一、Shiro简介
1.Shiro主要功能
- Authentication:身份认证/登陆,验证用户是不是拥有相应的身份
- Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限
- Sessioin Manager:会话管理,即用户登陆后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
- Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
2.Shiro工作中流程
- Subject:应用代码直接交互对象的Subject,所有Subject都绑定到SecurityManager,可以把Suubject认为是一个门面;SecurityManager才是实际的执行者
- SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,他负责与后边介绍的其他组件进行交互,就比如是SpringMVC的DispatcherServlet前端控制器一样
- Realm:域,Shiro从Realm获取安全数据(用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法,也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。
二、Shiro基础开发
1.搭建开发环境
<!--首先配置servlet开发包-->
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.12</version>
<scope>test</scope>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>javax.servlet-api</artifactId>
<version>3.1.0</version>
</dependency>
<!--配置Shiro相关开发包-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.3.0</version>
</dependency>
<!--配置日志相关开发包,在导入log4j.properties-->
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
<dependency>
<groupId>com.mchange</groupId>
<artifactId>mchange-commons-java</artifactId>
<version>0.2.12</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.1.3</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-api</artifactId>
<version>1.7.21</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.7.21</version>
</dependency>
2.固定信息验证
- 用户认证
认证主体信息:principals(身份),例如:用户名
认证信息:credentials(密码),文字密码、证书
在资源目录下创建一个shiro.ini文件
[users]
admin=hello
mldn=java
定义了2个用户
- 进行shiro的认证编写
- 如果想要进行shiro的认证信息的读取,需要使用一个org.apache.shiro.util.Factory接口,在这个接口里面定义有取得一个SecurityManager接口对象的方法:public T getInstance():
- 此方法可以取得一个org.apache.shiro.mgt.SecurityManager接口对象
- Factory是接口,本次将通过ini文件进行读取,所以应该使用"org.apache.shiro.config.IniSecurityManagerFactory"子类,这个子类主需要关注他的构造方法:public IniSecurityManagerFactory(String iniResourcePath),资源定位通过classpath取得
- Factory接口中报关的是SecurityManager接口对象,这个接口对象主要是进行所有认证信息处理的,也就是说用户读取进来的资源文件在这个接口里面转换为认证数据(用户名、密码)
- 具体的认证信息一定要通过Subject接口来实现,而SecurityManager只是一个综合认证的集合,所以为了解决这个问题可以使用"org.apache.shiro.SsecurityUtils"这个类有2个方法:
- 设置SecurityManager接口对象:public static void setSecurityManager(SecurityManager securityManager)
- 取得一个要进行认证的subject接口:public static Subject getSubject()
- 需要将用户名和密码包装为一个Token,因为在Subject接口下有如下方法
- 登陆验证:public void login(AuthenticationToken token) throws AuthenticationException
- 登陆注销:public void logout()
package cn.mldn.test;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
public class TestLoginDemo {
public static void main(String[] args) {
// 取得Factory接口对象,主要的目的是通过配置文件加载文件之中的信息,这些信息暂时不能够成为认证信息
Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
// 取得里面所保存的所有的认证数据信息
org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
// 利用一个专门的认证操作的处理类,实现认证处理的具体的实现
SecurityUtils.setSecurityManager(securityManager);
// 获取进行用户名和密码认证的接口对象
Subject subject = SecurityUtils.getSubject() ;
// 定义了一个Token,里面保存要登录的用户名和密码信息
UsernamePasswordToken token = new UsernamePasswordToken("admin","hello") ;
// 实现用户登录处理
subject.login(token);
System.out.println(subject.getPrincipal()); // 取得用户名
}
}
- 异常
- 用户名正确,密码错误
Exception in thread "main" org.apache.shiro.authc.IncorrectCredentialsException:
Submitted credentials for token
[org.apache.shiro.authc.UsernamePasswordToken - admin, rememberMe=false] did not match the expected credentials.
- 用户名错误,密码正确
Exception in thread "main" org.apache.shiro.authc.UnknownAccountException:
Realm [org.apache.shiro.realm.text.IniRealm@4696954c] was unable to find account data for the submitted AuthenticationToken
[org.apache.shiro.authc.UsernamePasswordToken - admina, rememberMe=false].
3.认证流程
三、Realm
1.认识Realm
public interface Realm{
//只是要求返回当前使用的Realm名字,这个名字可以任意返回但是不能重名
public String getName();
//判断当前使用的Token的类型是否为制定的类型
public boolean supportts(AuthenticationToken token);
//得到用户的认证信息,根据传入的Token取得,token包含进行验证的所有数据
public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException
}
2.固定信息Realm认证
- 建立一个MyRealm类,该类实现Realm接口
- 认证信息:org.apache.shiro.authc.AuthenticationInfo,接口有两个方法:
- 取得所有的身份信息:public PrincjpalCollection getPrincipals();
- 取得认证信息:public Object getCredentials();
- 子类:org.apache.shiro.authc.SimpleAuthenticationInfo
- 构造方法:public SimpleAuthenticationInfo(Object principal,Object credentials,String realmName);
- 所有用户的信息都保存再token里面:org.apache.shiro.authc,AuthenticationToken,此接口有如下两个方法:
- 身份数据:public Object getPrincipal();
- 认证数据:public Object getCredentials();
- 此时返回的数据类型为char[],不能直接转换为String
package cn.mldn.realm;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.realm.Realm;
public class MyRealm implements Realm {
@Override
public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String username = (String)token.getPrincipal();//取得用户名
//在shiro里面呢是利用字符数组实现了密码的船都,所以不能直接抓便为String
String password = new String((char[])token.getCredentials());//取得密码
//此时直接使用一个固定的用户名和密码进行验证处理操作
if(!"admin".equals(username)){//判断用户名是否存在
throw new UnknownAccountException("用户名不存在");
}
if(!"hello".equals(password)){
throw new IncorrectCredentialsException("密码不正确");
}
return new SimpleAuthenticationInfo(username,password,this.getName());
}
@Override
public String getName() {
return "myRealm";//名字随便给一个,只要能唯一标识即可
}
@Override
public boolean supports(AuthenticationToken token) {
//本次将在之前程序的基础之上继续使用UsernamePasswordToken完成信息传递
return token instanceof UsernamePasswordToken;
}
}
shiro.ini文件
myRealm=cn.mldn.realm.MyRealm
# 整个Shiro中的验证处理都是由SecurityManager接口负责的
securityManager.realms=$myRealm
3.数据库认证
- 先配置mysql数据库驱动
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>5.0.8</version>
</dependency>
- 配置shiro.ini文件
[main]
# 定义本次MySQL连接要使用的数据源处理类
dataSource=com.mysql.jdbc.jdbc2.optional.MysqlDataSource
# 定义数据库的连接主机名称
dataSource.serverName=127.0.0.1
# 定义要使用的数据库的名字
dataSource.databaseName=shirodb
# 定义数据库的连接账户
dataSource.user=root
# 定义数据库的连接的密码
dataSource.password=mysqladmin
# 定义本次要基于JDBC实现的Realm的认证的配置类
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
# 配置本次的JDBC连接所使用的数据源,$表示引用配置
jdbcRealm.dataSource=$dataSource
# 定义所需要的查询语句
jdbcRealm.authenticationQuery=SELECT password FROM member WHERE mid=?
