Shiro
首先Shiro较之 Spring Security,Shiro在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势。
Shiro是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点:
- 易于理解的 Java Security API;
- 简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos,ActiveDirectory 等);
- 对角色的简单的签权(访问控制),支持细粒度的签权;
- 支持一级缓存,以提升应用程序的性能;
- 内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境;
- 异构客户端会话访问;
- 非常简单的加密 API;
- 不跟任何的框架或者容器捆绑,可以独立运行。
Spring Security
除了不能脱离Spring,shiro的功能它都有。而且Spring Security对Oauth、OpenID也有支持,Shiro则需要自己手动实现。Spring Security的权限细粒度更高(笔者还未发现高在哪里)。
注:
OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。"客户端"不能直接登录"服务提供商",只能登录授权层,以此将用户与客户端区分开来。"客户端"登录授权层所用的令牌(token),与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期。
"客户端"登录授权层以后,"服务提供商"根据令牌的权限范围和有效期,向"客户端"开放用户储存的资料。
OpenID 系统的第一部分是身份验证,即如何通过 URI 来认证用户身份。目前的网站都是依靠用户名和密码来登录认证,这就意味着大家在每个网站都需要注册用户名和密码,即便你使用的是同样的密码。如果使用 OpenID ,你的网站地址(URI)就是你的用户名,而你的密码安全的存储在一个 OpenID 服务网站上(你可以自己建立一个 OpenID 服务网站,也可以选择一个可信任的 OpenID 服务网站来完成注册)。
与OpenID同属性的身份识别服务商还有ⅥeID,ClaimID,CardSpace,Rapleaf,Trufina ID Card等,其中ⅥeID通用账户的应用最为广泛。
综述
个人认为现阶段需求,权限的操作粒度能控制在路径及按钮上,数据粒度通过sql实现。Shrio简单够用。
至于OAuth,OpenID 站点间统一登录功能,现租户与各个产品间单点登录已经通过cookies实现,所以Spring Security的这两个功能可以不考虑。
SpringSide网站的权限也是用Shrio做的。
接着我们来说shiro的使用吧!
源博客地址是:http://peirenlei.iteye.com/blog/2086639
---------------------------------------------------------------------------------------------------------------------
我们采用下面的逻辑创建权限表结构(不是绝对的,根据需要修改)
一个用户可以有多种角色(normal,manager,admin等等)
一个角色可以有多个用户(user1,user2,user3等等)
一个角色可以有多个权限(save,update,delete,query等等)
一个权限只属于一个角色(delete只属于manager角色)
我们创建四张表:
t_user用户表:设置了3个用户
-------------------------------
id + username + password
---+----------------+----------
1 + tom + 000000
2 + jack + 000000
3 + rose + 000000
---------------------------------
t_role角色表:设置3个角色
--------------
id + rolename
---+----------
1 + admin
2 + manager
3 + normal
--------------
t_user_role用户角色表:tom是admin和normal角色,jack是manager和normal角色,rose是normal角色
---------------------
user_id + role_id
-----------+-----------
1 + 1
1 + 3
2 + 2
2 + 3
3 + 3
---------------------
t_permission权限表:admin角色可以删除,manager角色可以添加和更新,normal角色可以查看
-----------------------------------
id + permissionname + role_id
----+------------------------+-----------
1 + add + 2
2 + del + 1
3 + update + 2
4 + query + 3
-----------------------------------
** 建立对应的POJO:**
Java代码
1. package com.cn.pojo;
3. import java.util.HashSet;
4. import java.util.List;
5. import java.util.Set;
7. import javax.persistence.Entity;
8. import javax.persistence.GeneratedValue;
9. import javax.persistence.GenerationType;
10. import javax.persistence.Id;
11. import javax.persistence.JoinColumn;
12. import javax.persistence.JoinTable;
13. import javax.persistence.ManyToMany;
14. import javax.persistence.Table;
15. import javax.persistence.Transient;
17. import org.hibernate.validator.constraints.NotEmpty;
19. @Entity
20. @Table(name="t_user")
21. public class User {
23. private Integer id;
24. @NotEmpty(message="用户名不能为空")
25. private String username;
26. @NotEmpty(message="密码不能为空")
27. private String password;
28. private List roleList;//一个用户具有多个角色
30. @Id
31. @GeneratedValue(strategy=GenerationType.IDENTITY)
32. public Integer getId() {
33. return id;
34. }
35. public void setId(Integer id) {
36. this.id = id;
37. }
38. public String getUsername() {
39. return username;
40. }
41. public void setUsername(String username) {
42. this.username = username;
