java权限管理框架Shiro(最近学习整理)

置顶：https://github.com/java-aodeng/hope 老铁，来个star

邮箱投稿[email protected]微信公众号搜索：低调小熊猫; 关注看更多学习资源最炫求职简历.BAT的offer助攻简历http://120.79.185.110/index.html

qq扫描需下载微信，建议直接微信公众号搜索哦

 

根据的我了解，现在整个行业的权限管理基本如此：

一、Shiro框架简单介绍

Apache Shiro是Java的一个安全框架，旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证，授权，企业会话管理和加密等。Shiro的具体功能点如下：

（1）身份认证/登录，验证用户是不是拥有相应的身份； 
（2）授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能做事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限； 
（3）会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通JavaSE环境的，也可以是如Web环境的； 
（4）加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储； 
（5）Web支持，可以非常容易的集成到Web环境； 
Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率； 
（6）shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去； 
（7）提供测试支持； 
（8）允许一个用户假装为另一个用户（如果他们允许）的身份进行访问； 
（9）记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了。

二、Shiro实例详细说明

1.引人maven仓库所需的jar包

maven依赖如下：

    1.2.2

 

 

  
   org.apache.shiro
   shiro-spring
   ${shiro.version}
   
       
       slf4j-api
       org.slf4j
       
 
  

  
   org.apache.shiro
   shiro-core
   ${shiro.version}
  
  
   org.apache.shiro
   shiro-ehcache
   ${shiro.version}
  
  
   org.apache.shiro
   shiro-web
   ${shiro.version}
  
  
   org.apache.shiro
   shiro-quartz
   ${shiro.version}
  

  
   org.crazycake
   shiro-redis
   2.4.2.1-RELEASE
  

 

2.定义shiro拦截器

对url进行拦截，如果没有验证成功的需要验证，然后额外给用户赋予角色和权限。具体代码如下：

package com.account.web.shiro;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class ShiroRealm extends AuthorizingRealm {

 /*
  * 登录信息和用户验证信息验证(non-Javadoc)
  * @see
  * org.apache.shiro.realm.AuthenticatingRealm#doGetAuthenticationInfo(org.
  * apache.shiro.authc.AuthenticationToken)
  */
 @Override
 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

  String username = (String) token.getPrincipal(); //得到用户名
  String password = new String((char[]) token.getCredentials()); //得到密码

  if (null != username && null != password) {
   return new SimpleAuthenticationInfo(username, password, getName());
  } else {
   return null;
  }
 }

 /*
  * 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用,负责在应用程序中决定用户的访问控制的方法(non-Javadoc)
  * @see
  * org.apache.shiro.realm.AuthorizingRealm#doGetAuthorizationInfo(org.apache
  * .shiro.subject.PrincipalCollection)
  */
 @Override
 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc) {
  return null;
 }

}

3.spring-shiro.xml配置文件如下:

 

 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context"
 xsi:schemaLocation="
  http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
  http://www.springframework.org/schema/context  http://www.springframework.org/schema/context/spring-context-3.2.xsd"
 default-lazy-init="true">

 
 
 
  
 

 
 

 
  
  
  
  
  
   
    /static/** = anon
    /resource/** = anon
    /app**/** = anon
    /weixin/** = anon
    /code.do = anon
    /syslogin = anon
    /rest/* = anon
    /** = authc
   
  
 

 
 

 
    class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
  depends-on="lifecycleBeanPostProcessor">
  
 

    class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
  
 

4.web.xml配置引入对应的配置文件和过滤器

 
 
  shiroFilter
  
   org.springframework.web.filter.DelegatingFilterProxy
  
  
   targetFilterLifecycle
   true
  
 
 
  shiroFilter
  /*
 

5.整个shiro权限框架配置如上.公司实际开发项目.纯手工制造.努力吧.少年