shiro实现登录安全认证
shiro的优势,不需要再代码里面判断是否登录,是否有执行的权限,实现了从前端页面到后台代码的权限的控制非常的灵活方便
传统的登录认证方式是,从前端页面获取到用户输入的账号和密码之后,直接去数据库查询账号和密码是否匹配和存在,如果匹配和存在就登录成功,没有就提示错误
而shiro的认证方式则是,从前端页面获取到用户输入的账号和密码之后,传入给一个UsernamePasswordToken对象也就是令牌,
然后再把令牌传给subject,subject会调用自定义的 realm,
realm做的事情就是用前端用户输入的用户名,去数据库查询出一条记录(只用用户名去查,查询拿到返回用户名和密码),然后再把两个密码进行对比,不一致就跑出异常
也就是说如果subject.login(token);没有抛出异常,就表示用户名和密码是匹配的,表示登录成功
1.在pom.xml中引入shiro依赖
<dependency>
<groupId>org.apache.shirogroupId>
<artifactId>shiro-allartifactId>
<version>1.2.2version>
dependency>
2.在web.xml中配置过滤器
<filter>
<filter-name>shiroFilterfilter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxyfilter-class>
filter>
<filter-mapping>
<filter-name>shiroFilterfilter-name>
<url-pattern>/*url-pattern>
filter-mapping>
3.在applicationContext.xml中配置DelegatingFilterProxy的Bean
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/login.jsp"/>
<property name="unauthorizedUrl" value="/unauthorized.jsp"/>
<property name="filterChainDefinitions">
<value>
/css/** = anon
/js/** = anon
/images/** = anon
/validatecode.jsp* = anon
/login.jsp* = anon
/userAction_login.action = anon
/page_base_staff.action = perms["staff"]
/** = authc
value>
property>
bean>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">bean>
常用过滤器
常用过滤器:
anon:例子/admins/**=anon表示可以匿名访问
authc:例如/admins/user/**=authc表示需要认证才能使用,没有参数
perms:例子/page_base_staff.action = perms["staff"],当前用户需要有staff权限才可以访问。
roles:例子/admins/user/**=roles[admin],当前用户是否有这个角色权限。
登录方法的编写
传统的登录方法
public String login(){
//调用service层查询账号和密码是否一致
UserBean user= userService.login(model);
if(user!=null)
{
return "index";
}
else
{
addActionError("用户名和密码不匹配...");
return "login";
}
}
}
shiro的登录认证方法
public String login(){
if((!StringUtils.isBlank(checkcode))&&key.contentEquals(checkcode) )
{
Subject subject = SecurityUtils.getSubject();//获取当前用户对象
//生成令牌(传入用户输入的账号和密码)
UsernamePasswordToken token=new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));
//认证登录
try {
//这里会加载自定义的realm
subject.login(token);//把令牌放到login里面进行查询,如果查询账号和密码时候匹配,如果匹配就把user对象获取出来,失败就抛异常
UserBean user= (UserBean) subject.getPrincipal();//获取登录成功的用户对象(以前是直接去service里面查)
ServletActionContext.getRequest().getSession().setAttribute("user", user);
return "index";
} catch (Exception e) {
//认证登录失败抛出异常
addActionError("用户名和密码不匹配...");
return "login";
}
}
}
自定义realm的编写
public class Bos_realm extends AuthorizingRealm {
@Resource
private IUserDao userDao;
//授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
// TODO Auto-generated method stub
return null;
}
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
UsernamePasswordToken usertoken=(UsernamePasswordToken) token;//获取令牌(里面存放new UsernamePasswordToken放入的账号和密码)
//得到账号和密码
String username = usertoken.getUsername();
UserBean findusername = userDao.findByusername(username);//去sql查询用户名是否存在,如果存在返回对象(账号和密码都有的对象)
if(findusername!=null)//如果用户名存在
{
//参数1.用户认证的对象(subject.getPrincipal();返回的对象),
//参数2.从数据库根据用户名查询到的用户的密码
//参数3.把当前自定义的realm对象传给SimpleAuthenticationInfo,在配置文件需要注入
AuthenticationInfo Info = new SimpleAuthenticationInfo(findusername, findusername.getPassword(),this.getName());
return Info;
}else
{
return null;
}
}
}
在安全管理器里面注入自定义的realm
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="BosRealm">property>
bean>
<bean id="BosRealm" class="com.itheima.bos.action.Bos_realm">bean>
添加权限四方式
1_url
在里面添加拦截规则
<property name="filterChainDefinitions">
<value>
/css/** = anon
/js/** = anon
/images/** = anon
/validatecode.jsp* = anon
/login.jsp* = anon
/User_login.action= anon
/page_base_staff.action = perms["staff"]
/** = authc
value>
property>
2_注解
需要在中配置开启注解扫描才能使用
开启添加权限的注解扫描
<bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
<property name="proxyTargetClass" value="true"/>
bean>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>
//把订单设置为作废
@RequiresPermissions("staff.delete")//为delete这个方法添加staff.delete权限
public String delete()
{
//得到id
staffService.deleteBatch(ids);
return "staff";
}
3_jsp页面
需要导入shiro标签库
<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro"%>
/* 有staff权限才能显示此按钮 */
"staff1">
{
id : 'button-delete',
text : '作废',
iconCls : 'icon-cancel',
handler : doDelete
},
shiro:hasPermission>
4_代码(几乎不用)
在要设置权限的代码中添加一下两行代码就可以了
//修改
public String edit()
{
Subject subject = SecurityUtils.getSubject();
subject.checkPermission("staff.edit");//要运行此方法下面的代码,必须要拥有staff.edit的权限
//更新model
staffService.update(model);
return "staff";
}
授权
手动授权和认证
因为要授权的权限太多,所以需要一张权限表
public class Bos_realm extends AuthorizingRealm {
@Resource
private IUserDao userDao;
//授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermission("staff");//为page_base_staff.action请求授权staff权限
info.addStringPermission("staff.delete");//为page_base_staff.action请求授权staff权限
info.addStringPermission("staff.edit");
return info;
}
//用户的登录认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//这里添加认证代码
UsernamePasswordToken usertoken=(UsernamePasswordToken) token;//获取令牌(里面存放的有账号和密码)
//查询用户名是否存在
String username = usertoken.getUsername();
UserBean findusername = userDao.findByusername(username);//去sql查询用户名是否存在
if(findusername!=null)//如果用户名存在
{
//参数1.用户认证的对象(subject.getPrincipal();返回的对象),
//参数2.从数据库根据用户名查询到的用户的密码
//参数3.把当前自定义的realm对象传给SimpleAuthenticationInfo,在配置文件需要注入
AuthenticationInfo Info = new SimpleAuthenticationInfo(findusername, findusername.getPassword(),this.getName());
return Info;
}else
{
return null;
}
}
遍历数据库授权
获取当前登录的用户,去数据库查询当前用户的所有权限,然后添加
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//获取当前用户
UserBean findusername = session.get......;
//结果集
List functionList =null;
//去sql查询当前用户的权限
if("admin".equals(findusername.getUsername()))//如果是管理员,获取所有权限
{
functionList = functionDao.findAll();
}else
{
String hql = "SELECT DISTINCT f FROM AuthFunction f LEFT OUTER JOIN f.authRoles r LEFT OUTER JOIN r.userBeans u WHERE u.id = ?";
functionList = functionDao.findByHQL(hql,findusername.getId());
}
//遍历结果集授权
for (AuthFunction authFunction : functionList) {
info.addStringPermission(authFunction.getCode());
}
return info;