Apache Shiro 是一個強大而靈活的開源安全框架,它干凈利落地處理身份認證,授權,企業會話管理和加密。
Apache Shiro 的首要目標是易於使用和理解。安全有時候是很復雜的,甚至是痛苦的,但它沒有必要這樣。框架應該盡可能掩蓋復雜的地方,露出一個干凈而直觀的 API,來簡化開發人員在使他們的應用程序安全上的努力。
以下是你可以用 Apache Shiro 所做的事情:
驗證用戶來核實他們的身份
對用戶執行訪問控制,如:
判斷用戶是否被分配了一個確定的安全角色。
判斷用戶是否被允許做某事。
在任何環境下使用 Session API,即使沒有 Web 或 EJB 容器。
在身份驗證,訪問控制期間或在會話的生命周期,對事件作出反應。
聚集一個或多個用戶安全數據的數據源,並作為一個單一的復合用戶“視圖”。
啟用單點登錄(SSO)功能。
並發登錄管理(一個賬號多人登錄作踢人操作)。
為沒有關聯到登錄的用戶啟用"Remember Me"服務。
…
以及更多——全部集成到緊密結合的易於使用的 API 中。
目前Java領域主流的安全框架有SpringSecurity和Shiro,相比於SpringSecurity,Shiro輕量化,簡單容易上手,且不局限於Java和Spring;SpringSecurity太笨重了,難以上手,且只能在Spring里用,所以博主極力推薦Shiro。
spring集成shiro要用到shiro-all-1.2.4.jar
jar包下載地址:http://download.csdn.net/detail/qq_33556185/9540257
第一步:配置shiro.xml文件
shiro.xml配置文件代碼:
- <?xml version="1.0" encoding="UTF-8"?>
- <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:tx="http://www.springframework.org/schema/tx" xmlns:context="http://www.springframework.org/schema/context"
- xmlns:mvc="http://www.springframework.org/schema/mvc"
- xsi:schemaLocation="http://www.springframework.org/schema/beans
- http://www.springframework.org/schema/beans/spring-beans-4.2.xsd
- http://www.springframework.org/schema/tx
- http://www.springframework.org/schema/tx/spring-tx-4.2.xsd
- http://www.springframework.org/schema/context
- http://www.springframework.org/schema/context/spring-context-4.2.xsd
- http://www.springframework.org/schema/mvc
- http://www.springframework.org/schema/mvc/spring-mvc-4.2.xsd">
- <!-- Shiro Filter 攔截器相關配置 -->
- <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
- <!-- securityManager -->
- <property name="securityManager" ref="securityManager" />
- <!-- 登錄路徑 -->
- <property name="loginUrl" value="/toLogin" />
- <!-- 用戶訪問無權限的鏈接時跳轉此頁面 -->
- <property name="unauthorizedUrl" value="/unauthorizedUrl.jsp" />
- <!-- 過濾鏈定義 -->
- <property name="filterChainDefinitions">
- <value>
- /loginin=anon
- /toLogin=anon
- /css/**=anon
- /html/**=anon
- /images/**=anon
- /js/**=anon
- /upload/**=anon
- <!-- /userList=roles[admin] -->
- /userList=authc,perms[/userList]
- /toDeleteUser=authc,perms[/toDeleteUser]
- /** = authc
- </value>
- </property>
- </bean>
- <!-- securityManager -->
- <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
- <property name="realm" ref="myRealm" />
- </bean>
- <!-- 自定義Realm實現 -->
- <bean id="myRealm" class="com.core.shiro.realm.CustomRealm" />
- <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
- <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
- <property name="prefix" value="/"/>
- <property name="suffix" value=".jsp"></property>
- </bean>
- </beans>
anno代表不需要授權即可訪問,對於靜態資源,訪問權限都設置為anno
authc表示需要登錄才可訪問
/userList=roles[admin]的含義是要訪問/userList需要有admin這個角色,如果沒有此角色訪問此URL會返回無授權頁面
/userList=authc,perms[/userList]的含義是要訪問/userList需要有/userList的權限,要是沒分配此權限訪問此URL會返回無授權頁面
- <bean id="myRealm" class="com.core.shiro.realm.CustomRealm" />
這個是業務對象,需要我們去實現。
第二步:在web.xml文件里加載shiro.xml,和加載其他配置文件是一樣的,就不多說了
- <context-param>
- <param-name>contextConfigLocation</param-name>
- <param-value>
- classpath*:/spring/spring-common.xml,
- classpath*:/spring/shiro.xml
- </param-value>
- </context-param>
第三步:配置shiroFilter,所有請求都要先進shiro的代理類
- <!--
- DelegatingFilterProxy類是一個代理類,所有的請求都會首先發到這個filter代理
- 然后再按照"filter-name"委派到spring中的這個bean。
- 在Spring中配置的bean的name要和web.xml中的<filter-name>一樣.
