shiro教程(4)-shiro与项目集成开发

发布时间:2020-06-28 18:14:22 作者:欧阳思海
来源:网络 阅读:782

shiro与项目集成开发

 

1.1 shirospring web项目整合

 

shirospringweb项目整合在“基于url拦截实现的工程”基础上整合,基于url拦截实现的工程的技术架构是springmvc+mybatis,整合注意两点:

1shirospring整合

2、加入shiroweb应用的支持

 

1.1.1 取消原springmvc认证和授权拦截器

去掉springmvc.xml中配置的LoginInterceptorPermissionInterceptor拦截器。

 

1.1.2 加入shirojar

  shiro教程(4)-shiro与项目集成开发

 

1.1.3 web.xml添加shiro Filter

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <!-- shiro过虑器,DelegatingFilterProx会从spring容器中找shiroFilter -->  

  2.   

  3. <filter>  

  4.   

  5. <filter-name>shiroFilter</filter-name>  

  6.   

  7. <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  

  8.   

  9. <init-param>  

  10.   

  11. <param-name>targetFilterLifecycle</param-name>  

  12.   

  13. <param-value>true</param-value>  

  14.   

  15. </init-param>  

  16.   

  17. </filter>  

  18.   

  19. <filter-mapping>  

  20.   

  21. <filter-name>shiroFilter</filter-name>  

  22.   

  23. <url-pattern>/*</url-pattern>  

  24.   

  25. </filter-mapping>  

  26.   

  27.    



 

1.1.4 applicationContext-shiro.xml 

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <!-- Shiro 的Web过滤器 -->  

  2.   

  3. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  

  4.   

  5. <property name="securityManager" ref="securityManager" />  

  6.   

  7. <!-- 如果没有认证将要跳转的登陆地址,http可访问的url,如果不在表单认证过虑器FormAuthenticationFilter中指定此地址就为身份认证地址 -->  

  8.   

  9. <property name="loginUrl" value="/login.action" />  

  10.   

  11. <!-- 没有权限跳转的地址 -->  

  12.   

  13. <property name="unauthorizedUrl" value="/refuse.jsp" />  

  14.   

  15. <!-- shiro拦截器配置 -->  

  16.   

  17. <property name="filters">  

  18.   

  19. <map>  

  20.   

  21. <entry key="authc" value-ref="formAuthenticationFilter" />  

  22.   

  23. </map>  

  24.   

  25. </property>  

  26.   

  27. <property name="filterChainDefinitions">  

  28.   

  29. <value>  

  30.   

  31. <!-- 必须通过身份认证方可访问,身份认 证的url必须和过虑器中指定的loginUrl一致 -->  

  32.   

  33. /loginsubmit.action = authc  

  34.   

  35. <!-- 退出拦截,请求logout.action执行退出操作 -->  

  36.   

  37. /logout.action = logout  

  38.   

  39. <!-- 无权访问页面 -->  

  40.   

  41. /refuse.jsp = anon  

  42.   

  43. <!-- roles[XX]表示有XX角色才可访问 -->  

  44.   

  45. /item/list.action = roles[item],authc  

  46.   

  47. /js/** anon  

  48.   

  49. /p_w_picpaths/** anon  

  50.   

  51. /styles/** anon  

  52.   

  53. <!-- user表示身份认证通过或通过记住我认证通过的可以访问 -->  

  54.   

  55. /** = user  

  56.   

  57. <!-- /**放在最下边,如果一个url有多个过虑器则多个过虑器中间用逗号分隔,如:/** = user,roles[admin] -->  

  58.   

  59.    

  60.   

  61. </value>  

  62.   

  63. </property>  

  64.   

  65. </bean>  

  66.   

  67.    

  68.   

  69.    

  70.   

  71. <!-- 安全管理器 -->  

  72.   

  73. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  

  74.   

  75. <property name="realm" ref="userRealm" />  

  76.   

  77. </bean>  

  78.   

  79.    

  80.   

  81. <!-- 自定义 realm -->  

  82.   

  83. <bean id="userRealm" class="cn.itcast.ssm.realm.CustomRealm1">  

  84.   

  85. </bean>  

  86.   

  87. <!-- 基于Form表单的身份验证过滤器,不配置将也会注册此过虑器,表单中的用户账号、密码及loginurl将采用默认值,建议配置 -->  

  88.   

  89. <bean id="formAuthenticationFilter"  

  90.   

  91. class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">  

  92.   

