如果想使用Relam的操作,那么必须要保证有一个具体的认证类实现了Relam接口
- web.xml增加shiro的配置
<!-- 此配置描述的是在项目开发过程之中,Spring容器所需要使用到的配置文件 -->
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:applicationContext.xml</param-value>
</context-param>
<!-- 进行shiro的过滤器的配置 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<!-- 该参数表示shiro的生命周期将交由Spring容器进行管理(默认情况下,取值为false) -->
<!-- 如果将其内容设置为true,则表示由Servlet容器进行管理 -->
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
<dispatcher>INCLUDE</dispatcher>
<dispatcher>ERROR</dispatcher>
</filter-mapping>
- 在applicationContext.xml假如shiro配置项信息
配置shiro的登录入口
<!-- 此处表示使用内置的表单登录控制验证 -->
<bean id="formAuthenticationFilter" class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
<!-- 定义出需要使用的参数,此参数与表单一一对应 -->
<property name="usernameParam" value="mid"/>
<property name="passwordParam" value="password"/>
<property name="loginUrl" value="/loginUrl.action"/> <!-- 登录的请求url-->
</bean>
配置Shiro过滤器
<!-- 配置shiro过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- 表示现在要配置的是一个安全管理器 -->
<property name="securityManager" ref="securityManager"/>
<!-- 出现错误之后的跳转路径的配置 -->
<property name="loginUrl" value="/loginUrl.action"/>
<!-- 认证失败之后的跳转路径页面 -->
<property name="unauthorizedUrl" value="/unauthUrl.action"/>
<!-- 登录成功之后的跳转访问路径 -->
<property name="successUrl" value="/successUrl.action"/>
<!-- 配置shiro里面需要使用到的过滤器操作 -->
<property name="filters">
<map>
<entry key="authc" value-ref="formAuthenticationFilter"/>
</map>
</property>
<!-- shiro里面需要针对于所有的路径进行配置,所有的配置需要通过文本的形式设置 -->
<property name="filterChainDefinitions">
<value>
/loginUrl.action=authc
/pages/welcome.jsp=authc
</value>
</property>
</bean>
<!-- 配置Shiro在Spring中的生命周期的控制操作 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
配置SecurityManager管理器
<!-- 配置SecurityManager的管理 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 配置你需要使用的Realms -->
<property name="realm" ref="memberRealm"/>
</bean>
编写memberRealm进行认证授权
package com.sun.realm; import java.util.Map; import java.util.Set; import javax.annotation.Resource; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.IncorrectCredentialsException; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authc.UnknownAccountException; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.authz.SimpleAuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; import org.springframework.stereotype.Component; import com.sun.service.IMemberService; import com.sun.vo.Member; @Component public class MemberRealm extends AuthorizingRealm { @Resource private IMemberService memberService ; @SuppressWarnings("unchecked") @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { System.out.println("********** 2、用户角色与权限:doGetAuthorizationInfo **********"); String username = (String) principals.getPrimaryPrincipal() ; // 取得用户登录名 SimpleAuthorizationInfo auth = new SimpleAuthorizationInfo() ; // 定义授权信息的返回数据 try { Map<String,Object> map = this.memberService.listAuthByMember(username) ; Set<String> allRoles = (Set<String>) map.get("allRoles") ; Set<String> allActions = (Set<String>) map.get("allActions") ; auth.setRoles(allRoles);// 所有的角色必须以Set集合的形式出现 auth.setStringPermissions(allActions); // 所有的权限必须以Set集合的形式出现 } catch (Exception e) { e.printStackTrace(); } return auth; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { System.out.println("********** 1、用户登录认证:doGetAuthenticationInfo() **********"); // 1、登录认证的方法需要先执行,需要用他来判断登录的用户信息是否合法 String username = (String) token.getPrincipal() ; // 取得用户名 // 需要通过用户名取得用户的完整信息,利用业务层操作 Member vo = null ; try { vo = this.memberService.get(username) ; } catch (Exception e) { e.printStackTrace(); } if (vo == null) { throw new UnknownAccountException("该用户名称不存在!") ; } else { // 进行密码的验证处理 String password = new String((char []) token.getCredentials()) ; // 将数据库中的密码与输入的密码进行比较,这样就可以确定当前用户是否可以正常登录 if (vo.getPassword().equals(password)) { // 密码正确 AuthenticationInfo auth = new SimpleAuthenticationInfo(username, password, "memberRealm") ; return auth ; } else { throw new IncorrectCredentialsException("密码错误!") ; } } } }
这是首页登录的jsp
<%@ page language="java" contentType="text/html; charset=utf-8" pageEncoding="utf-8"%> <% String path = request.getContextPath(); String basePath = request.getScheme()+"//"+request.getServerName()+":"+request.getServerPort(); %> <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <%-- <base href="<%=basePath %>"> --%> <%System.out.println("---"+basePath); %> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <title>Shiro</title> </head> <body> <form action="http://127.0.0.1:8080/shiroLogin" method = "post"> 用户名<input type="text" name = "mid" id = "mid"><br> 密码 <input type="password" name = "password" id = "password"><br> <input type="submit" value="登录"> <input type="reset" value="重置"> </form> </body> </html>
这是登录跳转的Controller
package com.sun.action; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.servlet.ModelAndView; @Controller public class MemberLoginAction { @RequestMapping("/successUrl") public ModelAndView successUrl() { return new ModelAndView("welcome"); } }
shiro登录的流程
从jsp的action找到配置的formAuthenticationFilter
然后登录的路径被shiroFilter过滤
shiroFilter交给配置的securityManager去管理
securityManager又交给配置的memberRealm去授权和认证
登录成功之后的跳转访问路径
<property name="successUrl" value="/successUrl.action"/>
下一篇会写在集群环境下Shiro的Session管理,并上传相应的源代码(未完待续)