前言
本文主要講解的知識(shí)點(diǎn)有以下:
- Shiro授權(quán)的方式簡單介紹
- 與Spring整合
- 初始Shiro過濾器
一、Shiro授權(quán)
上一篇我們已經(jīng)講解了Shiro的認(rèn)證相關(guān)的知識(shí)了昼弟,現(xiàn)在我們來弄Shiro的授權(quán)
Shiro授權(quán)的流程和認(rèn)證的流程其實(shí)是差不多的:
這里寫圖片描述
1.1Shiro支持的授權(quán)方式
Shiro支持的授權(quán)方式有三種:
Shiro 支持三種方式的授權(quán):
?編程式:通過寫if/else 授權(quán)代碼塊完成:
Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
//有權(quán)限
} else {
//無權(quán)限
}
?注解式:通過在執(zhí)行的Java方法上放置相應(yīng)的注解完成:
@RequiresRoles("admin")
public void hello() {
//有權(quán)限
}
?JSP/GSP 標(biāo)簽:在JSP/GSP 頁面通過相應(yīng)的標(biāo)簽完成:
<shiro:hasRole name="admin">
<!— 有權(quán)限—>
</shiro:hasRole>
1.2使用編程式授權(quán)
同樣的啤它,我們是通過安全管理器來去授權(quán)的,因此我們還是需要配置對應(yīng)的配置文件的:
shiro-permission.ini配置文件:
#用戶
[users]
#用戶zhang的密碼是123舱痘,此用戶具有role1和role2兩個(gè)角色
zhang=123,role1,role2
wang=123,role2
#權(quán)限
[roles]
#角色role1對資源user擁有create变骡、update權(quán)限
role1=user:create,user:update
#角色role2對資源user擁有create、delete權(quán)限
role2=user:create,user:delete
#角色role3對資源user擁有create權(quán)限
role3=user:create
#權(quán)限標(biāo)識(shí)符號規(guī)則:資源:操作:實(shí)例(中間使用半角:分隔)
user:create:01 表示對用戶資源的01實(shí)例進(jìn)行create操作芭逝。
user:create:表示對用戶資源進(jìn)行create操作塌碌,相當(dāng)于user:create:*,對所有用戶資源實(shí)例進(jìn)行create操作旬盯。
user:*:01 表示對用戶資源實(shí)例01進(jìn)行所有操作台妆。
代碼測試:
// 角色授權(quán)、資源授權(quán)測試
@Test
public void testAuthorization() {
// 創(chuàng)建SecurityManager工廠
Factory<SecurityManager> factory = new IniSecurityManagerFactory(
"classpath:shiro-permission.ini");
// 創(chuàng)建SecurityManager
SecurityManager securityManager = factory.getInstance();
// 將SecurityManager設(shè)置到系統(tǒng)運(yùn)行環(huán)境胖翰,和spring后將SecurityManager配置spring容器中接剩,一般單例管理
SecurityUtils.setSecurityManager(securityManager);
// 創(chuàng)建subject
Subject subject = SecurityUtils.getSubject();
// 創(chuàng)建token令牌
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
"123");
// 執(zhí)行認(rèn)證
try {
subject.login(token);
} catch (AuthenticationException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
System.out.println("認(rèn)證狀態(tài):" + subject.isAuthenticated());
// 認(rèn)證通過后執(zhí)行授權(quán)
// 基于角色的授權(quán)
// hasRole傳入角色標(biāo)識(shí)
boolean ishasRole = subject.hasRole("role1");
System.out.println("單個(gè)角色判斷" + ishasRole);
// hasAllRoles是否擁有多個(gè)角色
boolean hasAllRoles = subject.hasAllRoles(Arrays.asList("role1",
"role2", "role3"));
System.out.println("多個(gè)角色判斷" + hasAllRoles);
// 使用check方法進(jìn)行授權(quán),如果授權(quán)不通過會(huì)拋出異常
// subject.checkRole("role13");
// 基于資源的授權(quán)
// isPermitted傳入權(quán)限標(biāo)識(shí)符
boolean isPermitted = subject.isPermitted("user:create:1");
System.out.println("單個(gè)權(quán)限判斷" + isPermitted);
boolean isPermittedAll = subject.isPermittedAll("user:create:1",
"user:delete");
System.out.println("多個(gè)權(quán)限判斷" + isPermittedAll);
// 使用check方法進(jìn)行授權(quán)萨咳,如果授權(quán)不通過會(huì)拋出異常
subject.checkPermission("items:create:1");
}
1.3自定義realm進(jìn)行授權(quán)
一般地懊缺,我們的權(quán)限都是從數(shù)據(jù)庫中查詢的,并不是根據(jù)我們的配置文件來進(jìn)行配對的培他。因此我們需要自定義reaml鹃两,讓reaml去對比的是數(shù)據(jù)庫查詢出來的權(quán)限
shiro-realm.ini配置文件:將自定義的reaml信息注入到安全管理器中
[main]
#自定義 realm
customRealm=cn.itcast.shiro.realm.CustomRealm
#將realm設(shè)置到securityManager,相當(dāng) 于spring中注入
securityManager.realms=$customRealm
我們上次已經(jīng)使用過了一個(gè)自定義reaml舀凛,當(dāng)時(shí)候僅僅重寫了doGetAuthenticationInfo()方法俊扳,這次我們重寫doGetAuthorizationInfo()方法
// 用于授權(quán)
@Override
protected AuthorizationInfo doGetAuthorizationInfo(
PrincipalCollection principals) {
//從 principals獲取主身份信息
//將getPrimaryPrincipal方法返回值轉(zhuǎn)為真實(shí)身份類型(在上邊的doGetAuthenticationInfo認(rèn)證通過填充到SimpleAuthenticationInfo中身份類型),
String userCode = (String) principals.getPrimaryPrincipal();
//根據(jù)身份信息獲取權(quán)限信息
//連接數(shù)據(jù)庫...