  93. <!-- 表单中账号的input名称 -->  

  94.   

  95. <property name="usernameParam" value="usercode" />  

  96.   

  97. <!-- 表单中密码的input名称 -->  

  98.   

  99. <property name="passwordParam" value="password" />  

  100.   

  101. <!-- <property name="rememberMeParam" value="rememberMe"/> -->  

  102.   

  103. <!-- loginurl:用户登陆地址,此地址是可以http访问的url地址 -->  

  104.   

  105. <property name="loginUrl" value="/loginsubmit.action" />  

  106.   

  107. </bean>  



 

securityManager:这个属性是必须的。

loginUrl:没有登录认证的用户请求将跳转到此地址,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。

unauthorizedUrl:没有权限默认跳转的页面。

 

 

1.1.5 使用shiro注解授权

 

springmvc.xml中配置shiro注解支持,可在controller方法中使用shiro注解配置权限:

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <!-- 开启aop,对类代理 -->  

  2.   

  3. <aop:config proxy-target-class="true"></aop:config>  

  4.   

  5. <!-- 开启shiro注解支持 -->  

  6.   

  7. <bean  

  8.   

  9. class="  

  10.   

  11. org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">  

  12.   

  13. <property name="securityManager" ref="securityManager" />  

  14.   

  15. </bean>  



 

修改Controller代码,在方法上添加授权注解,如下:

 

[java] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. // 查询商品列表  

  2.   

  3. @RequestMapping("/queryItem")  

  4.   

  5. @RequiresPermissions("item:query")  

  6.   

  7. public ModelAndView queryItem() throws Exception {  



 

上边代码@RequiresPermissions("item:query")表示必须拥有item:query”权限方可执行。

其它的方法参考示例添加注解

 

 

1.1.6 自定义realm

 

realm先不从数据库查询权限数据,当前需要先将shiro整合完成,在上边章节定义的realm基础上修改。

 

[java] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. public class CustomRealm1 extends AuthorizingRealm {  

  2.   

  3.    

  4.   

  5. @Autowired  

  6.   

  7. private SysService sysService;  

  8.   

  9.    

  10.   

  11. @Override  

  12.   

  13. public String getName() {  

  14.   

  15. return "customRealm";  

  16.   

  17. }  

  18.   

  19.    

  20.   

  21. // 支持什么类型的token  

  22.   

  23. @Override  

  24.   

  25. public boolean supports(AuthenticationToken token) {  

  26.   

  27. return token instanceof UsernamePasswordToken;  

  28.   

  29. }  

  30.   

  31.    

  32.   

  33. // 认证  

  34.   

  35. @Override  

  36.   

  37. protected AuthenticationInfo doGetAuthenticationInfo(  

  38.   

  39. AuthenticationToken token) throws AuthenticationException {  

  40.   

  41.    

  42.   

  43. // 从token中 获取用户身份信息  

  44.   

  45. String username = (String) token.getPrincipal();  

  46.   

  47. // 拿username从数据库中查询  

  48.   

  49. // ....  

  50.   

  51. // 如果查询不到则返回null  

  52.   

  53. if (!username.equals("zhang")) {// 这里模拟查询不到  

  54.   

  55. return null;  

  56.   

  57. }  

  58.   

  59.    

  60.   

  61. // 获取从数据库查询出来的用户密码  

  62.   

  63. String password = "123";// 这里使用静态数据模拟。。  

  64.   

  65. // 根据用户id从数据库取出菜单  

  66.   

  67. //...先用静态数据  

  68.   

  69. List<SysPermission> menus = new ArrayList<SysPermission>();;  

  70.   

  71. SysPermission sysPermission_1 = new SysPermission();  

  72.   

  73. sysPermission_1.setName("商品管理");  

  74.   

  75. sysPermission_1.setUrl("/item/queryItem.action");  

  76.   

  77. SysPermission sysPermission_2 = new SysPermission();  

  78.   

  79. sysPermission_2.setName("用户管理");  

  80.   

  81. sysPermission_2.setUrl("/user/query.action");  

  82.   

  83. menus.add(sysPermission_1);  

  84.   

  85. menus.add(sysPermission_2);  

  86.   

  87. // 构建用户身体份信息  

  88.   

  89. ActiveUser activeUser = new ActiveUser();  

  90.   

  91. activeUser.setUserid(username);  

  92.   

  93. activeUser.setUsername(username);  

  94.   