# 配置安全管理器所使用的Realm
securityManager.realms=$jdbcRealm
四、认证授权
1.角色认证
shiro.ini
# 用户名=密码,角色,角色.....
[users]
admin=hello,member,dept
mldn=java,dept,emp
No. | 方法名称 | 类型 | 描述 |
---|---|---|---|
1 | public void checkRole(String roleIdentifier)throws AuthorizationException | 普通 | 检查一个角色是否存在 |
2 | public void checkRoles(String...roleIdentifier)throws AuthorizationException | 普通 | 检查多个角色是否存在 |
3 | public boolean hasRole(String roleIdentifier) | 普通 | 判断是否有指定角色 |
4 | public boolean hasAllRoles(Collection
|
普通 | 判断是否有所有角色 |
subject.checkRole("dept");//不包含的话会抛异常
subject.hasRole("dept");//返回boolean类型
set<String> allRoles = new HashSet<String>();
allRoles.add("member");
allRoles.add("dept");
subject.hasAllRoles(allRoles);//返回boolean类型
2.权限认证
shiro.ini
[users]
admin=hello,member,dept
mldn=java,dept,emp
[roles]
member=member:add,member:edit,member:remove
dept=dept:add,dept:edit,dept:list
emp=emp:list
No. | 方法名称 | 类型 | 描述 |
---|---|---|---|
1 | public void checkPermission(String permission)throws AuthorizationException | 普通 | 检测权限是否存在,如果不存在抛出异常 |
2 | public void checkPermissions(String... permission)throws AuthorizationException | 普通 | 检测是否包含指定的所有权限,不存在抛出异常 |
3 | public boolean isPermitted(String permission) | 普通 | 判断是否有指定的一个权限 |
4 | public boolean isPermittedAll(String... permissions) | 普通 | 判断是否有指定的多个权限 |
subject.checkPermissions("member:add","member:edit","member:remove");//没有此权限会抛异常
subject.isPermitted("member:add");//返回boolean类型
subject.isPermitted("member:*");
3.基于数据库的权限认证
package cn.mldn.service;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.HashSet;
import java.util.Set;
import cn.mldn.vo.Member;
public class MemberLoginService {
private Connection conn;//数据库的连接对象
private static final String DBDRIVER = "org.gjt.mm.mysql.Driver";
private static final String DBURL = "jdbc:mysql://localhost:3306/shirodb";
private static final String DBUSER = "root";
private static final String PASSWORD = "123456";
private PreparedStatement pstmt = null;
public MemberLoginService() { // 在构造方法里面进行数据库连接对象的实例化
this.connectionDataBase(); // 进行数据库的连接取得
}
public Member get(String mid){//实现用户登陆 处理
Member vo = null;
try {
String sql = "select mid,password from member where mid=?";
this.pstmt = this.conn.prepareStatement(sql);
this.pstmt.setString(1, mid);
ResultSet rs = this.pstmt.executeQuery();
if(rs.next()){
vo = new Member();
vo.setMid(rs.getString(1));
vo.setPassword(rs.getString(2));
}
} catch (SQLException e) {
e.printStackTrace();
}
return vo;
}
/**
* 根据用户名称查询对应的所有的角色数据
* @param mid
*/
public Set<String> listRolesByMember(String mid){
Set<String> allRoles = new HashSet<String>();
String sql = "SELECT flag FROM role WHERE rid IN (" + " SELECT rid FROM member_role WHERE mid=?)";
try {
this.pstmt = this.conn.prepareStatement(sql);
this.pstmt.setString(1, mid);
ResultSet rs = this.pstmt.executeQuery();
while (rs.next()) {
allRoles.add(rs.getString(1)) ;
}
} catch (Exception e) {
e.printStackTrace();
}
return allRoles ;
}
/**
* 根据用户的名称查询出该用户对应的所有权限数据
* @param mid
* @return
*/
public Set<String> listActionsByMember(String mid) {
Set<String> allActions = new HashSet<String>();
String sql = "SELECT flag FROM action WHERE actid IN ("
+ " SELECT actid FROM role_action WHERE rid IN("
+ " SELECT rid FROM member_role WHERE mid=?))";
try {
this.pstmt = this.conn.prepareStatement(sql);
this.pstmt.setString(1, mid);
ResultSet rs = this.pstmt.executeQuery();
while (rs.next()) {
allActions.add(rs.getString(1)) ;
}
} catch (Exception e) {
e.printStackTrace();
}
return allActions ;
}
public void close(){//关闭
if(this.conn!=null){
try {
this.conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
private void connectionDataBase(){//专门负责数据库连接的创建
try {
Class.forName(DBDRIVER);
this.conn = DriverManager.getConnection(DBURL, DBUSER, PASSWORD);
} catch (Exception e) {
e.printStackTrace();
}
}
}
此时的操作不是简单的登陆,自定义Realm类需要更换一个父类:
- 认证处理类:AuthenticationRealm
- 抽象方法:protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException
- 授权处理类:AuthorizingRealm
- 抽象方法:AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals)
- 通过PrincipalCollection可以取得身份信息:public Object getPrimaryPrincipal();
package cn.mldn.realm;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import cn.mldn.service.MemberLoginService;
import cn.mldn.vo.Member;
public class MyRealm extends AuthorizingRealm {
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
System.out.println("********** 2、用户角色与权限:doGetAuthorizationInfo **********");
String username = (String) principals.getPrimaryPrincipal() ; // 取得用户登录名
SimpleAuthorizationInfo auth = new SimpleAuthorizationInfo() ; // 定义授权信息的返回数据
MemberLoginService service = new MemberLoginService() ; // 进行业务层处理
auth.setRoles(service.listRolesByMember(username));// 所有的角色必须以Set集合的形式出现
auth.setStringPermissions(service.listActionsByMember(username)); // 所有的权限必须以Set集合的形式出现
service.close();
return auth;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("********** 1、用户登录认证:doGetAuthenticationInfo() **********");
// 1、登录认证的方法需要先执行,需要用他来判断登录的用户信息是否合法
String username = (String) token.getPrincipal() ; // 取得用户名
// 需要通过用户名取得用户的完整信息,利用业务层操作
MemberLoginService service = new MemberLoginService() ;
Member vo = service.get(username) ; // 需要取得的是用户的信息
service.close();
if (vo == null) {
throw new UnknownAccountException("该用户名称不存在!") ;
} else { // 进行密码的验证处理
String password = new String((char []) token.getCredentials()) ;