//模擬從數(shù)據(jù)庫獲取到數(shù)據(jù)
List<String> permissions = new ArrayList<String>();
permissions.add("user:create");//用戶的創(chuàng)建
permissions.add("items:add");//商品添加權(quán)限
//....
//查到權(quán)限數(shù)據(jù)猛遍,返回授權(quán)信息(要包括 上邊的permissions)
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
//將上邊查詢到授權(quán)信息填充到simpleAuthorizationInfo對象中
simpleAuthorizationInfo.addStringPermissions(permissions);
return simpleAuthorizationInfo;
}
測試程序:
// 自定義realm進(jìn)行資源授權(quán)測試
@Test
public void testAuthorizationCustomRealm() {
// 創(chuàng)建SecurityManager工廠
Factory<SecurityManager> factory = new IniSecurityManagerFactory(
"classpath:shiro-realm.ini");
// 創(chuàng)建SecurityManager
SecurityManager securityManager = factory.getInstance();
// 將SecurityManager設(shè)置到系統(tǒng)運(yùn)行環(huán)境拣度,和spring后將SecurityManager配置spring容器中,一般單例管理
SecurityUtils.setSecurityManager(securityManager);
// 創(chuàng)建subject
Subject subject = SecurityUtils.getSubject();
// 創(chuàng)建token令牌
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
"111111");
// 執(zhí)行認(rèn)證
try {
subject.login(token);
} catch (AuthenticationException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
System.out.println("認(rèn)證狀態(tài):" + subject.isAuthenticated());
// 認(rèn)證通過后執(zhí)行授權(quán)
// 基于資源的授權(quán)螃壤,調(diào)用isPermitted方法會(huì)調(diào)用CustomRealm從數(shù)據(jù)庫查詢正確權(quán)限數(shù)據(jù)
// isPermitted傳入權(quán)限標(biāo)識(shí)符,判斷user:create:1是否在CustomRealm查詢到權(quán)限數(shù)據(jù)之內(nèi)
boolean isPermitted = subject.isPermitted("user:create:1");
System.out.println("單個(gè)權(quán)限判斷" + isPermitted);
boolean isPermittedAll = subject.isPermittedAll("user:create:1",
"user:create");
System.out.println("多個(gè)權(quán)限判斷" + isPermittedAll);
// 使用check方法進(jìn)行授權(quán)筋帖,如果授權(quán)不通過會(huì)拋出異常
subject.checkPermission("items:add:1");
}
這里寫圖片描述
二奸晴、Spring與Shiro整合
2.1導(dǎo)入jar包
- shiro-web的jar、
- shiro-spring的jar
- shiro-code的jar
這里寫圖片描述
2.2快速入門
shiro也通過filter進(jìn)行攔截日麸。filter攔截后將操作權(quán)交給spring中配置的filterChain(過慮鏈兒)
在web.xml中配置filter
<!-- shiro的filter -->
<!-- shiro過慮器寄啼,DelegatingFilterProxy通過代理模式將spring容器中的bean和filter關(guān)聯(lián)起來 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<!-- 設(shè)置true由servlet容器控制filter的生命周期 -->
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
<!-- 設(shè)置spring容器filter的bean id逮光,如果不設(shè)置則找與filter-name一致的bean-->
<init-param>
<param-name>targetBeanName</param-name>
<param-value>shiroFilter</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
在applicationContext-shiro.xml 中配置web.xml中fitler對應(yīng)spring容器中的bean。
<!-- web.xml中shiro的filter對應(yīng)的bean -->
<!-- Shiro 的Web過濾器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" />