43. }
44. public String getPassword() {
45. return password;
46. }
47. public void setPassword(String password) {
48. this.password = password;
49. }
50. @ManyToMany
51. @JoinTable(name="t_user_role",joinColumns={@JoinColumn(name="user_id")},inverseJoinColumns={@JoinColumn(name="role_id")})
52. public List getRoleList() {
53. return roleList;
54. }
55. public void setRoleList(List roleList) {
56. this.roleList = roleList;
57. }
59. @Transient
60. public Set getRolesName(){
61. List roles=getRoleList();
62. Set set=new HashSet();
63. for (Role role : roles) {
64. set.add(role.getRolename());
65. }
66. return set;
67. }
69. }
Java代码
1. package com.cn.pojo;
3. import java.util.ArrayList;
4. import java.util.List;
6. import javax.persistence.Entity;
7. import javax.persistence.GeneratedValue;
8. import javax.persistence.GenerationType;
9. import javax.persistence.Id;
10. import javax.persistence.JoinColumn;
11. import javax.persistence.JoinTable;
12. import javax.persistence.ManyToMany;
13. import javax.persistence.OneToMany;
14. import javax.persistence.Table;
15. import javax.persistence.Transient;
17. @Entity
18. @Table(name="t_role")
19. public class Role {
21. private Integer id;
22. private String rolename;
23. private List permissionList;//一个角色对应多个权限
24. private List userList;//一个角色对应多个用户
26. @Id
27. @GeneratedValue(strategy=GenerationType.IDENTITY)
28. public Integer getId() {
29. return id;
30. }
31. public void setId(Integer id) {
32. this.id = id;
33. }
34. public String getRolename() {
35. return rolename;
36. }
37. public void setRolename(String rolename) {
38. this.rolename = rolename;
39. }
40. @OneToMany(mappedBy="role")
41. public List getPermissionList() {
42. return permissionList;
43. }
44. public void setPermissionList(List permissionList) {
45. this.permissionList = permissionList;
46. }
47. @ManyToMany
48. @JoinTable(name="t_user_role",joinColumns={@JoinColumn(name="role_id")},inverseJoinColumns={@JoinColumn(name="user_id")})
49. public List getUserList() {
50. return userList;
51. }
52. public void setUserList(List userList) {
53. this.userList = userList;
54. }
56. @Transient
57. public List getPermissionsName(){
58. List list=new ArrayList();
59. List perlist=getPermissionList();
60. for (Permission per : perlist) {
61. list.add(per.getPermissionname());
62. }
63. return list;
64. }
65. }
Java代码
1. package com.cn.pojo;
3. import javax.persistence.Entity;
4. import javax.persistence.GeneratedValue;
5. import javax.persistence.GenerationType;
6. import javax.persistence.Id;
7. import javax.persistence.JoinColumn;
8. import javax.persistence.ManyToOne;
9. import javax.persistence.Table;
11. @Entity
12. @Table(name="t_permission")
13. public class Permission {
15. private Integer id;
16. private String permissionname;
17. private Role role;//一个权限对应一个角色
19. @Id
20. @GeneratedValue(strategy=GenerationType.IDENTITY)
21. public Integer getId() {
22. return id;
23. }
24. public void setId(Integer id) {
25. this.id = id;
26. }
27. public String getPermissionname() {
28. return permissionname;
29. }
30. public void setPermissionname(String permissionname) {
31. this.permissionname = permissionname;
32. }
33. @ManyToOne
34. @JoinColumn(name="role_id")
35. public Role getRole() {
36. return role;
37. }
38. public void setRole(Role role) {
39. this.role = role;
40. }
42. }
使用SHIRO的步骤:
1,导入jar
2,配置web.xml
3,建立dbRelm
4,在Spring中配置
pom.xml中配置如下:
Xml代码
1.