// 将数据库中的密码与输入的密码进行比较,这样就可以确定当前用户是否可以正常登录
if (vo.getPassword().equals(password)) { // 密码正确
AuthenticationInfo auth = new SimpleAuthenticationInfo(username, password, "memberRealm") ;
return auth ;
} else {
throw new IncorrectCredentialsException("密码错误!") ;
}
}
}
}
[main]
jdbcRealm=cn.mldn.realm.MyRealm
# 整个Shiro中的验证处理都是由SecurityManager接口负责的
securityManager.realms=$jdbcRealm
五、在Web中应用shiro
1.基础验证配置
- 添加shiro的开发包,修改pom.xml文件
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>1.3.1</version>
</dependency>
- 修改web.xml文件追加监听器和过滤器
<!--监听器-->
<listener>
<listener-class>
org.apache.shiro.web.env.EnvironmentLoaderListener
</listener-class>
</listener>
<!--过滤器-->
<filter>
<filter-name>ShiroFilter</filter-name>
<filter-class>
org.apache.shiro.web.servlet.ShiroFilter
</filter-class>
<init-param> <!-- 此处明确的表示配置文件的路径,如果不用ini文件可以不配这一段 -->
<param-name>configPath</param-name>
<param-value>classpath:shiro.ini</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>ShiroFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
<dispatcher>INCLUDE</dispatcher>
<dispatcher>ERROR</dispatcher>
</filter-mapping>
- 修改shiro.ini文件
[main]
# 如果现在认证失败,则跳转到loginUrl配置的路径
authc.loginUrl=/login.jsp
jdbcRealm=cn.mldn.realm.MyRealm
securityManager.realms=$jdbcRealm
# 配置所有需要进行路径检测的页面
[urls]
# 登录的页面是不需要进行检测处理的
/shiroLogin=anon
# 指定的页面需要进行登录检测
/pages/welcome.jsp=authc
2.角色认证
- 修改shiro.ini文件
[main]
# 如果现在认证失败,则跳转到loginUrl配置的路径
authc.loginUrl=/login.jsp
# 需要配置上当角色认证失败之后的跳转页面
roles.unauthorizedUrl=/role.jsp
jdbcRealm=cn.mldn.realm.MyRealm
securityManager.realms=$jdbcRealm
# 配置所有需要进行路径检测的页面
[urls]
# 登录的页面是不需要进行检测处理的
/shiroLogin=anon
# 指定的页面需要进行登录检测,此时表示需要先进行身份认证,而后再进行角色认证
/pages/welcome.jsp=authc,roles[member],roles[dept]
3.权限认证
1.修改shiro.ini文件
[main]
# 如果现在认证失败,则跳转到loginUrl配置的路径
authc.loginUrl=/login.jsp
# 需要配置上当角色认证失败之后的跳转页面
roles.unauthorizedUrl=/role.jsp
# 配置权限认证失败的跳转页面
perms.unauthorizedUrl=/role.jsp
jdbcRealm=cn.mldn.realm.MyRealm
securityManager.realms=$jdbcRealm
# 配置所有需要进行路径检测的页面
[urls]
# 登录的页面是不需要进行检测处理的
/shiroLogin=anon
# 指定的页面需要进行登录检测,此时表示需要先进行身份认证,而后再进行角色认证
# /pages/welcome.jsp=authc,roles[member],roles[dept]
# 对指定页面登录之后进行权限的检测处理
/pages/welcome.jsp=authc,perms[member:add],perms[dept:add]
4.shiro标签支持
如果要想再开发代码中使用shiro标签,需要引入以下标签
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags"%>
<shiro:principal/><!--取得用户名-->
<shiro:user/><!--取得rememberme中得信息-->
<shiro:guest><!--判断当前用户是否为游客-->
<p>当前为游客</p>
</shiro:guest>
<shiro:authenticated>
<p>该用户已经被认证过了</p>
</shiro:authenticated>
<shiro:lacksRole name="emp">
<p>不具备有emp角色</p>
</shiro:lacksRole>
<shiro:lacksPermission name="emp:add">
<p>不具备有emp:add权限</p>
</shiro:lacksPermission>
<shiro:hasPermission name="member:add">
<p>具备有member:add权限</p>
</shiro:hasPermission>
<shiro:hasRole name="member">
<p>具备有member角色!</p>
</shiro:hasRole>
<shiro:hasAnyRoles name="member,emp">
<p>具备有member或emp至少一种角色!</p>
</shiro:hasAnyRoles>
5.路径通配符
- "?":匹配任意得一个字符,例如"/admin?"可以匹配"/admin1"、/admin2";
- " * ":匹配一个或多个任意字符,例如"/admin*"可以匹配"/admin123"、/admin";
- " ** ":匹配零个或多个目录,例如"/admin**"可以匹配"/admin/a"、/admin/abc/a/b/c"
# 表示在messages下得所有路径都需要进行认证得检测
/messages/**=authc
# 表示路径为admin开头得所有资源路径都要进行检测
/admin*=authc
六、Spring + MyBatis + Shiro开发整合
1.搭建项目开发环境
- 修改pom.xml文件追加相关的开发包
- 导入Spring有关开发包
<!-- 导入Spring有关的开发包 -->
<dependency>
<groupId>commons-io</groupId>
<artifactId>commons-io</artifactId>
<version>2.5</version>
</dependency>
<dependency>
<groupId>commons-fileupload</groupId>
<artifactId>commons-fileupload</artifactId>
<version>1.3.2</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-core</artifactId>
<version>4.3.3.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-beans</artifactId>
<version>4.3.3.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-tx</artifactId>
<version>4.3.3.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-context</artifactId>
<version>4.3.3.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-context-support</artifactId>
<version>4.3.3.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>4.3.3.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-webmvc</artifactId>
<version>4.3.3.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-aop</artifactId>
<version>4.3.3.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-aspects</artifactId>
<version>4.3.3.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-jdbc</artifactId>
<version>4.3.3.RELEASE</version>
</dependency>
<dependency>
<groupId>c3p0</groupId>
<artifactId>c3p0</artifactId>
<version>0.9.1.2</version>
</dependency>
- 配置Mybatis开发包
<!-- Mybatis开发包 -->
<dependency>
<groupId>org.mybatis</groupId>
<artifactId>mybatis</artifactId>
<version>3.4.1</version>
</dependency>
<dependency>
<groupId>org.mybatis</groupId>
<artifactId>mybatis-spring</artifactId>
<version>1.3.0</version>
</dependency>
- 配置shiro与spring的整合开发包
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-quartz</artifactId>
<version>1.3.1</version>
</dependency>
- mybatis.cfg.xml文件
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE configuration
PUBLIC "-//mybatis.org//DTD Config 3.0//EN"
"http://mybatis.org/dtd/mybatis-3-config.dtd">
<configuration>
<!-- 进行Mybatis的相应的环境的属性定义 -->
<settings> <!-- 在本项目之中开启二级缓存 -->
<setting name="cacheEnabled" value="true"/>
</settings>
<typeAliases>
<package name="cn.mldn.vo"/>
</typeAliases>
</configuration>