<!-- loginUrl認(rèn)證提交地址墩划,如果沒有認(rèn)證將會(huì)請求此地址進(jìn)行認(rèn)證涕刚,請求此地址將由formAuthenticationFilter進(jìn)行表單認(rèn)證 -->
<property name="loginUrl" value="/login.action" />
<!-- 認(rèn)證成功統(tǒng)一跳轉(zhuǎn)到first.action,建議不配置乙帮,shiro認(rèn)證成功自動(dòng)到上一個(gè)請求路徑 -->
<!-- <property name="successUrl" value="/first.action"/> -->
<!-- 通過unauthorizedUrl指定沒有權(quán)限操作時(shí)跳轉(zhuǎn)頁面-->
<property name="unauthorizedUrl" value="/refuse.jsp" />
<!-- 自定義filter配置 -->
<property name="filters">
<map>
<!-- 將自定義 的FormAuthenticationFilter注入shiroFilter中-->
<entry key="authc" value-ref="formAuthenticationFilter" />
</map>
</property>
<!-- 過慮器鏈定義杜漠,從上向下順序執(zhí)行,一般將/**放在最下邊 -->
<property name="filterChainDefinitions">
<value>
<!--所有url都可以匿名訪問-->
/** = anon
</value>
</property>
</bean>
配置安全管理器
<!-- securityManager安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="customRealm" />
</bean>
配置reaml
<!-- realm -->
<bean id="customRealm" class="cn.itcast.ssm.shiro.CustomRealm">
</bean>
步驟:
- 在web.xml文件中配置shiro的過濾器
- 在對應(yīng)的Spring配置文件中配置與之對應(yīng)的filterChain(過慮鏈兒)
- 配置安全管理器察净,注入自定義的reaml
- 配置自定義的reaml
2.3靜態(tài)資源不攔截
我們在spring配置過濾器鏈的時(shí)候驾茴,我們發(fā)現(xiàn)這么一行代碼:
<!--所有url都可以匿名訪問 -->
/** = anon
anon其實(shí)就是shiro內(nèi)置的一個(gè)過濾器,上邊的代碼就代表著所有的匿名用戶都可以訪問
當(dāng)然了氢卡,后邊我們還需要配置其他的信息锈至,為了讓頁面能夠正常顯示,我們的靜態(tài)資源一般是不需要被攔截的译秦。
于是我們可以這樣配置:
<!-- 對靜態(tài)資源設(shè)置匿名訪問 -->
/images/** = anon
/js/** = anon
/styles/** = anon
三峡捡、初識(shí)shiro過濾器
上面我們了解到了anno過濾器的,shiro還有其他的過濾器的..我們來看看
這里寫圖片描述
常用的過濾器有下面幾種:
anon:例子/admins/**=anon 沒有參數(shù)筑悴,表示可以匿名使用们拙。
authc:例如/admins/user/**=authc表示需要認(rèn)證(登錄)才能使用,F(xiàn)ormAuthenticationFilter是表單認(rèn)證雷猪,沒有參數(shù)
perms:例子/admins/user/**=perms[user:add:*],參數(shù)可以寫多個(gè)睛竣,多個(gè)時(shí)必須加上引號,并且參數(shù)之間用逗號分割求摇,例如/admins/user/**=perms["user:add:*,user:modify:*"]射沟,當(dāng)有多個(gè)參數(shù)時(shí)必須每個(gè)參數(shù)都通過才通過,想當(dāng)于isPermitedAll()方法与境。
user:例如/admins/user/**=user沒有參數(shù)验夯,表示必須存在用戶, 身份認(rèn)證通過或通過記住我認(rèn)證通過的可以訪問,當(dāng)?shù)侨氩僮鲿r(shí)不做檢查
3.1登陸與退出
使用FormAuthenticationFilter過慮器實(shí)現(xiàn) 摔刁,原理如下:
- 當(dāng)用戶沒有認(rèn)證時(shí)挥转,請求loginurl進(jìn)行認(rèn)證【上邊我們已經(jīng)配置了】,用戶身份和用戶密碼提交數(shù)據(jù)到loginurl
- FormAuthenticationFilter攔截住取出request中的username和password(兩個(gè)參數(shù)名稱是可以配置的)
- FormAuthenticationFilter 調(diào)用realm傳入一個(gè)token(username和password)
- realm認(rèn)證時(shí)根據(jù)username查詢用戶信息(在Activeuser中存儲(chǔ)共屈,包括 userid绑谣、usercode、username拗引、menus)借宵。
- 如果查詢不到,realm返回null矾削,F(xiàn)ormAuthenticationFilter向request域中填充一個(gè)參數(shù)(記錄了異常信息)
- 查詢出用戶的信息之后壤玫,F(xiàn)ormAuthenticationFilter會(huì)自動(dòng)將reaml返回的信息和token中的用戶名和密碼對比豁护。如果不對,那就返回異常欲间。
3.1.1登陸頁面
由于FormAuthenticationFilter的用戶身份和密碼的input的默認(rèn)值(username和password)楚里,修改頁面的賬號和密碼的input的名稱為username和password
<TR>
<TD>用戶名:</TD>
<TD colSpan="2"><input type="text" id="usercode"