  95. activeUser.setUsercode(username);  

  96.   

  97. activeUser.setMenus(menus);  

  98.   

  99.    

  100.   

  101. // 返回认证信息由父类AuthenticatingRealm进行认证  

  102.   

  103. SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(  

  104.   

  105. activeUser, password, getName());  

  106.   

  107.    

  108.   

  109. return simpleAuthenticationInfo;  

  110.   

  111. }  

  112.   

  113.    

  114.   

  115. // 授权  

  116.   

  117. @Override  

  118.   

  119. protected AuthorizationInfo doGetAuthorizationInfo(  

  120.   

  121. PrincipalCollection principals) {  

  122.   

  123. // 获取身份信息  

  124.   

  125. ActiveUser activeUser = (ActiveUser) principals.getPrimaryPrincipal();  

  126.   

  127. //用户id  

  128.   

  129. String userid = activeUser.getUserid();  

  130.   

  131. // 根据用户id从数据库中查询权限数据  

  132.   

  133. // ....这里使用静态数据模拟  

  134.   

  135. List<String> permissions = new ArrayList<String>();  

  136.   

  137. permissions.add("item:query");  

  138.   

  139. permissions.add("item:update");  

  140.   

  141.    

  142.   

  143. // 将权限信息封闭为AuthorizationInfo  

  144.   

  145.    

  146.   

  147. SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();  

  148.   

  149. for (String permission : permissions) {  

  150.   

  151. simpleAuthorizationInfo.addStringPermission(permission);  

  152.   

  153. }  

  154.   

  155.    

  156.   

  157. return simpleAuthorizationInfo;  

  158.   

  159. }  

  160.   

  161.    

  162.   

  163. }  

  164.   

  165.    



 

 

1.1.7 登录

[java] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. //用户登陆页面  

  2.   

  3. @RequestMapping("/login")  

  4.   

  5. public String login()throws Exception{  

  6.   

  7. return "login";  

  8.   

  9. }  

  10.   

  11. // 用户登陆提交  

  12.   

  13. @RequestMapping("/loginsubmit")  

  14.   

  15. public String loginsubmit(Model model, HttpServletRequest request)  

  16.   

  17. throws Exception {  

  18.   

  19.    

  20.   

  21. // shiro在认证过程中出现错误后将异常类路径通过request返回  

  22.   

  23. String exceptionClassName = (String) request  

  24.   

  25. .getAttribute("shiroLoginFailure");  

  26.   

  27. if (UnknownAccountException.class.getName().equals(exceptionClassName)) {  

  28.   

  29. throw new CustomException("账号不存在");  

  30.   

  31. else if (IncorrectCredentialsException.class.getName().equals(  

  32.   

  33. exceptionClassName)) {  

  34.   

  35. throw new CustomException("用户名/密码错误");  

  36.   

  37. else{  

  38.   

  39. throw new Exception();//最终在异常处理器生成未知错误  

  40.   

  41. }  

  42.   

  43. }  



 

1.1.8 首页

 

由于session由shiro管理,需要修改首页的controller方法:

 

[java] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. //系统首页  

  2.   

  3. @RequestMapping("/first")  

  4.   

  5. public String first(Model model)throws Exception{  

  6.   

  7. //主体  

  8.   

  9. Subject subject = SecurityUtils.getSubject();  

  10.   

  11. //身份  

  12.   

  13. ActiveUser activeUser = (ActiveUser) subject.getPrincipal();  

  14.   

  15. model.addAttribute("activeUser", activeUser);  

  16.   

  17. return "/first";  

  18.   

  19. }  



 

 

1.1.9 退出

 

由于使用shiro的sessionManager,不用开发退出功能,使用shiro的logout拦截器即可。

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <!-- 退出拦截,请求logout.action执行退出操作 -->  

  2.   

  3. /logout.action = logout  



 

 

1.1.10 无权限refuse.jsp

 

当用户无操作权限,shiro将跳转到refuse.jsp页面。

参考:applicationContext-shiro.xml

 

 

 

1.2 realm连接数据库

 

1.2.1 添加凭证匹配器

添加凭证匹配器实现md5加密校验。

修改applicationContext-shiro.xml

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <!-- 凭证匹配器 -->  

  2.   

  3. <bean id="credentialsMatcher"  

  4.   

  5. class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">  

  6.   

  7. <property name="hashAlgorithmName" value="md5" />  

  8.   

  9. <property name="hashIterations" value="1" />  

  10.   