- 配置applicationContext.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:p="http://www.springframework.org/schema/p"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:mvc="http://www.springframework.org/schema/mvc"
xmlns:aop="http://www.springframework.org/schema/aop"
xmlns:tx="http://www.springframework.org/schema/tx"
xmlns:task="http://www.springframework.org/schema/task"
xsi:schemaLocation="
http://www.springframework.org/schema/task
http://www.springframework.org/schema/task/spring-task-4.1.xsd
http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-4.1.xsd
http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc-4.1.xsd
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-4.1.xsd
http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-4.1.xsd
http://www.springframework.org/schema/context
http://www.springframework.org/schema/context/spring-context-4.1.xsd">
<!-- 定义自动注解扫描的操作 -->
<context:annotation-config/>
<context:component-scan base-package="cn.mldn"/>
<!-- 导入所有与数据库连接有关的信息项 -->
<context:property-placeholder location="classpath:database.properties" />
<!-- 进行数据库连接池的配置 -->
<bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource">
<property name="driverClass" value="${db.driver}" /> <!-- 驱动程序 -->
<property name="jdbcUrl" value="${db.url}" /><!-- 连接地址 -->
<property name="user" value="${db.user}" /> <!-- 用户名 -->
<property name="password" value="${db.password}" /> <!-- 密码 -->
<property name="maxPoolSize" value="${db.maxPoolSize}" /> <!-- 最大的可用连接数 -->
<property name="minPoolSize" value="${db.minPoolSize}" /> <!-- 最小维持的连接数 -->
<property name="initialPoolSize" value="${db.initialPoolSize}" /> <!-- 初始化连接数 -->
<property name="maxIdleTime" value="${db.maxIdleTime}" /> <!-- 最大等待连接 -->
</bean>
<!-- 定义Spring与MyBatis整合的操作控制,此时数据库的连接对象取得由Spring负责 -->
<bean id="sessionFactory" class="org.mybatis.spring.SqlSessionFactoryBean">
<property name="dataSource" ref="dataSource"/>
<!-- 配置所有资源文件的保存路径的资源匹配符 -->
<property name="mapperLocations" value="classpath:cn/mldn/vo/mapping/*.xml"/>
<property name="configLocation" value="classpath:mybatis.cfg.xml"/>
</bean>
<!-- 配置自动创建数据层实现类的开发包 -->
<bean class="org.mybatis.spring.mapper.MapperScannerConfigurer">
<!-- 定义该包中的访问为自动配置实现 -->
<property name="basePackage" value="cn.mldn.dao"/>
<property name="sqlSessionFactoryBeanName" value="sessionFactory"/>
</bean>
<!-- 定义数据库的声明式事务控制,直接与业务方法对应 -->
<!-- 定义事务的处理切入点 -->
<aop:config expose-proxy="true">
<aop:pointcut expression="execution(* cn.mldn..service..*.*(..))" id="pointcut"/>
<aop:advisor advice-ref="txAdvice" pointcut-ref="pointcut"/>
</aop:config>
<!-- 进入到了事务的配置声明 -->
<tx:annotation-driven transaction-manager="transactionManager" />
<tx:advice id="txAdvice" transaction-manager="transactionManager">
<!-- 定义一切与服务层有关的控制方法名称,只要是使用了特定的名称那么就会自动处理事务 -->
<tx:attributes>
<tx:method name="insert*" propagation="REQUIRED"/>
<tx:method name="update*" propagation="REQUIRED"/>
<tx:method name="delete*" propagation="REQUIRED"/>
<tx:method name="add*" propagation="REQUIRED"/>
<tx:method name="edit*" propagation="REQUIRED"/>
<tx:method name="change*" propagation="REQUIRED"/>
<tx:method name="remove*" propagation="REQUIRED"/>
<tx:method name="login*" propagation="REQUIRED"/>
<tx:method name="rm*" propagation="REQUIRED"/>
<tx:method name="get*" propagation="REQUIRED" read-only="true"/>
<tx:method name="check*" propagation="REQUIRED" read-only="true"/>
<tx:method name="load*" propagation="REQUIRED" read-only="true"/>
<tx:method name="list*" propagation="REQUIRED" read-only="true"/>
<tx:method name="*" propagation="REQUIRED" read-only="true"/>
</tx:attributes>
</tx:advice>
<!-- 定义数据库的事务控制,本事务控制直接针对于数据库连接操作进行 -->
<bean id="transactionManager"
class="org.springframework.jdbc.datasource.DataSourceTransactionManager">
<property name="dataSource" ref="dataSource"/>
</bean>
</beans>
- 将SpringMVC有关配置放进去
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:p="http://www.springframework.org/schema/p"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:mvc="http://www.springframework.org/schema/mvc"
xsi:schemaLocation="
http://www.springframework.org/schema/mvc
http://www.springframework.org/schema/mvc/spring-mvc-4.1.xsd
http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-4.1.xsd
http://www.springframework.org/schema/context
http://www.springframework.org/schema/context/spring-context-4.1.xsd">
<!-- 定义文件的上传配置支持 -->
<bean id="multipartResolver" class="org.springframework.web.multipart.commons.CommonsMultipartResolver">
<!-- 设置每次上传文件的最大限制 -->
<property name="maxUploadSize" value="5242880"/>
<!-- 设置每次上传占用的内存大小 -->
<property name="maxInMemorySize" value="4096"/>
</bean>
<!-- 配置了一个全局的异常的跳转映射,只要出现了指定的错误信息,那么就跳转到指定的页面 -->
<bean id="exceptionMapping" class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
<property name="exceptionMappings">
<props>
<prop key="org.springframework.web.multipart.MaxUploadSizeExceededException">
errors
</prop>
</props>
</property>
</bean>
<bean id="messageSource" class="org.springframework.context.support.ResourceBundleMessageSource">
<property name="basenames">
<array>
<value>Messages</value>
<value>Pages</value>
<value>Validations</value>
</array>
</property>
</bean>
<!-- 表示要进行安全访问的路径资源匹配处理 -->
<bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
<!-- 匹配前缀 -->
<property name="prefix" value="/WEB-INF/pages/"/>
<!-- 匹配处理的后缀 -->
<property name="suffix" value=".jsp"/>
</bean>