3. 4.0.0
4. com.hyx
5. springmvc
6. war
7. 0.0.1-SNAPSHOT
8. springmvc Maven Webapp
9. http://maven.apache.org
10.
11.
12. junit
13. junit
14. 3.8.1
15. test
16.
17.
18.
19. org.springframework
20. spring-webmvc
21. 3.2.4.RELEASE
22.
23.
24.
25. org.springframework
26. spring-jdbc
27. 3.2.4.RELEASE
28.
29.
30. org.springframework
31. spring-orm
32. 3.2.4.RELEASE
33.
34.
35.
36.
37. org.hibernate
38. hibernate-core
39. 4.2.5.Final
40.
41.
42. org.hibernate
43. hibernate-ehcache
44. 4.2.5.Final
45.
46.
47. net.sf.ehcache
48. ehcache
49. 2.7.2
50.
51.
52. commons-dbcp
53. commons-dbcp
54. 1.4
55.
56.
57. mysql
58. mysql-connector-java
59. 5.1.26
60.
61.
62.
63. javax.inject
64. javax.inject
65. 1
66.
67.
69.
70.
71. org.hibernate
72. hibernate-validator
73. 5.0.1.Final
74.
75.
76.
77. org.codehaus.jackson
78. jackson-mapper-asl
79. 1.9.13
80.
81.
82.
83. javax.servlet
84. jstl
85. 1.2
86.
87.
88.
89. javax.servlet
90. servlet-api
91. 2.5
92.
94.
95.
96. org.apache.shiro
97. shiro-core
98. 1.2.2
99.
100.
101. org.apache.shiro
102. shiro-web
103. 1.2.2
104.
105.
106. org.apache.shiro
107. shiro-spring
108. 1.2.2
109.
110.
112.
113. springmvc
114.
115.
116.
117. org.mortbay.jetty
118. jetty-maven-plugin
119.
120. 10
121.
122. /
123.
124.
125.
126.
127. 80
128. 60000
129.
130.
131.
132.
133.
134.
135.
** web.xml中的配置:**
Xml代码
1.
2.
7. Archetype Created Web Application
9.
10.
11. opensessioninview
12. org.springframework.orm.hibernate4.support.OpenSessionInViewFilter
13.
14.
15. opensessioninview
16. /*
17.
19.
20.
21. springmvc
22. org.springframework.web.servlet.DispatcherServlet
23. 1
24.
25.
26. springmvc
27.
28. /
29.
31.
32.
33. contextConfigLocation
34. classpath:applicationContext*.xml
35.
36.
37.
38. org.springframework.web.context.ContextLoaderListener
39.
40.
42.
43.
44. shiroFilter
45. org.springframework.web.filter.DelegatingFilterProxy
46.
47.
48. shiroFilter
49. /*
50.
52.