  11. </bean>  

  12.   

  13.    

  14.   

  15. <!-- 自定义 realm -->  

  16.   

  17. <bean id="userRealm" class="cn.itcast.ssm.realm.CustomRealm1">  

  18.   

  19. <property name="credentialsMatcher" ref="credentialsMatcher" />  

  20.   

  21. </bean>  

  22.   

  23.    



 

1.2.2 realm代码

修改realm代码从数据库中查询用户身份信息和权限信息,将sysService注入realm

 

 

[java] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. public class CustomRealm1 extends AuthorizingRealm {  

  2.   

  3.    

  4.   

  5. @Autowired  

  6.   

  7. private SysService sysService;  

  8.   

  9.    

  10.   

  11. @Override  

  12.   

  13. public String getName() {  

  14.   

  15. return "customRealm";  

  16.   

  17. }  

  18.   

  19.    

  20.   

  21. // 支持什么类型的token  

  22.   

  23. @Override  

  24.   

  25. public boolean supports(AuthenticationToken token) {  

  26.   

  27. return token instanceof UsernamePasswordToken;  

  28.   

  29. }  

  30.   

  31.    

  32.   

  33. @Override  

  34.   

  35. protected AuthenticationInfo doGetAuthenticationInfo(  

  36.   

  37. AuthenticationToken token) throws AuthenticationException {  

  38.   

  39. // 从token中获取用户身份  

  40.   

  41. String usercode = (String) token.getPrincipal();  

  42.   

  43.    

  44.   

  45. SysUser sysUser = null;  

  46.   

  47. try {  

  48.   

  49. sysUser = sysService.findSysuserByUsercode(usercode);  

  50.   

  51. catch (Exception e) {  

  52.   

  53. // TODO Auto-generated catch block  

  54.   

  55. e.printStackTrace();  

  56.   

  57. }  

  58.   

  59.    

  60.   

  61. // 如果账号不存在  

  62.   

  63. if (sysUser == null) {  

  64.   

  65. throw new UnknownAccountException("账号找不到");  

  66.   

  67. }  

  68.   

  69.    

  70.   

  71. // 根据用户id取出菜单  

  72.   

  73. List<SysPermission> menus = null;  

  74.   

  75. try {  

  76.   

  77. menus = sysService.findMenuList(sysUser.getId());  

  78.   

  79. catch (Exception e) {  

  80.   

  81. // TODO Auto-generated catch block  

  82.   

  83. e.printStackTrace();  

  84.   

  85. }  

  86.   

  87. // 用户密码  

  88.   

  89. String password = sysUser.getPassword();  

  90.   

  91. //盐  

  92.   

  93. String salt = sysUser.getSalt();  

  94.   

  95. // 构建用户身体份信息  

  96.   

  97. ActiveUser activeUser = new ActiveUser();  

  98.   

  99. activeUser.setUserid(sysUser.getId());  

  100.   

  101. activeUser.setUsername(sysUser.getUsername());  

  102.   

  103. activeUser.setUsercode(sysUser.getUsercode());  

  104.   

  105. activeUser.setMenus(menus);  

  106.   

  107. SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(  

  108.   

  109. activeUser, password, ByteSource.Util.bytes(salt),getName());  

  110.   

  111. return simpleAuthenticationInfo;  

  112.   

  113. }  

  114.   

  115.    

  116.   

  117. @Override  

  118.   

  119. protected AuthorizationInfo doGetAuthorizationInfo(  

  120.   

  121. PrincipalCollection principals) {  

  122.   

  123. //身份信息  

  124.   

  125. ActiveUser activeUser = (ActiveUser) principals.getPrimaryPrincipal();  

  126.   

  127. //用户id  

  128.   

  129. String userid = activeUser.getUserid();  

  130.   

  131. //获取用户权限  

  132.   

  133. List<SysPermission> permissions = null;  

  134.   

  135. try {  

  136.   

  137. permissions = sysService.findSysPermissionList(userid);  

  138.   

  139. catch (Exception e) {  

  140.   

  141. // TODO Auto-generated catch block  

  142.   

  143. e.printStackTrace();  

  144.   

  145. }  

  146.   

  147. //构建shiro授权信息  

  148.   

  149. SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();  

  150.   

  151. for(SysPermission sysPermission:permissions){  

  152.   

  153. simpleAuthorizationInfo.addStringPermission(sysPermission.getPercode());  

  154.   