<context:annotation-config/>
<context:component-scan base-package="cn.mldn.action"/>
<mvc:annotation-driven /> <!-- 启动Spring MVC的注解配置 -->
<mvc:default-servlet-handler/> <!-- 启用处理请求的servlet -->
</beans>
- 拷贝相关的*.properties文件,其中需要修改database.properties文件
db.driver=org.gjt.mm.mysql.Driver
db.url=jdbc:mysql://localhost:3306/mldn
db.user=root
db.password=mysqladmin
db.maxPoolSize=1
db.maxIdleTime=1
db.minPoolSize=1
db.initialPoolSize=1
- 在web.xml中配置Spring容器以及SpringMVC操作
- 配置spring与springMVC相关定义
<!-- 在WEB容器里面进行Spring容器的加载 -->
<listener>
<listener-class>
org.springframework.web.context.ContextLoaderListener
</listener-class>
</listener>
<!-- 此配置描述的是在项目开发过程之中,Spring容器所需要使用到的配置文件 -->
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:applicationContext.xml</param-value>
</context-param>
<!-- 此为Spring MVC配置所需要的程序文件,所有的请求都提交给Spring的Servlet程序 -->
<servlet>
<servlet-name>springmvc</servlet-name>
<!-- 此为Spring MVC自己提供的servlet程序,一定要写上,因为其可以处理用户请求 -->
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<!-- 配置Spring MVC所需要的配置文件,可以与Spring容器写在一起 -->
<param-value>classpath:applicationMVC.xml</param-value>
</init-param>
</servlet>
<!-- SpringMVC中所有路径的请求映射,使用的是“*.action” -->
<servlet-mapping>
<servlet-name>springmvc</servlet-name>
<url-pattern>*.action</url-pattern>
</servlet-mapping>
<!-- Spring中提供的编码过滤器,使用的编码都是UTF-8 -->
<filter>
<filter-name>encoding</filter-name>
<filter-class>
org.springframework.web.filter.CharacterEncodingFilter
</filter-class>
<init-param>
<param-name>encoding</param-name>
<param-value>UTF-8</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>encoding</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
- 修改shiro中的web.xml的过滤器
<!-- 进行shiro的过滤器的配置 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<!-- 该参数表示shiro的生命周期将交由Spring容器进行管理(默认情况下,取值为false) -->
<!-- 如果将其内容设置为true,则表示由Servlet容器进行管理 -->
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
<dispatcher>INCLUDE</dispatcher>
<dispatcher>ERROR</dispatcher>
</filter-mapping>
- 随后在applicationContext.xml中定义shiro的相关配置(不在划分子文件了)
- 如果现在你的shiro由Spring来个管理,则:
<!-- 以下为shiro需要的配置项 -->
<!-- 配置SecurityManager的管理 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 配置你需要使用的Realms -->
<property name="realm" ref="memberRealm"/>
</bean>
<!-- 配置shiro过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- 表示现在要配置的是一个安全管理器 -->
<property name="securityManager" ref="securityManager"/>
<!-- 出现错误之后的跳转路径的配置 -->
<property name="loginUrl" value="/loginUrl.action"/>
<!-- 认证失败之后的跳转路径页面 -->
<property name="unauthorizedUrl" value="/unauthUrl.action"/>
<!-- 登录成功之后的跳转访问路径 -->
<property name="successUrl" value="/successUrl.action"/>
<!-- shiro里面需要针对于所有的路径进行配置,所有的配置需要通过文本的形式设置 -->
<property name="filterChainDefinitions">
<value>
/shiroLogin.action=anon
</value>
</property>
</bean>
<!-- 配置Shiro在Spring中的生命周期的控制操作 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
2.SSM基础整合开发(完成基础登陆控制)
- 建立Member.java的VO类
package cn.mldn.vo;
import java.io.Serializable;
public class Member implements Serializable {
private String mid;
private String password;
private String name;
- 建立映射文件,"cn.mldn.vo.mapping.Member.xml"
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
"http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="cn.mldn.dao.IMemberDAO">
<!-- 是进行登录认证使用的,即,根据身份信息取得密码进行认证 -->
<select id="findById" parameterType="String" resultType="Member">
SELECT mid,password,name FROM member WHERE mid=#{mid}
</select>
<!-- 根据用户名查询出该用户对用的所有角色的标记名称(千万不要用中文) -->
<select id="findAllRoleByMember" parameterType="String" resultType="String">
SELECT flag FROM role WHERE rid IN (
SELECT rid FROM member_role WHERE mid=#{mid})
</select>
<!-- 查询出一个用户对应的所有权限数据 -->
<select id="findAllActionByMember" parameterType="String" resultType="String">
SELECT flag FROM action WHERE actid IN (
SELECT actid FROM role_action WHERE rid IN (
SELECT rid FROM member_role WHERE mid=#{mid}))
</select>
</mapper>
- 建立号IMemberDAO接口
package cn.mldn.dao;
import java.util.Set;
import cn.mldn.vo.Member;
public interface IMemberDAO {
public Member findById(String mid) ;
public Set<String> findAllRoleByMember(String mid) ;
public Set<String> findAllActionByMember(String mid) ;
}
- 定义IMMemberService业务层处理,这里提供2个方法:认证、授权
package cn.mldn.service;
import java.util.Map;
import cn.mldn.vo.Member;
public interface IMemberService {
/**
* 此方法是留给Realm进行用户认证使用的,目的是根据用户名取得密码数据
* @param mid
* @return
* @throws Exception
*/
public Member get(String mid) throws Exception ;
/**
* 此方法是留给Realm实现授权处理的,主要要根据用户ID查询出所有的角色以及所有对应权限
* @param mid
* @return 返回的数据包含有两个内容:<br>
* <li>key = allRoles、value = 所有的用户角色;</li>
* <li>key = allActions、value = 所有的用户权限。</li>
* @throws Exception
*/
public Map<String,Object> listAuthByMember(String mid) throws Exception ;
}
/*******************************************************************/
package cn.mldn.service.impl;
import java.util.HashMap;
import java.util.Map;
import javax.annotation.Resource;
import org.springframework.stereotype.Service;
import cn.mldn.dao.IMemberDAO;
import cn.mldn.service.IMemberService;
import cn.mldn.vo.Member;
@Service
public class MemberServiceImpl implements IMemberService {
@Resource
private IMemberDAO memberDAO ;
@Override
public Member get(String mid) throws Exception {
return this.memberDAO.findById(mid);
}
@Override
public Map<String, Object> listAuthByMember(String mid) throws Exception {
Map<String,Object> map = new HashMap<String,Object>() ;