name="username" style="WIDTH: 130px" /></TD>
</TR>
<TR>
<TD>密 碼:</TD>
<TD><input type="password" id="pwd" name="password" style="WIDTH: 130px" />
</TD>
</TR>
3.1.2登陸代碼實(shí)現(xiàn)
上面我們已經(jīng)說了,當(dāng)用戶沒有認(rèn)證的時(shí)候猎贴,請求的loginurl進(jìn)行認(rèn)證班缎,用戶身份的用戶密碼提交數(shù)據(jù)到loginrul中。
當(dāng)我們提交到loginurl的時(shí)候嘱能,表單過濾器會(huì)自動(dòng)解析username和password去調(diào)用realm來進(jìn)行認(rèn)證吝梅。最終在request域?qū)ο笾写鎯?chǔ)shiroLoginFailure認(rèn)證信息,如果返回的是異常的信息惹骂,那么我們在login中拋出異常即可
//登陸提交地址苏携,和applicationContext-shiro.xml中配置的loginurl一致
@RequestMapping("login")
public String login(HttpServletRequest request)throws Exception{
//如果登陸失敗從request中獲取認(rèn)證異常信息,shiroLoginFailure就是shiro異常類的全限定名
String exceptionClassName = (String) request.getAttribute("shiroLoginFailure");
//根據(jù)shiro返回的異常類路徑判斷对粪,拋出指定異常信息
if(exceptionClassName!=null){
if (UnknownAccountException.class.getName().equals(exceptionClassName)) {
//最終會(huì)拋給異常處理器
throw new CustomException("賬號不存在");
} else if (IncorrectCredentialsException.class.getName().equals(
exceptionClassName)) {
throw new CustomException("用戶名/密碼錯(cuò)誤");
} else if("randomCodeError".equals(exceptionClassName)){
throw new CustomException("驗(yàn)證碼錯(cuò)誤 ");
}else {
throw new Exception();//最終在異常處理器生成未知錯(cuò)誤
}
}
//此方法不處理登陸成功(認(rèn)證成功)右冻,shiro認(rèn)證成功會(huì)自動(dòng)跳轉(zhuǎn)到上一個(gè)請求路徑
//登陸失敗還到login頁面
return "login";
}
配置認(rèn)證過濾器
<value>
<!-- 對靜態(tài)資源設(shè)置匿名訪問 -->
/images/** = anon
/js/** = anon
/styles/** = anon
<!-- /** = authc 所有url都必須認(rèn)證通過才可以訪問-->
/** = authc
</value>
3.2退出
不用我們?nèi)?shí)現(xiàn)退出,只要去訪問一個(gè)退出的url(該 url是可以不存在)著拭,由LogoutFilter攔截住纱扭,清除session。
在applicationContext-shiro.xml配置LogoutFilter:
<!-- 請求 logout.action地址儡遮,shiro去清除session-->
/logout.action = logout
四乳蛾、認(rèn)證后信息在頁面顯示
1、認(rèn)證后用戶菜單在首頁顯示
2鄙币、認(rèn)證后用戶的信息在頁頭顯示
realm從數(shù)據(jù)庫查詢用戶信息肃叶,將用戶菜單、usercode十嘿、username等設(shè)置在SimpleAuthenticationInfo中因惭。
//realm的認(rèn)證方法,從數(shù)據(jù)庫查詢用戶信息
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) throws AuthenticationException {
// token是用戶輸入的用戶名和密碼
// 第一步從token中取出用戶名
String userCode = (String) token.getPrincipal();
// 第二步:根據(jù)用戶輸入的userCode從數(shù)據(jù)庫查詢
SysUser sysUser = null;
try {
sysUser = sysService.findSysUserByUserCode(userCode);
} catch (Exception e1) {
// TODO Auto-generated catch block
e1.printStackTrace();
}
// 如果查詢不到返回null
if(sysUser==null){//
return null;
}
// 從數(shù)據(jù)庫查詢到密碼
String password = sysUser.getPassword();
//鹽
String salt = sysUser.getSalt();
// 如果查詢到返回認(rèn)證信息AuthenticationInfo
//activeUser就是用戶身份信息
ActiveUser activeUser = new ActiveUser();
activeUser.setUserid(sysUser.getId());
activeUser.setUsercode(sysUser.getUsercode());
activeUser.setUsername(sysUser.getUsername());
//..
