需要明白两个点:
- 通过Subject.login() 登录成功后,用户信息就会保存在安全管理器上,也就是 SecurityManager。就可以在程序任何地方获取到该用户对象。
- 在重写拦截器两个方法是重点,在登录的时候就需要把授权信息也存到安全管理器上,所以登录成功后,所有判断权限都不需要在业务逻辑上做判断,shiro框架已经帮你拦截并判断好。
shiro有很多种类型的包,用途有web的,非web的等,*-all 代表所有都在里面
shiro-all.jar
其实shiro权限控制就是通过拦截器来进行判断用户权限的,因此shiro拦截器的配置跟springMVC的拦截器配置是类似的。
尽然是通过aop来使用shiro,那就需要在web.xml里添加一个shiro的拦截器。
ps:这个shiro拦截器是如何加载的呢? 因为这个项目shiro与spring整合了,所有运行项目的时候,spring监听器会去寻找并加载shiro拦截器
org.springframework.web.context.ContextLoaderListener
shiro拦截器配置如下:
<filter>
<filter-name>shiroFilterfilter-name>
<filter-class>
org.springframework.web.filter.DelegatingFilterProxy
filter-class>
filter>
<filter-mapping>
<filter-name>shiroFilterfilter-name>
<url-pattern>/*url-pattern>
filter-mapping>
类似springmvc一样,需要写一个配置文件来配置拦截器。
在shiro配置文件中,有两种类型。
- ini配置文件 (很多博客教程上都是使用这种配置方式。)
- xml配置文件 (这次项目使用这种配置方式)
首先创建shiro-context.xml
ps: 很简单,就相当于spring的配置文件一样,因为shiro是跟spring很好结合的。
下面会慢慢解释这个配置文件
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" />
<property name="loginUrl" value="/user/login" />
<property name="unauthorizedUrl" value="/user/nopermission" />
<property name="filterChainDefinitions">
<value>
/user/login = anon
/user/readName = authc, perms[/readName]
/user/readData = authc, perms[/readData]
/user/* = authc
value>
property>
bean>
<bean id="myShiroRealm" class="com.Shiro.MyShiroReaml">
<property name="shiroService" ref="accountService" />
bean>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="myShiroRealm"/>
bean>
<bean id="accountService" class="com.Service.Impl.ShiroServiceImpl"/>
beans>
<property name="securityManager" ref="securityManager" />
/user/login = anon
/user/readName = authc, perms[/readName]
/user/readData = authc, perms[/readData]
/user/* = authc
过滤器列表:
当你拦截器设置好了,可以成功拦截用户的操作,然后我们需要对用户进行权限验证。所以我们需要继承shiro的AuthorizingRealm拦截器,重写两个方法。
- 重写doGetAuthenticationInfo方法是:登录验证,当需要登录的时候,就会调用该方法进行验证。
- 重写doGetAuthorizationInfo方法:这个是授权验证,与上面的过滤器相结合。
思路如下:
public class MyShiroReaml extends AuthorizingRealm {
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc) {
/**
*
* 流程
* 1.根据用户user->2.获取角色id->3.根据角色id获取权限permission
*/
//方法一:获得user对象
User user=(User)pc.getPrimaryPrincipal();
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//获取permission
if(user!=null) {
List<Permission> permissionsByUser = shiroService.getPermissionsByUser(user);
if (permissionsByUser.size()!=0) {
for (Permission p: permissionsByUser) {
info.addStringPermission(p.getUrl());
}
return info;
}
}
//方法二: 从subject管理器里获取user
// Subject subject = SecurityUtils.getSubject();
// User _user = (User) subject.getPrincipal();
// System.out.println("subject"+_user.getUsername());
return null;
}
// 认证方法
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println("进来验证了");
//验证账号密码
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
System.out.println("1:"+token.getUsername());
User user = shiroService.getUserByUserName(token.getUsername());
System.out.println("2");
if(user==null){
return null;
}
//最后的比对需要交给安全管理器
//三个参数进行初步的简单认证信息对象的包装
AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getClass().getSimpleName());
return info;
}
private ShiroService shiroService;
public ShiroService getShiroService() {
return shiroService;
}
public void setShiroService(ShiroService shiroService) {
this.shiroService = shiroService;
}
}
shrio的基本配置已经完成了,接下来是基础代码块了, 也许还有很多疑问,没关系。下载代码下来看看,就明白了
1.登录代码块
@RequestMapping(value = "/login")
public String Login(String username, String password, HttpSession session, Model model){
if(username==null){
model.addAttribute("message", "账号不为空");
return "login";
}
//主体,当前状态为没有认证的状态“未认证”
Subject subject = SecurityUtils.getSubject();
// 登录后存放进shiro token
UsernamePasswordToken token=new UsernamePasswordToken(username,password);
User user;
//登录方法(认证是否通过)
//使用subject调用securityManager,安全管理器调用Realm
try {
//利用异常操作
//需要开始调用到Realm中
System.out.println("========================================");
System.out.println("1、进入认证方法");
subject.login(token);
user = (User)subject.getPrincipal();
session.setAttribute("user",subject);
model.addAttribute("message", "登录完成");
System.out.println("登录完成");
} catch (UnknownAccountException e) {
model.addAttribute("message", "账号密码不正确");
return "index";
}
return "test";
}
shiro已经帮我们验证了,所以我们只需要写基本业务逻辑就可以,不需要再写权限验证代码了
@RequestMapping("/readName")
public String readName(HttpSession session){
return "name";
}
@RequestMapping("/readData")
public String readData(){
return "data";
}
@RequestMapping("/nopermission")
public String noPermission(){
return "error";
}
public class ShiroServiceImpl implements ShiroService {
@Autowired
private ShiroDao shiroDao;
public User getUserByUserName(String username) {
//根据账号获取账号密码
User userByUserName = shiroDao.getUserByUserName(username);
return userByUserName;
}
public List<Permission> getPermissionsByUser(User user) {
//获取到用户角色userRole
List<Integer> roleId = shiroDao.getUserRoleByUserId(user.getId());
List<Permission> perArrary = new ArrayList<>();
if (roleId!=null&&roleId.size()!=0) {
//根据roleid获取peimission
for (Integer i : roleId) {
perArrary.addAll(shiroDao.getPermissionsByRoleId(i));
}
}
System.out.println(perArrary);
return perArrary;
}
}
public class Permission {
private int id;
private String token;
/**资源url**/
private String url;
/**权限说明**/
private String description;
/**所属角色编号**/
private int roleId;
}
public class Role {
private int id;
/**角色**/
private String role;
/**说明**/
private String description;
}
public class User {
private int id;
private String account;
private String password;
}
数据表已经附加到代码上传到github
数据库中添加一条用户、角色、以及权限数据,并且在关联表中添加一条关联数据