Java代码
1. package com.cn.service;
3. import java.util.List;
5. import javax.inject.Inject;
7. import org.apache.shiro.authc.AuthenticationException;
8. import org.apache.shiro.authc.AuthenticationInfo;
9. import org.apache.shiro.authc.AuthenticationToken;
10. import org.apache.shiro.authc.SimpleAuthenticationInfo;
11. import org.apache.shiro.authc.UsernamePasswordToken;
12. import org.apache.shiro.authz.AuthorizationInfo;
13. import org.apache.shiro.authz.SimpleAuthorizationInfo;
14. import org.apache.shiro.realm.AuthorizingRealm;
15. import org.apache.shiro.subject.PrincipalCollection;
16. import org.springframework.stereotype.Service;
17. import org.springframework.transaction.annotation.Transactional;
19. import com.cn.pojo.Role;
20. import com.cn.pojo.User;
22. @Service
23. @Transactional
24. public class MyShiro extends AuthorizingRealm{
26. @Inject
27. private UserService userService;
28. /**
29. * 权限认证
30. */
31. @Override
32. protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
33. //获取登录时输入的用户名
34. String loginName=(String) principalCollection.fromRealm(getName()).iterator().next();
35. //到数据库查是否有此对象
36. User user=userService.findByName(loginName);
37. if(user!=null){
38. //权限信息对象info,用来存放查出的用户的所有的角色(role)及权限(permission)
39. SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
40. //用户的角色集合
41. info.setRoles(user.getRolesName());
42. //用户的角色对应的所有权限,如果只使用角色定义访问权限,下面的四行可以不要
43. List roleList=user.getRoleList();
44. for (Role role : roleList) {
45. info.addStringPermissions(role.getPermissionsName());
46. }
47. return info;
48. }
49. return null;
50. }
52. /**
53. * 登录认证;
54. */
55. @Override
56. protected AuthenticationInfo doGetAuthenticationInfo(
57. AuthenticationToken authenticationToken) throws AuthenticationException {
58. //UsernamePasswordToken对象用来存放提交的登录信息
59. UsernamePasswordToken token=(UsernamePasswordToken) authenticationToken;
60. //查出是否有此用户
61. User user=userService.findByName(token.getUsername());
62. if(user!=null){
63. //若存在,将此用户存放到登录认证info中
64. return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), getName());
65. }
66. return null;
67. }
69. }
在spring的配置文件中配置,为了区别spring原配置和shiro我们将shiro的配置独立出来。
applicationContext-shiro.xml
Xml代码
1.
2.
13.
14.
15.
16.
21.
22.
23.
24.
33.
34.
35. /static/**=anon
36.
37. /user=perms[user:query]
38.
39. /user/add=roles[manager]
40. /user/del/**=roles[admin]
41. /user/edit/**=roles[manager]
42.
43. /** = authc
44.
45.
46.
49.
** 用于登录,登出,权限跳转的控制:**
Java代码
1. package com.cn.controller;
3. import javax.validation.Valid;
5. import org.apache.shiro.SecurityUtils;
6. import org.apache.shiro.authc.AuthenticationException;
7. import org.apache.shiro.authc.UsernamePasswordToken;
8. import org.springframework.stereotype.Controller;
9. import org.springframework.ui.Model;
10. import org.springframework.validation.BindingResult;
11. import org.springframework.web.bind.annotation.RequestMapping;
12. import org.springframework.web.bind.annotation.RequestMethod;
13. import org.springframework.web.servlet.mvc.support.RedirectAttributes;
15. import com.cn.pojo.User;
17. @Controller
18. public class HomeController {
20. @RequestMapping(value="/login",method=RequestMethod.GET)
21. public String loginForm(Model model){
22. model.addAttribute("user", new User());
23. return "/login";
24. }
26. @RequestMapping(value="/login",method=RequestMethod.POST)
27. public String login(@Valid User user,BindingResult bindingResult,RedirectAttributes redirectAttributes){
28. try {
29. if(bindingResult.hasErrors()){
30. return "/login";
31. }
32. //使用权限工具进行用户登录,登录成功后跳到shiro配置的successUrl中,与下面的return没什么关系!
33. SecurityUtils.getSubject().login(new UsernamePasswordToken(user.getUsername(), user.getPassword()));
34. return "redirect:/user";
35. } catch (AuthenticationException e) {
36. redirectAttributes.addFlashAttribute("message","用户名或密码错误");
37. return "redirect:/login";
38. }
39. }
41. @RequestMapping(value="/logout",method=RequestMethod.GET)
42. public String logout(RedirectAttributes redirectAttributes ){
43. //使用权限管理工具进行用户的退出,跳出登录,给出提示信息
44. SecurityUtils.getSubject().logout();
45. redirectAttributes.addFlashAttribute("message", "您已安全退出");
46. return "redirect:/login";
47. }
49. @RequestMapping("/403")
50. public String unauthorizedRole(){
51. return "/403";
52. }
53. }
** 三个主要的JSP:
login.jsp:**
Html代码
1. <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
2. <%@ taglib prefix="form" uri="http://www.springframework.org/tags/form" %>
3.