map.put("allRoles", this.memberDAO.findAllRoleByMember(mid)) ;
map.put("allActions", this.memberDAO.findAllActionByMember(mid)) ;
return map ;
}
}
- 建立新的MemberRealm类
package cn.mldn.realm;
import java.util.Map;
import java.util.Set;
import javax.annotation.Resource;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.stereotype.Component;
import cn.mldn.service.IMemberService;
import cn.mldn.vo.Member;
@Component
public class MemberRealm extends AuthorizingRealm {
@Resource
private IMemberService memberService ;
@SuppressWarnings("unchecked")
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
System.out.println("********** 2、用户角色与权限:doGetAuthorizationInfo **********");
String username = (String) principals.getPrimaryPrincipal() ; // 取得用户登录名
SimpleAuthorizationInfo auth = new SimpleAuthorizationInfo() ; // 定义授权信息的返回数据
try {
Map<String,Object> map = this.memberService.listAuthByMember(username) ;
Set<String> allRoles = (Set<String>) map.get("allRoles") ;
Set<String> allActions = (Set<String>) map.get("allActions") ;
auth.setRoles(allRoles);// 所有的角色必须以Set集合的形式出现
auth.setStringPermissions(allActions); // 所有的权限必须以Set集合的形式出现
} catch (Exception e) {
e.printStackTrace();
}
return auth;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("********** 1、用户登录认证:doGetAuthenticationInfo() **********");
// 1、登录认证的方法需要先执行,需要用他来判断登录的用户信息是否合法
String username = (String) token.getPrincipal() ; // 取得用户名
// 需要通过用户名取得用户的完整信息,利用业务层操作
Member vo = null ;
try {
vo = this.memberService.get(username) ;
} catch (Exception e) {
e.printStackTrace();
}
if (vo == null) {
throw new UnknownAccountException("该用户名称不存在!") ;
} else { // 进行密码的验证处理
String password = new String((char []) token.getCredentials()) ;
// 将数据库中的密码与输入的密码进行比较,这样就可以确定当前用户是否可以正常登录
if (vo.getPassword().equals(password)) { // 密码正确
AuthenticationInfo auth = new SimpleAuthenticationInfo(username, password, "memberRealm") ;
return auth ;
} else {
throw new IncorrectCredentialsException("密码错误!") ;
}
}
}
}
- 修改applicationContext.xml文件,配置Realm。
<!-- 配置SecurityManager的管理 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 配置你需要使用的Realms -->
<property name="realm" ref="memberRealm"/>
</bean>
- 将过滤的路径配置完成
<property name="filterChainDefinitions">
<value>
/*=anon
/shiroLogin.action=anon
/messages/**=authc
/admin*=authc
/pages/welcome.jsp=authc,perms[member:add],perms[dept:add]
</value>
</property>
- 建立登陆的Action
package cn.mldn.action;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.servlet.ModelAndView;
@Controller
public class MemberLoginAction {
@RequestMapping("/shiroLogin")
public ModelAndView login(String mid, String password) {
ModelAndView mav = new ModelAndView();
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(mid, password);
try {
subject.login(token);
mav.setViewName("welcome");
} catch (Exception e) {
e.printStackTrace();
mav.setViewName("login");
}
return mav;
}
@RequestMapping("/loginUrl")
public ModelAndView loginUrl() {
return new ModelAndView("login");
}
@RequestMapping("/unauthUrl")
public ModelAndView unauthUrl() {
return new ModelAndView("role");
}
@RequestMapping("/successUrl")
public ModelAndView successUrl() {
return new ModelAndView("welcome");
}
}
3.内置登陆处理(可代替登陆提交的Action)
- 修改appicaitonContext.xml文件,增加内置登陆处理
- 检查器:org.apache.shiro.web.filter.authc.FormAuthenticationFilter
<!-- 此处表示使用内置的表单登录控制验证 -->
<bean id="formAuthenticationFilter" class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
<!-- 定义出需要使用的参数,此参数与表单一一对应 -->
<property name="usernameParam" value="mid"/>
<property name="passwordParam" value="password"/>
<property name="loginUrl" value="/loginUrl.action"/>
</bean>
- 修改Shiro过滤器配置
<!-- 配置shiro过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- 表示现在要配置的是一个安全管理器 -->
<property name="securityManager" ref="securityManager"/>
<!-- 出现错误之后的跳转路径的配置 -->
<property name="loginUrl" value="/loginUrl.action"/>
<!-- 认证失败之后的跳转路径页面 -->
<property name="unauthorizedUrl" value="/unauthUrl.action"/>
<!-- 登录成功之后的跳转访问路径 -->
<property name="successUrl" value="/successUrl.action"/>
<!-- 配置shiro里面需要使用到的过滤器操作 -->
<property name="filters">
<map>
<entry key="authc" value-ref="formAuthenticationFilter"/>
</map>
</property>
<!-- shiro里面需要针对于所有的路径进行配置,所有的配置需要通过文本的形式设置 -->
<property name="filterChainDefinitions">
<value>
/loginUrl.action=authc
/*=anon
/messages/**=authc
/admin*=authc
/pages/welcome.jsp=authc,perms[member:add],perms[dept:add]
</value>
</property>
</bean>
- 修改login.jsp表单路径
<form action="loginUrl.action" method="post"></form>
控制层权限检查
package cn.mldn.action;
import javax.annotation.Resource;
import org.apache.shiro.authz.annotation.RequiresGuest;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.servlet.ModelAndView;
import cn.mldn.service.IEmpService;
@Controller
@RequestMapping("/pages/emp/*")
public class EmpAction {
@Resource
private IEmpService empService ;
@RequestMapping("add")
public ModelAndView add() {
this.empService.add();
return null ;
}
@RequestMapping("edit")
public ModelAndView edit() {
this.empService.edit();
return null ;
}
@RequestMapping("remove")
public ModelAndView remove() {
this.empService.remove();
return null ;
}
@RequestMapping("list")
public ModelAndView list() {
this.empService.list();
return null ;
}
}
- 此时只需要进行认证操作,不需要进行授权检测,所有的action检测将通过自己完成,所有需要修改applicationContext.xml追加:/pages/emp/**=authc
- 注解方式的配置:在applicationContextMVC.xml中追加
