简单两步快速实现shiro的配置和使用,包含登录验证、角色验证、权限验证以及shiro登录注销流程

前言:

shiro因为其简单、可靠、实现方便而成为现在最常用的安全框架,那么这篇文章除了会用简洁明了的方式讲一下基于spring的shiro详细配置和登录注销功能使用之外,也会根据惯例在文章最后总结一下shiro的大致配置使用流程,希望本篇文章能够给大家一种原来shiro是这么简单的错觉感觉。

注意:该篇文章的开始是建立在一个完备的spring+mybatis的开发环境中,除了shiro之外的配置基本不会涉及到。做好自己--eguid原创文章

shiro补充以及shiro注解问题解决文章(希望对大家有用):shiro与spring整合详解与spring项目中shiro注解不生效的解决办法

一、依赖的jar包

本篇文章使用shiro-1.4.0版本

1、shiro官方下载地址:http://shiro.apache.org/download.html

2、maven依赖项:

			
				org.apache.shiro
				shiro-spring
				1.4.0
			

为什么maven只需要shiro-spring这个依赖项就行了,因为shiro-spring依赖shiro-core和shiro-web两个包,所以会自动继承shiro-core和shiro-web以及这两个包所依赖的项。

二、基于spring的配置方式

1、配置shiro过滤器


	
		shiroFilter
		org.springframework.web.filter.DelegatingFilterProxy
		
			targetFilterLifecycle
			true
		
	
	
		shiroFilter
		/*
	


2、基于spring的shiro配置

注意事项:spring在加载上下文的时候,是没有扫描注解的,由于我们在自定义的realm中用到了spring的注解,所以需要在shiro的自定义realm之前进行注解扫描。

(1)spring下的shiro完整配置


	

	
	
	
		
	
	
	
	
	
	
		
	
	
	
		
		
		
		
		
		
		
		
		
			
			
			
			
				/* = authc
				/static/** =anon
				/login/** = anon
				/admin/** = authc,roles[admin]
				/camera/** = authc
				/** = authc
			
		
	

这段配置需要修改的只有 shiro过滤器和shiro安全数据源(realm)。

过滤器里可以配置注释里写的很清楚,anon表示匿名访问,authc表示需要进行登录验证、权限验证、角色验证

自定义realm实现请看下面。

(2)自定义的realm安全数据源

public class MyRealm extends AuthorizingRealm{
	Logger log=Logger.getLogger(MyRealm.class);
	
	@Autowired
    private UserService userService;//这是自己实现的用户信息操作类,实现用户信息,用户角色信息、用户权限信息查询功能

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		log.info("从登录凭证中获取用户信息,由于我们在doGetAuthenticationInfo中直接在principals中存放的用户信息对象,所以我们可以获得当前用户信息");
		UserInfo user = (UserInfo) principals.getPrimaryPrincipal();
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		// 查询角色信息
		Collection roles = userService.findRoles(user);
		log.info("查询用户角色信息并添加到shiro权限验证器中,一个用户可以对应多个角色");
		info.addRoles(roles);
		// 查询权限信息
		Collection permissions = userService.findPermissions(user);
		log.info("把用户权限信息添加到shiro权限过滤器中");
		info.addStringPermissions(permissions);
		return info;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)throws AuthenticationException{
		log.info("shiro登录验证");
		// 在我们自己的登录流程中应该确保登录的用户信息已经插入AuthenticationToken中,这样才能通过shiro的认证流程
		String loginname= token.getPrincipal().toString();
		//虽然在登录流程中我们给的是String的面,但是shiro中已经写死了密码是个字符数组,所以老老实实的把密码转成char[]吧
		char[] password=(char[]) token.getCredentials();
		// 查询用户名对应的用户信息
		UserInfo user =userService.queryUserInfoByLoginName(loginname);
		log.info("验证用户信息:"+loginname+","+user+"密码:"+password);
		if (user != null&&user.getPassword()!=null) {
			//直接把用户信息对象和密码塞进shiro验证器,shiro会自动判断密码是否正确
		    AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, password, getName());
		    return authenticationInfo;
		}
		return null;
	}


三、shiro登录和注销流程实现

/**
	 * shiro注销,shiro会自动把session释放,所以不需要调用session.invalidate();方法
	 */
	@Override
	public void logout(){
		Subject currentUser = SecurityUtils.getSubject();       
	    	currentUser.logout();
	  
	}
	/**
	 * shiro登录
	 */
	@Override
	public boolean singin(UserInfo user){
        try{
        	Subject subject = SecurityUtils.getSubject() ;
            	UsernamePasswordToken token = new UsernamePasswordToken(user.getLoginusername(),user.getPassword()) ;
        	subject.login(token);
        	log.info("shiro登录验证成功");
        	return true;
        }catch(AuthenticationException e){
        	log.error("shiro登录验证不通过",e);
        	return false;
        }
	}

	/**
	 * 判断用户是否登录(shiro方式)
	 */
	@Override
	public boolean isSignon() {
		Subject subject = SecurityUtils.getSubject() ;
		return subject.isAuthenticated();
	}
        /**
	 * 从shiro中获取当前登录的用户信息
	 */
	@Override
	public UserInfo getCurrentUserInfo(){
		Subject subject = SecurityUtils.getSubject() ;
		return (UserInfo) subject.getPrincipal();
	}



四、shiro配置使用总结

1、在web.xml中配置shiro的过滤器

2、在spring应用上下文(例如:applicationContext.xml)中配置shiro过滤器及自定义realm等其他辅助配置,其中

shiro过滤器可以配置哪些接口需要进行登录验证、角色验证、权限验证,哪些不需要进行验证,自定义realm则是为shiro验证器提供了用户信息、用户角色信息和用户权限信息等数据源,进而让shiro进行三项验证。

3、shiro提供了完整的登录流程和注销流程,对原有登录和注销流程做一定修改是免不了的。

以上,希望对大家有所帮助。-- 做好自己--eguid


你可能感兴趣的:(shiro,颠覆javaEE开发)