4.
5.
6. My JSP 'MyJsp.jsp' starting page
7.
9.
10. 登录页面----${message }
11. 
12.
13. 用户名:
14. 密 码:
15. submit
16.
17.
18.
user.jsp:
Html代码
1. <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
2. <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
3. <%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
4.
5.
6.
7. 用户列表
8.
9.
10. ${message }
11. 用户列表--添加用户---退出登录
12. 权限列表
13. 用户已经登录显示此内容
14. manager角色登录显示此内容
15. admin角色登录显示此内容
16. normal角色登录显示此内容
18. **manager or admin 角色用户登录显示此内容**
19. add权限用户显示此内容
21. query权限用户显示此内容
22. 不具有user:del权限的用户显示此内容
23.
28.
29.
30.
44.
45.
403.jsp:
Html代码
1. <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
2. <%@ taglib prefix="form" uri="http://www.springframework.org/tags/form" %>
3.
4.
5.
6. 权限错误
7.
9.
10. 对不起,您没有权限请求此连接!
11.
13.
14.
OK,到这里shiro就结束了!现在我们来看Spring Security的。
源:http://hotstrong.iteye.com/blog/1160153
----------------------------------------------------------------------------------------------------------------
使用Spring Security实现权限管理
1、技术目标
- 了解并创建Security框架所需数据表
- 为项目添加Spring Security框架
- 掌握Security框架配置
- 应用Security框架为项目的CRUD操作绑定权限
注意:本文所用项目为"影片管理",参看
http://hotstrong.iteye.com/blog/1156785
2、权限管理需求描述
- 为系统中的每个操作定义权限,如定义4个权限:
1)超级权限,可以使用所有操作
2)添加影片权限
3)修改影片权限
4)删除影片权限 - 为系统设置管理员帐号、密码
- 为系统创建权限组,每个权限组可以配置多个操作权限,如创建2个权限组:
1)"Administrator"权限组,具有超级权限
2)"影片维护"权限组,具有添加影片、修改影片权限 - 可将管理员加入权限组,管理员登录后具备权限组所对应操作权限
- 管理员可不属于某权限组,可为管理员直接分配权限
3、使用准备
3.1)在数据库中创建6张表
t_admin 管理员帐号表
t_role权限表
t_group 权限组表
t_group_role权限组对应权限表
t_group_user管理员所属权限组表
t_user_role管理员对应权限表
建表SQL语句如下:
Sql代码 [图片上传失败...(image-1abd57-1560049661925)]
1. SET FOREIGN_KEY_CHECKS=0;
2. ------------------------------
3. -- 创建管理员帐号表t_admin
4. -- ----------------------------
5. CREATE TABLE `t_admin` (
6. `id` bigint(20) unsigned NOT NULL AUTO_INCREMENT,
7. `passwd` varchar(12) NOT NULL DEFAULT '' COMMENT '用户密码',
8. `nickname` varchar(20) NOT NULL DEFAULT '' COMMENT '用户名字',
9. `phoneno` varchar(32) NOT NULL DEFAULT '' COMMENT '电话号码',
10. PRIMARY KEY (`id`)
11. ) ENGINE=InnoDB AUTO_INCREMENT=6 DEFAULT CHARSET=utf8;
-
- -- 添加3个管理帐号
-
16. INSERT INTO `t_admin` VALUES ('1', 'admin', 'admin', '');
17. INSERT INTO `t_admin` VALUES ('4', '123456', 'test', '');
18. INSERT INTO `t_admin` VALUES ('5', '111111', '111111', '');
-
- -- 创建权限表t_role
-
23. CREATE TABLE `t_role` (
24. `id` bigint(20) unsigned NOT NULL AUTO_INCREMENT,
25. `role` varchar(40) NOT NULL DEFAULT '',
26. `descpt` varchar(40) NOT NULL DEFAULT '' COMMENT '角色描述',
27. `category` varchar(40) NOT NULL DEFAULT '' COMMENT '分类',
28. PRIMARY KEY (`id`)
29. ) ENGINE=InnoDB AUTO_INCREMENT=60 DEFAULT CHARSET=utf8;
-
- -- 加入4个操作权限
-
34. INSERT INTO `t_role` VALUES ('1', 'ROLE_ADMIN', '系统管理员', '系统管理员');
35. INSERT INTO `t_role` VALUES ('2', 'ROLE_UPDATE_FILM', '修改', '影片管理');