  155. }  

  156.   

  157. return simpleAuthorizationInfo;  

  158.   

  159. }  

  160.   

  161.    

  162.   

  163. }  



 

 

 

 

 

1.3 缓存

shiro每个授权都会通过realm获取权限信息,为了提高访问速度需要添加缓存,第一次从realm中读取权限数据,之后不再读取,这里ShiroEhcache整合。

 

1.3.1 添加Ehcachejar

 

 

1.3.2 配置

applicationContext-shiro.xml中配置缓存管理器。

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <!-- 安全管理器 -->  

  2.   

  3. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  

  4.   

  5. <property name="realm" ref="userRealm" />  

  6.   

  7. <property name="sessionManager" ref="sessionManager" />  

  8.   

  9. <property name="cacheManager" ref="cacheManager"/>  

  10.   

  11. </bean>  

  12.   

  13.    

  14.   

  15. <!-- 缓存管理器 -->  

  16.   

  17.     <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">  

  18.   

  19.     </bean>  



 

1.4 session管理

applicationContext-shiro.xml中配置sessionManager

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <!-- 安全管理器 -->  

  2.   

  3. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  

  4.   

  5. <property name="realm" ref="userRealm" />  

  6.   

  7. <property name="sessionManager" ref="sessionManager" />  

  8.   

  9. </bean>  

  10.   

  11. <!-- 会话管理器 -->  

  12.   

  13.     <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">  

  14.   

  15.         <!-- session的失效时长,单位毫秒 -->  

  16.   

  17.         <property name="globalSessionTimeout" value="600000"/>  

  18.   

  19.         <!-- 删除失效的session -->  

  20.   

  21.         <property name="deleteInvalidSessions" value="true"/>  

  22.   

  23.     </bean>  



 

 

 

1.5 验证码

 

1.5.1 自定义FormAuthenticationFilter

需要在验证账号和名称之前校验验证码。

 

[java] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. public class MyFormAuthenticationFilter extends FormAuthenticationFilter {  

  2.   

  3. protected boolean onAccessDenied(ServletRequest request,  

  4.   

  5. ServletResponse response, Object mappedValue) throws Exception {  

  6.   

  7.    

  8.   

  9. // 校验验证码  

  10.   

  11. // 从session获取正确的验证码  

  12.   

  13. HttpSession session = ((HttpServletRequest)request).getSession();  

  14.   

  15. //页面输入的验证码  

  16.   

  17. String randomcode = request.getParameter("randomcode");  

  18.   

  19. //从session中取出验证码  

  20.   

  21. String validateCode = (String) session.getAttribute("validateCode");  

  22.   

  23. if (!randomcode.equals(validateCode)) {  

  24.   

  25. // randomCodeError表示验证码错误  

  26.   

  27. request.setAttribute("shiroLoginFailure""randomCodeError");  

  28.   

  29. //拒绝访问,不再校验账号和密码  

  30.   

  31. return true;  

  32.   

  33. }  

  34.   

  35. return super.onAccessDenied(request, response, mappedValue);  

  36.   

  37. }  

  38.   

  39. }  



 

1.5.2 修改FormAuthenticationFilter配置

修改applicationContext-shiro.xml中对FormAuthenticationFilter的配置。

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <bean id="formAuthenticationFilter"  

  2.   

  3. class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">  

  4.   

  5.    

  6.   

  7. 改为  

  8.   

  9. <bean id="formAuthenticationFilter"  

  10.   

  11. class="cn.itcast.ssm.shiro.MyFormAuthenticationFilter">  

  12.   

  13.    



 

1.5.3 登陆页面

添加验证码:

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <TR>  

  2.   

  3. <TD>验证码:</TD>  

  4.   

  5. <TD><input id="randomcode" name="randomcode" size="8" /> <img  

  6.   

  7. id="randomcode_img" src="${baseurl}validatecode.jsp" alt=""  

  8.   

  9. width="56" height="20" align='absMiddle' /> <a  

  10.   

  11. href=javascript:randomcode_refresh()>刷新</a></TD>  

  12.   

  13. </TR>  



 

1.5.4 配置validatecode.jsp匿名访问

 

修改applicationContext-shiro.xml

 

 

 

1.6 记住我

用户登陆选择“自动登陆”本次登陆成功会向cookie写身份信息,下次登陆从cookie中取出身份信息实现自动登陆。

1.6.1 用户身份实现java.io.Serializable接口

cookie记录身份信息需要用户身份信息对象实现序列化接口,如下:

  shiro教程(4)-shiro与项目集成开发

 

 

 

 

1.6.2 配置

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <!-- 安全管理器 -->  

  2.   

