                }

                if (needsAuth) {

                    // Get the map within the authenticated actions which pertain to the current
                    // controller and view.
                    def authRoles = authenticatedActions.find {
                        (it.controller == controllerName) &&
                                ((it.action == '*') || (it.action == actionName))
                    }

                    if (authRoles) {

                        // Perform the access control for each of the roles provided in the authRoles
                        accessControl {
                            authRoles.roles.each { roleName ->
                                role(roleName)
                            }
                        }
                    }

                    // Skip authentication if the authRoles was not found
                    else {
                        return true
                    }
                }

                // Skip authentication if no auth is needed
                else {
                    return true
                }
            }
        }

    }
}

• 代碼第14到16行，登記不需要授權的action
• 代碼第23到26行，登記需要授權的action，並指定相應的角色

現在，大功告成，再使用不同的角色，訪問不同的頁面，應該可以得到不同的效果

http://localhost:8080/shiro-example/home/index : non

http://localhost:8080/shiro-example/home/secured : user,admin

http://localhost:8080/shiro-example/home/admin : admin