36. INSERT INTO `t_role` VALUES ('3', 'ROLE_DELETE_FILM', '删除', '影片管理');
37. INSERT INTO `t_role` VALUES ('4', 'ROLE_ADD_FILM', '添加', '影片管理');
-
- -- 创建权限组表
-
42. CREATE TABLE `t_group` (
43. `id` bigint(20) unsigned NOT NULL AUTO_INCREMENT,
44. `groupname` varchar(50) NOT NULL DEFAULT '',
45. PRIMARY KEY (`id`)
46. ) ENGINE=InnoDB AUTO_INCREMENT=7 DEFAULT CHARSET=utf8;
-
- -- 添加2个权限组
-
51. INSERT INTO `t_group` VALUES ('1', 'Administrator');
52. INSERT INTO `t_group` VALUES ('2', '影片维护');
-
- -- 创建权限组对应权限表t_group_role
-
57. CREATE TABLE `t_group_role` (
58. `id` bigint(20) unsigned NOT NULL AUTO_INCREMENT,
59. `groupid` bigint(20) unsigned NOT NULL,
60. `roleid` bigint(20) unsigned NOT NULL,
61. PRIMARY KEY (`id`),
62. UNIQUE KEY `groupid2` (`groupid`,`roleid`),
63. KEY `roleid` (`roleid`),
64. CONSTRAINT `t_group_role_ibfk_1` FOREIGN KEY (`groupid`) REFERENCES `t_group` (`id`),
65. CONSTRAINT `t_group_role_ibfk_2` FOREIGN KEY (`roleid`) REFERENCES `t_role` (`id`)
66. ) ENGINE=InnoDB AUTO_INCREMENT=83 DEFAULT CHARSET=utf8;
-
- -- 加入权限组与权限的对应关系
-
71. INSERT INTO `t_group_role` VALUES ('1', '1', '1');
72. INSERT INTO `t_group_role` VALUES ('2', '2', '2');
73. INSERT INTO `t_group_role` VALUES ('4', '2', '4');
-
- -- 创建管理员所属权限组表t_group_user
-
78. CREATE TABLE `t_group_user` (
79. `id` bigint(20) unsigned NOT NULL AUTO_INCREMENT,
80. `userid` bigint(20) unsigned NOT NULL,
81. `groupid` bigint(20) unsigned NOT NULL,
82. PRIMARY KEY (`id`),
83. KEY `userid` (`userid`),
84. KEY `groupid` (`groupid`),
85. CONSTRAINT `t_group_user_ibfk_2` FOREIGN KEY (`groupid`) REFERENCES `t_group` (`id`),
86. CONSTRAINT `t_group_user_ibfk_3` FOREIGN KEY (`userid`) REFERENCES `t_admin` (`id`)
87. ) ENGINE=InnoDB AUTO_INCREMENT=18 DEFAULT CHARSET=utf8;
-
- -- 将管理员加入权限组
-
92. INSERT INTO `t_group_user` VALUES ('1', '1', '1');
93. INSERT INTO `t_group_user` VALUES ('2', '4', '2');
-
- -- 创建管理员对应权限表t_user_role
- -- 设置该表可跳过权限组,为管理员直接分配权限
-
99. CREATE TABLE `t_user_role` (
100. `id` bigint(20) unsigned NOT NULL AUTO_INCREMENT,
101. `userid` bigint(20) unsigned NOT NULL,
102. `roleid` bigint(20) unsigned NOT NULL,
103. PRIMARY KEY (`id`),
104. KEY `userid` (`userid`),
105. KEY `roleid` (`roleid`),
106. CONSTRAINT `t_user_role_ibfk_1` FOREIGN KEY (`userid`) REFERENCES `t_admin` (`id`),
107. CONSTRAINT `t_user_role_ibfk_2` FOREIGN KEY (`roleid`) REFERENCES `t_role` (`id`)
108. ) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8;
3.2)在项目中新增如下jar包(security框架所需jar包):
** 注意:以下jar包本文已提供下载**
spring-security-config-3.1.0.RC2.jar
spring-security-core-3.1.0.RC2.jar
spring-security-taglibs-3.1.0.RC2.jar
spring-security-web-3.1.0.RC2.jar
3.3)创建如下包,放置登录验证过滤器代码:
com.xxx.security
3.4)在src下创建Spring配置文件applicationContext-security.xml,内容如下:
Xml代码 [图片上传失败...(image-77aad8-1560049661925)]
1.