<!-- 启动在Shiro里面进行Annotation的相关验证处理操作 -->
<bean id="controllerDefaultAdvisorAutoProxyCreator"
class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor">
<!-- 进行目标程序类的代理控制 -->
<property name="proxyTargetClass" value="true" />
</bean>
<!-- 针对于安全管理实现的AOP处理操作 -->
<bean id="controllerAuthorizationAttributeSourceAdvisor"
class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"/>
</bean>
- 在shiro里面真能对控制层注解由如下几种:
- 认证权限检测:@RequiresAuthentication,该控制方法必须登陆后才能使用;
- 游客检测:@RequiresGuest
- 角色检测:@RequiresRoles(value={"member","dept"})
- 权限检测:@RequiresPermissions(value={"emp:list","member:list"})
3.1 如果此时用户没进行登陆,则会出现"org.apache.shiro.authz.UnauthenticatedException"异常信息(500错误),可以在web.xml中追加:
<error-page>
<exception-type>
org.apache.shiro.authz.UnauthenticatedException
</exception-type>
<location>/loginUrl.action</location>
</error-page>
3.2 如果此时用户没有对应的权限或者角色,则会出现"org.apache.shiro.authz.UnauthorizedException"异常信息(500错误),可以在web.xml中追加:
<error-page>
<exception-type>
org.apache.shiro.authz.UnauthorizedException
</exception-type>
<location>/unauthUrl.action</location>
</error-page>
4.业务层权限检查
控制层和业务层实现Annotation的注解权限认证几乎没有什么区别:
- 建立业务层接口和他的子类:
package cn.mldn.service;
public interface IEmpService {
public void add() ;
public void edit() ;
public void remove() ;
public void list() ;
}
package cn.mldn.service;
import org.apache.log4j.Logger;
import org.apache.shiro.authz.annotation.RequiresAuthentication;
import org.apache.shiro.authz.annotation.RequiresGuest;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.authz.annotation.RequiresRoles;
import org.springframework.stereotype.Service;
d@Service
public class EmpServiceImpl implements IEmpService {
private Logger log = Logger.getLogger(IEmpService.class) ;
@RequiresAuthentication
@Override
public void add() {
log.info("************ 检测是否登陆【IEmpService.add()】 ************");
}
@RequiresGuest
@Override
public void edit() {
log.info("************ 游客检测【IEmpService.edit()】 ************");
}
@RequiresRoles(value={"member","dept"})
@RequiresPermissions(value={"emp:list","member:list"})
@Override
public void remove() {
log.info("************ 角色和权限检测【IEmpService.remove()】 ************");
}
@RequiresPermissions(value={"emp:list","member:list"})
@Override
public void list() {
log.info("************ 权限检测【IEmpService.list()】 ************");
}
}
- 唯一不同的就是applicationContext.xml的配置
<!-- 启动在Shiro里面进行Annotation的相关验证处理操作 -->
<bean id="serviceDefaultAdvisorAutoProxyCreator"
class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor">
<!-- 进行目标程序类的代理控制 -->
<property name="proxyTargetClass" value="true" />
</bean>
<!-- 针对于安全管理实现的AOP处理操作 -->
<bean id="serviceAuthorizationAttributeSourceAdvisor"
class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"/>
</bean>
七、Shiro高级话题
1.缓存配置
- 需要未项目增加缓存组件:
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-ehcache</artifactId>
<version>1.3.0</version>
</dependency>
- 需要定义一个缓存的配置文件,这个配置文件直接拷贝已有的即可。将ehcache.xml文件拷贝倒整个项目资源目录下。
<?xml version="1.1" encoding="UTF-8"?>
<ehcache name="shirocache">
<diskStore path="java.io.tmpdir"/>
<defaultCache
maxElementsInMemory="2000"
eternal="true"
timeToIdleSeconds="120"
timeToLiveSeconds="120"
overflowToDisk="true"/>
<!--<cache name="diskCache"
maxEntriesLocalHeap="2000"
eternal="false"
timeToIdleSeconds="300"
timeToLiveSeconds="0"
overflowToDisk="false"
statistics="true">
</cache> -->
<cache name="passwordRetryCache"
maxElementsInMemory="2000"
eternal="false"
timeToIdleSeconds="300"
timeToLiveSeconds="0"
overflowToDisk="false">
</cache>
<cache name="authorizationCache"
maxElementsInMemory="2000"
eternal="false"
timeToIdleSeconds="1800"
timeToLiveSeconds="0"
overflowToDisk="false">
</cache>
<cache name="authenticationCache"
maxElementsInMemory="2000"
eternal="false"
timeToIdleSeconds="1800"
timeToLiveSeconds="0"
overflowToDisk="false">
</cache>
<cache name="shiro-activeSessionCache"
maxElementsInMemory="2000"
eternal="false"
timeToIdleSeconds="1800"
timeToLiveSeconds="0"
overflowToDisk="false">
</cache>
</ehcache>
在此配置文件之中实际有以下几个核心选项:
- “
”:磁盘的存储目录; - “name=xxx”:对要进行缓存的项进行一个标注;
- “maxElementsInMemory="2000"”:可以缓存的最大的对象个数;
- “eternal="false"”:是否允许自动失效(如果某一个对象长时间不使用);
- “timeToIdleSeconds="1800"”:最小的失效时间,1800秒;
- “timeToLiveSeconds="0"”:最大保存时间,单位秒;
- “overflowToDisk="false"”:如果容量过大,可以将其保存在磁盘上;
- 如果想要是缓存生效,则还需要修改applicationContext.xml文件进行缓存配置:
- 定义缓存管理器
<!-- 进行缓存的操作配置 -->
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/>
</bean>
- 在啊暖管理器之中注册缓存管理器
<!-- 配置SecurityManager的管理 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 配置你需要使用的Realms -->
<property name="realm" ref="memberRealm"/>
<property name="cacheManager" ref="cacheManager"/>
</bean>
2.会话管理
在shiro里面所有用户得会话信息都是由shiro来进行控制得,用户名,主机名等等信息都可以通过Subject接口取得
System.out.println("SESSION ID = " + SecurityUtils.getSubject().getSession().getId());
System.out.println("用户名:" + SecurityUtils.getSubject().getPrincipal());
System.out.println("HOST:" + SecurityUtils.getSubject().getSession().getHost());
System.out.println("TIMEOUT :" + SecurityUtils.getSubject().getSession().getTimeout());
System.out.println("START:" + SecurityUtils.getSubject().getSession().getStartTimestamp());
System.out.println("LAST:" + SecurityUtils.getSubject().getSession().getLastAccessTime());
其中“getLastAccessTime()”方法表示该用户最后一次得操作时间;
- 如果现在需要进行手工得项目配置,则需要导入新的市容开发包
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-quartz</artifactId>