- targetFilterLifecycle,是否由spring來管理bean的生命周期,設置為true有個好處,可以調用spring后續的bean
- -->
- <filter>
- <filter-name>shiroFilter</filter-name>
- <filter-class>
- org.springframework.web.filter.DelegatingFilterProxy
- </filter-class>
- <init-param>
- <param-name>targetFilterLifecycle</param-name>
- <param-value>true</param-value>
- </init-param>
- </filter>
- <filter-mapping>
- <filter-name>shiroFilter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
第四步:自定義realm
- package com.core.shiro.realm;
- import java.util.List;
- import javax.annotation.Resource;
- import org.apache.shiro.authc.AuthenticationException;
- import org.apache.shiro.authc.AuthenticationInfo;
- import org.apache.shiro.authc.AuthenticationToken;
- import org.apache.shiro.authc.SimpleAuthenticationInfo;
- import org.apache.shiro.authc.UsernamePasswordToken;
- import org.apache.shiro.authz.AuthorizationInfo;
- import org.apache.shiro.authz.SimpleAuthorizationInfo;
- import org.apache.shiro.realm.AuthorizingRealm;
- import org.apache.shiro.subject.PrincipalCollection;
- import org.springframework.util.StringUtils;
- import com.core.shiro.dao.IPermissionDao;
- import com.core.shiro.dao.IRoleDao;
- import com.core.shiro.dao.IUserDao;
- import com.core.shiro.entity.Permission;
- import com.core.shiro.entity.Role;
- import com.core.shiro.entity.User;
- public class CustomRealm extends AuthorizingRealm{
- @Resource
- private IUserDao userDao;
- @Resource
- private IPermissionDao permissionDao;
- @Resource
- private IRoleDao roleDao;
- /**
- * 添加角色
- * @param username
- * @param info
- */
- private void addRole(String username, SimpleAuthorizationInfo info) {
- List<Role> roles = roleDao.findByUser(username);
- if(roles!=null&&roles.size()>0){
- for (Role role : roles) {
- info.addRole(role.getRoleName());
- }
- }
- }
- /**
- * 添加權限
- * @param username
- * @param info
- * @return
- */
- private SimpleAuthorizationInfo addPermission(String username,SimpleAuthorizationInfo info) {
- List<Permission> permissions = permissionDao.findPermissionByName(username);
- for (Permission permission : permissions) {
- info.addStringPermission(permission.getUrl());//添加權限
- }
- return info;
- }
- /**
- * 獲取授權信息
- */
- protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
- //用戶名
- String username = (String) principals.fromRealm(getName()).iterator().next();
- //根據用戶名來添加相應的權限和角色
- if(!StringUtils.isEmpty(username)){
- SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
- addPermission(username,info);
- addRole(username, info);
- return info;
- }
- return null;
- }
- /**
- * 登錄驗證
- */
- protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken ) throws AuthenticationException {
- //令牌——基於用戶名和密碼的令牌
- UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
- //令牌中可以取出用戶名
- String accountName = token.getUsername();
- //讓shiro框架去驗證賬號密碼
- if(!StringUtils.isEmpty(accountName)){
- User user = userDao.findUser(accountName);
- if(user != null){
- return new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(), getName());
- }
- }
- return null;
- }
- }
第五步:控制層代碼
- package com.core.shiro.controller;
- import javax.servlet.http.HttpServletRequest;
- import org.apache.shiro.SecurityUtils;
- import org.apache.shiro.authc.AuthenticationException;
- import org.apache.shiro.authc.UsernamePasswordToken;
- import org.apache.shiro.crypto.hash.Md5Hash;
- import org.apache.shiro.subject.Subject;
- import org.springframework.stereotype.Controller;
- import org.springframework.web.bind.annotation.RequestMapping;
- @Controller
- public class ShiroAction {
- @RequestMapping("loginin")
- public String login(HttpServletRequest request){
- //當前Subject
- Subject currentUser = SecurityUtils.getSubject();
- //加密(md5+鹽),返回一個32位的字符串小寫
- String salt="("+request.getParameter("username")+")";
- String md5Pwd=new Md5Hash(request.getParameter("password"),salt).toString();
- //傳遞token給shiro的realm
- UsernamePasswordToken token = new UsernamePasswordToken(request.getParameter("username"),md5Pwd);
- try {
- currentUser.login(token);
- return "welcome";
- } catch (AuthenticationException e) {//登錄失敗
- request.setAttribute("msg", "用戶名和密碼錯誤");
- }
- return "login";
- }
- @RequestMapping("toLogin")
- public String toLogin(){
- return "login";
- }
- }
第六步:login頁面 略
login請求調用currentUser.login之后,shiro會將token傳遞給自定義realm,此時realm會先調用doGetAuthenticationInfo(AuthenticationToken authcToken )登錄驗證的方法,驗證通過后會接着調用 doGetAuthorizationInfo(PrincipalCollection principals)獲取角色和權限的方法(授權),最后返回視圖。
當其他請求進入shiro時,shiro會調用doGetAuthorizationInfo(PrincipalCollection principals)去獲取授權信息,若是沒有權限或角色,會跳轉到未授權頁面,若有權限或角色,shiro會放行,ok,此時進入真正的請求方法……
到此shiro的認證及授權便完成了。
http://blog.csdn.net/qq_33556185/article/details/51579680