3.
9.
11.
**3.5)在web.xml中加入security配置,如下:**
Xml代码 [图片上传失败...(image-9156bc-1560049661925)]
1.
2.
7.
8. index.jsp
9.
11.
12. contextConfigLocation
13. /WEB-INF/applicationContext-*.xml,classpath*:applicationContext-*.xml
14.
16.
17.
18. springSecurityFilterChain
19. org.springframework.web.filter.DelegatingFilterProxy
20.
21.
22. springSecurityFilterChain
23. /*
24.
26.
27. struts2
28. org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter
29.
30.
31. struts2
32. /*
33.
34.
35. org.springframework.web.context.ContextLoaderListener
36.
37.
**4、站点根路径下创建登录页面login.jsp,代码如下:**
Html代码 [图片上传失败...(image-e8c1aa-1560049661925)]
1. <%@ page language="java" contentType="text/html; charset=UTF-8"
2. pageEncoding="UTF-8"%>
3. <%@ taglib prefix="s" uri="/struts-tags"%>
4. <%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
5. <%
6. String path = request.getContextPath();
7. String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path;
8. %>
9.
10.
11.
12.
13. 后台登录
14.
15.
16.
17.
32.
33.
34.
35. 登录失败
36.
37. 原因:
39.
40.
**5、站点根路径下创建注销页面loggedout.jsp,代码如下:**
Html代码 [图片上传失败...(image-2a8928-1560049661925)]
1. <%@page session="false" %>
2. <%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
3. <%@ page pageEncoding="UTF-8"%>
4. <%
5. String path = request.getContextPath();
6. String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path;
7. %>
8.
9.
10.
11.
12. 登出
13.
14.
15. 你已经退出。
16. 点击这里登录
17.
18.
**6、站点根路径下创建HttpSession超时提示页面timeout.jsp,代码如下:**
Html代码 [图片上传失败...(image-ab481e-1560049661925)]
1. <%@page session="false" %>
2. <%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
3. <%@ page pageEncoding="UTF-8" contentType="text/html; charset=UTF-8"%>
4. <%
5. String path = request.getContextPath();
6. String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path;
7. %>
8.
9.
10.
11. 用户失效
12.
13.
14. 你的登录已经失效,请重新登录。
15.
16.
17. 点击这里登录
18.
19.