//根據(jù)用戶id取出菜單
List<SysPermission> menus = null;
try {
//通過service取出菜單
menus = sysService.findMenuListByUserId(sysUser.getId());
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
//將用戶菜單 設(shè)置到activeUser
activeUser.setMenus(menus);
//將activeUser設(shè)置simpleAuthenticationInfo
SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
activeUser, password,ByteSource.Util.bytes(salt), this.getName());
return simpleAuthenticationInfo;
}
配置憑配器绩衷,因?yàn)槲覀冇玫搅薽d5和散列
<!-- 憑證匹配器 -->
<bean id="credentialsMatcher"
class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<property name="hashAlgorithmName" value="md5" />
<property name="hashIterations" value="1" />
</bean>
<!-- realm -->
<bean id="customRealm" class="cn.itcast.ssm.shiro.CustomRealm">
<!-- 將憑證匹配器設(shè)置到realm中蹦魔,realm按照憑證匹配器的要求進(jìn)行散列 -->
<property name="credentialsMatcher" ref="credentialsMatcher"/>
</bean>
在跳轉(zhuǎn)到首頁的時(shí)候,取出用戶的認(rèn)證信息咳燕,轉(zhuǎn)發(fā)到JSP即可
//系統(tǒng)首頁
@RequestMapping("/first")
public String first(Model model)throws Exception{
//從shiro的session中取activeUser
Subject subject = SecurityUtils.getSubject();
//取身份信息
ActiveUser activeUser = (ActiveUser) subject.getPrincipal();
//通過model傳到頁面
model.addAttribute("activeUser", activeUser);
return "/first";
}
五勿决、總結(jié)
- Shiro用戶權(quán)限有三種方式
- 編程式
- 注解式
- 標(biāo)簽式
- Shiro的reaml默認(rèn)都是去找配置文件的信息來進(jìn)行授權(quán)的,我們一般都是要reaml去數(shù)據(jù)庫來查詢對應(yīng)的信息。因此漫贞,又需要自定義reaml
- 總體上,認(rèn)證和授權(quán)的流程差不多祥楣。
-
Spring與Shiro整合,Shiro實(shí)際上的操作都是通過過濾器來干的撩炊。Shiro為我們提供了很多的過濾器。
- 在web.xml中配置Shiro過濾器
- 在Shiro配置文件中使用web.xml配置過的過濾器。
- 配置安全管理器類么介,配置自定義的reaml,將reaml注入到安全管理器類上蜕衡。將安全管理器交由Shiro工廠來進(jìn)行管理壤短。
- 在過濾器鏈中設(shè)置靜態(tài)資源不攔截。
- 在Shiro使用過濾器來進(jìn)行用戶認(rèn)證慨仿,流程是這樣子的:
- 配置用于認(rèn)證的請求路徑
- 當(dāng)訪問程序員該請求路徑的時(shí)候久脯,Shiro會(huì)使用FormAuthenticationFilter會(huì)調(diào)用reaml獲得用戶的信息
- reaml可以拿到token,通過用戶名從數(shù)據(jù)庫獲取得到用戶的信息镰吆,如果用戶不存在則返回null
- FormAuthenticationFilter會(huì)將reaml返回的數(shù)據(jù)進(jìn)行對比帘撰,如果不同則拋出異常
- 我們的請求路徑僅僅是用來檢測有沒有異常拋出,并不用來做校驗(yàn)的万皿。
- shiro還提供了退出用戶的攔截器摧找,我們配置一個(gè)url就行了。
- 當(dāng)需要獲取用戶的數(shù)據(jù)用于回顯的時(shí)候牢硅,我們可以在SecurityUtils.getSubject()來得到主體蹬耘,再通過主體拿到身份信息。
如果文章有錯(cuò)的地方歡迎指正减余,大家互相交流综苔。習(xí)慣在微信看技術(shù)文章,想要獲取更多的Java資源的同學(xué)位岔,可以關(guān)注微信公眾號:Java3y
