Apache shiro權限基本使用

l shiro框架的核心功能：認證、授權、會話管理、加密

Application Code：應用程序代碼，由開發人員負責開發的

Subject：框架提供的接口，代表當前用戶對象

SecurityManager：框架提供的接口，代表安全管理器對象

Realm：可以開發人員編寫，框架也提供一些，類似於ＤＡＯ，用於訪問權限數據

一 、在pom中引入相關依賴

 

<!-- 引入shiro框架的依賴 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-all</artifactId>
    <version>1.2.2</version>
</dependency>

 

二、在web.xml中配置spring框架提供的用於整合shiro框架的過濾器

 

<!-- 配置shiro框架，進行權限認證 -->
  <filter>
      <filter-name>shiroFilter</filter-name>
      <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
      <filter-name>shiroFilter</filter-name>
      <url-pattern>/*</url-pattern>
  </filter-mapping>

 

三、在spring配置文件中配置bean，id為shiroFilter

<!-- 配置shiro框架過濾器工廠對象 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 注入安全管理器對象 -->
        <property name="securityManager" ref="securityManager"></property>
        <!-- 注入相關頁面的url -->
        <property name="loginUrl" value="/login.jsp"></property>
        <property name="successUrl" value="/index.jsp"></property>
        <property name="unauthorizedUrl" value="/unauthorized.jsp"></property>
        <!-- 注入url攔截規整 -->
        <property name="filterChainDefinitions">
            <value>
                /css/** anon
                /js/** = anon
                /images/** = anon
                /validatecode.jsp* = anon
                /login.jsp = anon
                /userAction_login.action = anon
                /page_base_staff.action = perms["staff-list"]
                /* = authc
            </value>
        </property>
    </bean>

<!-- 注冊安全管理器對象 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="borRealm"></property>
        <!-- 注入緩存管理器 -->
        <property name="cacheManager" ref="ehCacheManager"></property>
</bean>

<!-- 注冊realm -->
    <bean id="borRealm" class="com.itheima.bos.realm.BOSRealm"></bean>

<!-- 開啟shrio框架注解支持 -->
    <bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
        <!-- 強制使用cglib代理，為Action對象創建代理對象 -->
        <property name="proxyTargetClass" value="true"></property>
    </bean>
    <!-- 配置shrio框架提供的切面類，用於創建代理對象 -->
    <bean id="" class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>

<!-- 注冊緩存管理器 -->
    <bean id="ehCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"></property>
    </bean>

 

四、修改login方法

public String login() {
        //校驗驗證碼是否通過
        HttpSession session = ServletActionContext.getRequest().getSession();
        String key = (String) session.getAttribute("key");
        if(StringUtils.equals(checkcode, key)) {
            //使用shrio框架提供的方式進行驗證
            Subject subject = SecurityUtils.getSubject();//獲得當前用戶對象，狀態為 未認證
            AuthenticationToken token = new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));//創建用戶名和密碼令牌對象
            try {
                subject.login(token);
            } catch (Exception e) {
                e.printStackTrace();
                return LOGIN;
            }
            User user = (User) subject.getPrincipal();
            session.setAttribute("loginUser", user);
            return HOME;
        }else {
            //驗證碼錯誤
            this.addActionError("輸入驗證碼錯誤");
            return LOGIN;
        }
    }

五、自定義realm，並注入給安全管理器

public class BOSRealm extends AuthorizingRealm {
    @Autowired
    private UserDao userDao;
    @Autowired
    private FunctionDao functionDao;
    
    //認證
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("自定義的認證方法執行了");
        UsernamePasswordToken passwordToken = (UsernamePasswordToken) token;
        //獲得頁面輸入的用戶名
        String username = passwordToken.getUsername();
        //根據用戶名密碼查詢數據庫中的密碼
        User user = userDao.findUserByUsername(username);
        if(user == null) {
            //頁面輸入的用戶名不存在
            return null;
        }
        //簡單認證信息對象
        AuthenticationInfo info = new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
        return info;
    }
    //授權
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //為用戶授權
        //info.addStringPermission("staff-list");
        //根據當前登錄用戶查詢數據庫，獲取實際對應的權限
        User user = (User) SecurityUtils.getSubject().getPrincipal();//獲取當前登錄用戶對象
        //User user2 = (User) principalCollection.getPrimaryPrincipal();
        List<Function> list = null;
        if(user.getUsername().equals("admin")) {
            DetachedCriteria detachedCriteria = DetachedCriteria.forClass(Function.class);
            list = functionDao.findByCriteria(detachedCriteria );
        }else {
            list = functionDao.findFunctionListByUserId(user.getId());
        }
        for(Function function : list) {
            info.addStringPermission(function.getCode());
        }
        return info;
    }
}

六、在方法上使用注解

 

 

 

//批量刪除
    @RequiresPermissions("staff-delete")//執行這個方法，需要staff-delete權限
    public String deleteBatch() {
        staffService.deleteBatch(ids);
        return LIST;
    }