Shiro实现登陆及授权，ajax请求无权限的json返回

1. Shiro的介绍
   ① Apache Shiro： Java安全框架,有身份验证、授权、密码学和会话管理。
   ② Shiro是开源项目
   ③ 安全框架分类
   a) Spring security 重量级安全框架
   b) Apache Shiro轻量级安全框架
   ④ Java中框架轻重量级的区别
   a) 学习成本
   b) 实际开发过程中的性能开销大小
   ⑤ Shiro对于权限判定是分两步走：身份认证[登录]、授权管理[url权限]
2. Shiro的功能
   

主要是四大基础功能
① Authentication(身份认证)：有时也简称为“登录”，这是一个证明用户是他们所说的他们是谁的行为。
② Authorization（授权）：访问控制的过程，也就是绝对“谁”去访问“什么”权限。
③ Session Management：管理用户特定的会话，即使在非 Web 或 EJB 应用程序。
④ Cryptography：通过使用加密算法保持数据安全同时易于使用。
4. Shiro在应用程序中的执行流程

5. Shiro的核心API
   ① Subject：Shiro与外部交互的核心API，可以是任何语言写的程序
   ② SecurityManager：Subject管理器，所有的Shiro权限判定都有他完成
   ③ UsernamePasswordToken：把前台传入的username和password封装成token对象传给SecurityManager处理
   ④ SessionManager：会话管理器，可以直接对session执行CRUD
   ⑤ CacheManager：缓存管理器
   ⑥ SimpleHash：密码学核心代码，根据加密规则对源数据进行加密

理论说多了 头痛，直接上代码：
自定义Realm实现授权及认证【1. 继承org.apache.shiro.realm.AuthorizingRealm抽象类】

public class MyRealm extends AuthorizingRealm {
    @Autowired
    private IEmployeeService employeeService;
    @Autowired
    private IPermissionService permissionService;


    /**
     * 授权方法（告诉shrio当前用户有哪些权限）
     * @param principalCollection
     * @return
     */  
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//        获得当前登陆用户名
        Employee  username= (Employee) principalCollection.getPrimaryPrincipal();
//        查询当前用户名所有的权限
        List permissions = permissionService.selectByEmployeeId(username.getId());
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        for (Permission permission : permissions) {
//            将当前用户权限设置进去
            info.addStringPermission(permission.getSn());
        }
        return info;
    }

    /**
     * 认证方法（及登陆认证）
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//        强转获得登陆的用户和登陆的密码
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        Employee employee = employeeService.findByUserame(username);
        if (employee==null) {
//            当用户不存在的时候抛出用户不存在的异常
            throw new UnknownAccountException(username);
        }
//封装info对象
        Object principal = employee;
        Object hashedCredentials = employee.getPassword();//凭证,数据库中加了密的密码
        ByteSource salt = ByteSource.Util.bytes(MD5Utils.SALT);//盐值
        //        getName()在多认证方式的时候使用，单认证实现类用处不大
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal,hashedCredentials,salt,getName());
        return info;
    }
}

工具类

  /**
     * MD5的工具类
     */
        public class MD5Utils {
            public static String SALT = "crm";//盐值
            public static final int COUNT = 1000;//加密次数
        
            /**
             * 加密
             * @param source
             * @return
             */
            public static String encrypt(String source){
                String algorithmName = "MD5";//加密算法
                SimpleHash sh = new SimpleHash(algorithmName,source,SALT,COUNT);
                return sh.toString();
            }
        }

shiro配置文件

spring引入shrio配置

获取权限判断的map实现类

/**
 * 该类为获取数据库中需要判断那些路径需要权限才能访问的
 */
public class FilterChainDefinitionMapFactory {
    @Autowired
    private IPermissionService permissionService;

    public Map getPermissionMap(){
//        LinkedHashMap是一个有序的map集合
        Map map = new LinkedHashMap<>();
        List all = permissionService.getAll();
        map.put("/login", "anon");//放行的路径
        map.put("/logout", "logout");//退出的路径
        map.put("/static/**", "anon");//放行静态资源
        for (Permission permission : all) {
            map.put(permission.getResource(), "perms["+permission.getSn()+"]");//需要判断权限的路径
        }
        map.put("/**", "authc");//匿名身份验证
        return map;
    }
    
}

web.xml配置shiro拦截器

 
    shiroFilter
    org.springframework.web.filter.DelegatingFilterProxy
    
      targetFilterLifecycle
      true
    
  
  
    shiroFilter
    /*
  

当需要过滤ajax请求判断权限，跟踪源码发现最后实现无权限转跳的实现类是PermissionsAuthorizationFilter ，所以自定义一个类继承该类，覆写方法，加以判断是否是ajax请求，添加对应处理。

public class ShiroPermsFilter extends PermissionsAuthorizationFilter {
    /**
     * shiro认证perms资源失败后回调方法
     * @param servletRequest
     * @param servletResponse
     * @return
     * @throws IOException
     */
    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws IOException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
        //获取当前用户
        Subject subject = this.getSubject(httpServletRequest, httpServletResponse);
        //判断是否已经认证
        if (subject.getPrincipal() == null) {
            //没有认证则重定向到登录页面
            this.saveRequestAndRedirectToLogin(httpServletRequest, httpServletResponse);
        }else {
//认证过了
            String requestedWith = httpServletRequest.getHeader("X-Requested-With");
            if (StringUtils.isNotEmpty(requestedWith) &&
                    StringUtils.equals(requestedWith, "XMLHttpRequest")) {//如果是ajax返回指定格式数据
//           //是ajax请求
                httpServletResponse.setContentType("text/json;charset=UTF-8");//设置响应头
//                返回json 数据，告知无权限
                httpServletResponse.getWriter().write("{\"success\":false,\"message\":\"对不起，你没有这个权限!\",\"errorCode\":-10001}");
            } else {//如果是普通请求进行重定向
                //不是ajax请求
                String unauthorizedUrl = this.getUnauthorizedUrl();
                if (StringUtils.isNotEmpty(unauthorizedUrl)) {
                    WebUtils.issueRedirect(httpServletRequest, httpServletResponse, unauthorizedUrl);
                } else {
                    WebUtils.toHttp(httpServletResponse).sendError(401);
                }
            }

        }
        return false;
    }
}