<version>1.3.0</version>
</dependency>
<dependency>
<groupId>commons-collections</groupId>
<artifactId>commons-collections</artifactId>
<version>3.2.2</version>
</dependency>
如果要进行session管理,一定要定期释放空间,所以需要定时组件才可以完成;
- 可以配置一个自己得SessionID生成器
- 生成类:org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator
<!-- 定义Session ID生成管理器 -->
<bean id="sessionIdGenerator"
class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator" />
- 随后需要定义一个会话得DAO处理,指的是你得会话缓存位置,本次暂时将所有的会话数据保存在内存面。
- 会话保存处理:org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
<!-- 配置Session DAO的操作处理 -->
<bean id="sessionDAO"
class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO">
<!-- 设置session缓存的名字,这个名字可以任意 -->
<property name="activeSessionsCacheName" value="shiro-activeSessionCache"/>
<!-- 定义该Session DAO操作中所使用的ID生成器 -->
<property name="sessionIdGenerator" ref="sessionIdGenerator"/>
</bean>
- 现在只是定义了缓存所需要的组件,但是并没有定义session与客户端的联系,为了进行有效的session管理所以还需要建立一个Cookie的操作模板。
- 处理Cookie:org.apache.shiro.web.servlet.SimpleCookie
<!-- 配置需要向Cookie中保存数据的配置模版 -->
<bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
<!-- 在Tomcat运行下默认使用的Cookie的名字为JSESSIONID -->
<constructor-arg value="mldn-session-id"/>
<!-- 保证该系统不会受到跨域的脚本操作供给 -->
<property name="httpOnly" value="true"/>
<!-- 定义Cookie的过期时间,单位为秒,如果设置为-1表示浏览器关闭,则Cookie消失 -->
<property name="maxAge" value="-1"/>
</bean>
- 定义会话管理器(sessionManager)
- 操作类:org.apache.shiro.web.session.mgt.DefaultWebSessionManager
<!-- 定义会话管理器的操作 -->
<bean id="sessionManager"
class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
<!-- 定义的是全局的session会话超时时间,此操作会覆盖web.xml文件中的超时时间配置 -->
<property name="globalSessionTimeout" value="1000000"/>
<!-- 删除所有无效的Session对象,此时的session被保存在了内存里面 -->
<property name="deleteInvalidSessions" value="true"/>
<!-- 定义要使用的无效的Session定时调度器 -->
<property name="sessionValidationScheduler" ref="sessionValidationScheduler"/>
<!-- 需要让此session可以使用该定时调度器进行检测 -->
<property name="sessionValidationSchedulerEnabled" value="true"/>
<!-- 定义Session可以进行序列化的工具类 -->
<property name="sessionDAO" ref="sessionDAO"/>
<!-- 所有的session一定要将id设置到Cookie之中,需要提供有Cookie的操作模版 -->
<property name="sessionIdCookie" ref="sessionIdCookie"/>
<!-- 定义sessionIdCookie模版可以进行操作的启用 -->
<property name="sessionIdCookieEnabled" value="true"/>
</bean>
- 所有的session一定要在用户正确离开之后才能进行资源释放,但是用户如果不点注销,不能够进行session的清空处理,所以为了防止这样的问题,还需要增加一个会话验证调度器。
- 调度器程序类:org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler
<!-- 配置session的定时验证检测程序类,以让无效的session释放 -->
<bean id="sessionValidationScheduler"
class="org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler">
<!-- 设置session的失效扫描间隔,单位为毫秒 -->
<property name="sessionValidationInterval" value="100000"/>
<!-- 随后还需要定义有一个会话管理器的程序类的引用 -->
<property name="sessionManager" ref="sessionManager"/>
</bean>
- 随后需要修改安全管理器
<!-- 配置SecurityManager的管理 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 配置你需要使用的Realms -->
<property name="realm" ref="memberRealm"/>
<property name="cacheManager" ref="cacheManager"/>
<!-- 定义要使用的session管理器 -->
<property name="sessionManager" ref="sessionManager"/>
</bean>
此时就表示WEB开发中的所有session的处理操作都交由Shiro来进行操作管理。
- 另外的方法:
实际上在之前已经通过Subject接口观察到一些信息取得操作,那么实际上在Subject接口中取得Session对象也可以有一些处理方法:
- 更新会话:SecurityUtils.getSubject().getSession().touch()
- 停止会话:SecurityUtils.getSubject().getSession().stop();
- 相当于WEB开发中得:session.invalidate();
3.RememberMe
RememberMe指的是记住我的功能。
- RememberMe功能一定书需要再客户端保留有一个Cookie的数据,那么这个时候就一定要配置Cookie操作模板。
- 让用户再一个小时内可以实现免登录的操作配置。
<!-- 配置需要向Cookie中保存数据的配置模版(RememberMe) -->
<bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
<!-- 设置Cookie在浏览器中保存内容的名字,由用户自己来设置 -->
<constructor-arg value="MLDNJAVA-RememberMe"/>
<!-- 保证该系统不会受到跨域的脚本操作供给 -->
<property name="httpOnly" value="true"/>
<!-- 定义Cookie的过期时间为一小时 -->
<property name="maxAge" value="3600"/>
</bean>
- 随后还需要配置一个RememberMe的管理器:
- 管理器的控制类:org.apache.shiro.web.mgt.CookieRememberMeManager。
<!-- 定义RememberMe功能的程序管理类 -->
<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
<!-- 定义在进行RememberMe功能实现的时候所需要使用到的Cookie的处理类 -->
<property name="cookie" ref="rememberMeCookie"/>
</bean>
- 在安全管理器里面进行RememberMe功能的加入:
<!-- 配置SecurityManager的管理 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 配置你需要使用的Realms -->
<property name="realm" ref="memberRealm"/>
<property name="cacheManager" ref="cacheManager"/>
<!-- 定义要使用的session管理器 -->
<property name="sessionManager" ref="sessionManager"/>
<!-- 定义RememberMe的管理器 -->
<property name="rememberMeManager" ref="rememberMeManager"/>
</bean>
- 如果要进行RememberMe功能操作,实际上还需要表单上进行一个复选框的添加
- 这个复选款的内容需要严格控制好,只能够实用“true”;
修改login.jsp页面
<form action="loginUrl.action" method="post">
用户名:<input type="text" name="mid" id="mid"><br>
密 码:<input type="password" name="password" id="password"><br>
<input type="checkbox" name="rememberMe" value="true">记住密码<br>
<input type="submit" value="登录">
<input type="reset" value="重置">
</form>
- 修改登陆控制器
<!-- 此处表示使用内置的表单登录控制验证 -->
<bean id="formAuthenticationFilter" class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
<!-- 定义出需要使用的参数,此参数与表单一一对应 -->
<property name="usernameParam" value="mid"/>
<property name="passwordParam" value="password"/>
<property name="rememberMeParam" value="rememberMe"/>
<property name="loginUrl" value="/loginUrl.action"/>
</bean>
- 增加一个不需要登陆只需要记住我就可以访问的路径
/messages/**=authc | 访问此操作必须登陆,RememberMe无效 |
---|---|
/info/**=user | 只要登陆郭,并且记住了密码,那么就表示以后可以直接访问了 |