  3. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  

  4.   

  5. <property name="realm" ref="userRealm" />  

  6.   

  7. <property name="sessionManager" ref="sessionManager" />  

  8.   

  9. <property name="cacheManager" ref="cacheManager"/>  

  10.   

  11. <!-- 记住我 -->  

  12.   

  13. <property name="rememberMeManager" ref="rememberMeManager"/>  

  14.   

  15. </bean>  

  16.   

  17.    

  18.   

  19. <!-- rememberMeManager管理器 -->  

  20.   

  21. <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">  

  22.   

  23. <property name="cookie" ref="rememberMeCookie" />  

  24.   

  25. </bean>  

  26.   

  27. <!-- 记住我cookie -->  

  28.   

  29. <bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">  

  30.   

  31. <constructor-arg value="rememberMe" />  

  32.   

  33. <!-- 记住我cookie生效时间30天 -->  

  34.   

  35. <property name="maxAge" value="2592000" />  

  36.   

  37. </bean>  

  38.   

  39.    


 

修改formAuthenticationFitler添加页面中“记住我checkbox”的input名称:

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <bean id="formAuthenticationFilter"  

  2.   

  3. class="cn.itcast.ssm.shiro.MyFormAuthenticationFilter">  

  4.   

  5. <!-- 表单中账号的input名称 -->  

  6.   

  7. <property name="usernameParam" value="usercode" />  

  8.   

  9. <!-- 表单中密码的input名称 -->  

  10.   

  11. <property name="passwordParam" value="password" />  

  12.   

  13. <property name="rememberMeParam" value="rememberMe"/>  

  14.   

  15. <!-- loginurl:用户登陆地址,此地址是可以http访问的url地址 -->  

  16.   

  17. <property name="loginUrl" value="/loginsubmit.action" />  

  18.   

  19. </bean>  



 

 

1.6.3 登陆页面

login.jsp中添加“记住我”checkbox

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <TR>  

  2.   

  3. <TD></TD>  

  4.   

  5. <TD>  

  6.   

  7. <input type="checkbox" name="rememberMe" />自动登陆  

  8.   

  9. </TD>  

  10.   

  11. </TR>  



 

 

附:

2.1 shiro过虑器

过滤器简称

对应的Java类

anon

org.apache.shiro.web.filter.authc.AnonymousFilter

authc

org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic

org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

perms

org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

port

org.apache.shiro.web.filter.authz.PortFilter

rest

org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

roles

org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

ssl

org.apache.shiro.web.filter.authz.SslFilter

user

org.apache.shiro.web.filter.authc.UserFilter

logout

org.apache.shiro.web.filter.authc.LogoutFilter

 

 

anon:例子/admins/**=anon 没有参数,表示可以匿名使用。

authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数

roles例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。

perms例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"]当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。

rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中methodpostgetdelete等。

port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议httphttps等,serverName是你访问的host,8081url配置里port的端口,queryString

是你访问的url里的?后面的参数。

authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证

 

ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https

user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查

注:

anonauthcBasicauchcuser是认证过滤器,

permsrolessslrestport是授权过滤器

 

2.2 shirojsp标签

 

Jsp页面添加:

<%@ tagliburi="http://shiro.apache.org/tags" prefix="shiro" %>

 

标签名称

标签条件(均是显示标签内容)

<shiro:authenticated>

登录之后

<shiro:notAuthenticated>

不在登录状态时

<shiro:guest>

用户在没有RememberMe时

<shiro:user>

用户在RememberMe时

<shiro:hasAnyRoles name="abc,123" >

在有abc或者123角色时

<shiro:hasRole name="abc">

拥有角色abc

<shiro:lacksRole name="abc">

没有角色abc

<shiro:hasPermission name="abc">

拥有权限资源abc

<shiro:lacksPermission name="abc">

没有abc权限资源

<shiro:principal>

显示用户身份名称

 <shiro:principal property="username"/>     显示用户身份中的属性值


推荐阅读:
  1. shiro教程(2)- shiro介绍
  2. Shiro 项目应用 Shiro系列-Shiro简介

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

权限管理 shiro

上一篇:mysql数据库中事务日志的作用

下一篇:css中display:none和visibility:hidden的区别

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》