**7、在com.xxx.security包下创建登录验证过滤器,该过滤器可用于在管理员登录时进行日志记录等相关操作,包括两个类:**
* LoginUsernamePasswordAuthenticationFilter
* LoginSuccessHandler
**7.1)LoginUsernamePasswordAuthenticationFilter代码如下:**
Java代码 [图片上传失败...(image-d2a9a6-1560049661925)]
1. package com.xxx.security;
2. import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
4. public class LoginUsernamePasswordAuthenticationFilter extends
5. UsernamePasswordAuthenticationFilter {
7. }
**7.2)LoginSuccessHandler代码如下:**
Java代码 [图片上传失败...(image-26cfab-1560049661925)]
1. package com.xxx.security;
3. import java.io.IOException;
4. import javax.servlet.ServletException;
5. import javax.servlet.http.HttpServletRequest;
6. import javax.servlet.http.HttpServletResponse;
7. import org.springframework.security.core.Authentication;
8. import org.springframework.security.core.userdetails.UserDetails;
9. import org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler;
11. /**
12. * 处理管理员登录日志
13. *
14. */
15. public class LoginSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler{
17. @Override
18. public void onAuthenticationSuccess(HttpServletRequest request,
19. HttpServletResponse response, Authentication authentication) throws IOException,
20. ServletException {
22. UserDetails userDetails = (UserDetails)authentication.getPrincipal();
24. //输出登录提示信息
25. System.out.println("管理员 " + userDetails.getUsername() + " 登录");
27. super.onAuthenticationSuccess(request, response, authentication);
28. }
30. }
**8、在applicationContext-security.xml中加入权限管理配置,如下:**
Xml代码 [图片上传失败...(image-9c333b-1560049661925)]
1.
3.
9.
10.
11.
28.
29.
31.
32.
33.
39.
56.
58.
59.
61.
65.
66.
67.
68.
69. /manager/films.jsp
70.
71.
72.
73.
77.
78.
79.
80. /login.jsp?error=true
81.
82.
84.
注:
Spring Security 默认action="j_spring_security_check",让很多人不理解这个请求之后会跳转到哪里去,
这里我们就看
配置文件里这个标签,这个标签里面最基本的是intercept-url,用来设置访问权限的。
标签里面有个form-login 标签,这个标签有很多属性,大概情况如下:
form-login属性详解1\. login-page 自定义登录页url,默认为/login 2\. login-processing-url 登录请求拦截的url,也就是form表单提交时指定的action 3\. default-target-url 默认登录成功后跳转的url 4\. always-use-default-target 是否总是使用默认的登录成功后跳转url 5\. authentication-failure-url 登录失败后跳转的url 6\. username-parameter 用户名的请求字段 默认为userName 7\. password-parameter 密码的请求字段 默认为password 8\. authentication-success-handler-ref 指向一个AuthenticationSuccessHandler用于处理认证成功的请求,不能和default-target-url还有always-use-default-target同时使用 9\. authentication-success-forward-url 用于authentication-failure-handler-ref 10\. authentication-failure-handler-ref 指向一个AuthenticationFailureHandler用于处理失败的认证请求 11\. authentication-failure-forward-url 用于authentication-failure-handler-ref 12\. authentication-details-source-ref 指向一个AuthenticationDetailsSource,在认证过滤器中使用
9、为影片页面films.jsp定制操作权限,定制后,不同的帐号登录会看到不同的操作,
比如,帐号"admin"属于权限组"Administrator",具备权限"ROLE_ADMIN",登录后
可以看到所有操作,帐号"test"属于权限组"影片维护",具备权限"ROLE_UPDATE_FILM"
和"ROLE_ADD_FILM",登录后只能看到"添加影片信息"和"修改"操作
films.jsp页面权限分布图:
[图片上传失败...(image-c45b3b-1560049661927)]
films.jsp代码如下:
Html代码 [图片上传失败...(image-4fe400-1560049661925)]
1. <%@ page language="java" contentType="text/html; charset=utf-8"
2. pageEncoding="utf-8" %>
3. <%@taglib uri="/struts-tags" prefix="s" %>
4. <%@ taglib prefix="security"
5. uri="http://www.springframework.org/security/tags"%>
6. <%
7. String path = request.getContextPath();
8. String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
9. %>
10.
11.
12.
13. 信息操作
14.
15.
16.
17.
19.
20.
21. 添加影片信息
22.
24.
25.
26.
27. 序号 影片名 操作
28.
29. <%-- 遍历影片信息 --%>
30.
31.
32.
36.
37.
38.
39.
41. [修改]
42.
43.
44.
45.
46.
48. [删除]
49.
50.
51.
52.
53.
54.
55.
56.
Shrio在线教程:
http://www.sojson.com/jc/shiro.html
Shiro + Redis 源码
http://www.sojson.com/shiro