Shiro權(quán)限管理筆記

一.用戶身份認(rèn)證

身份認(rèn)證筏养，就是判斷一個(gè)用戶是否為合法用戶的處理過程沸移。最常用的簡單身份認(rèn)證方式是系統(tǒng)通過核對用戶輸入的用戶名和口令丈牢，看其是否與系統(tǒng)中存儲(chǔ)的該用戶的用戶名和口令一致车柠，來判斷用戶身份是否正確跌宛。對于采用指紋等系統(tǒng)相种，則出示指紋威恼；對于硬件Key等刷卡系統(tǒng)，則需要刷卡。

用戶名密碼身份認(rèn)證流程
Subject：主體
訪問系統(tǒng)的用戶箫措，主體可以是用戶缭黔、程序等，進(jìn)行認(rèn)證的都稱為主體蒂破；
Principal：身份信息
是主體（subject）進(jìn)行身份認(rèn)證的標(biāo)識(shí)馏谨，標(biāo)識(shí)必須具有唯一性，如用戶名附迷、手機(jī)號(hào)惧互、郵箱地址等，一個(gè)主體可以有多個(gè)身份喇伯，但是必須有一個(gè)主身份（Primary Principal）喊儡。
credential：憑證信息
是只有主體自己知道的安全信息，如密碼稻据、證書等艾猜。

二.授權(quán)

授權(quán)，即訪問控制捻悯，控制誰能訪問哪些資源匆赃。主體進(jìn)行身份認(rèn)證后需要分配權(quán)限方可訪問系統(tǒng)的資源，對于某些資源沒有權(quán)限是無法訪問的今缚。

image.png

三配置步驟：

jar包的配置
shiro-web的jar
shiro-spring的jar
shiro-code的jar
備注：
shiro-all可以加載所有的shiro包

pom.xml

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.4.0</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-web</artifactId>
    <version>1.4.0</version>
</dependency>

web.xml

.........
    <!-- Shiro配置 -->  
    <filter>  
        <filter-name>shiroFilter</filter-name>  
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
        <async-supported>true</async-supported>  
        <init-param>  
            <param-name>targetFilterLifecycle</param-name>  
            <param-value>true</param-value>  
        </init-param>  
    </filter>  
    <filter-mapping>  
        <filter-name>shiroFilter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
.........

shiro 過濾器

過濾器簡稱	對應(yīng)的java類	權(quán)限
anon	org.apache.shiro.web.filter.authc.AnonymousFilter	可以匿名訪問
authc	org.apache.shiro.web.filter.authc.FormAuthenticationFilter	基于表單的攔截器算柳；如“/**=authc”
authcBasic	org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter	Basic HTTP身份驗(yàn)證攔截器
perms	org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter	權(quán)限授權(quán)攔截器，驗(yàn)證用戶是否擁有所有權(quán)限姓言；
port	org.apache.shiro.web.filter.authz.PortFilter	端口攔截器瞬项，主要屬性：port（80）：可以通過的端口
rest	org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter	rest風(fēng)格攔截器，自動(dòng)根據(jù)請求方法構(gòu)建權(quán)限字符串
roles	org.apache.shiro.web.filter.authz.RolesAuthorizationFilter	角色授權(quán)攔截器何荚，驗(yàn)證用戶是否擁有所有角色
ssl	org.apache.shiro.web.filter.authz.SslFilter	SSL攔截器囱淋，只有請求協(xié)議是https才能通過
user	org.apache.shiro.web.filter.authc.UserFilter	用戶攔截器，用戶已經(jīng)身份驗(yàn)證/記住我登錄的
logout	org.apache.shiro.web.filter.authc.LogoutFilter	退出攔截器餐塘，主要屬性：redirectUrl：退出成功后重定向的地址（/）

anon:例子/admins/**=anon 沒有參數(shù)妥衣，表示可以匿名使用。
authc:例如/admins/user/**=authc表示需要認(rèn)證(登錄)才能使用唠倦，F(xiàn)ormAuthenticationFilter是表單認(rèn)證称鳞，沒有參數(shù)
perms：例子/admins/user/=perms[user:add:],參數(shù)可以寫多個(gè)，多個(gè)時(shí)必須加上引號(hào)稠鼻，并且參數(shù)之間用逗號(hào)分割冈止，例如/admins/user/=perms["user:add:,user:modify:*"]，當(dāng)有多個(gè)參數(shù)時(shí)必須每個(gè)參數(shù)都通過才通過候齿，想當(dāng)于isPermitedAll()方法熙暴。
user:例如/admins/user/**=user沒有參數(shù)表示必須存在用戶, 身份認(rèn)證通過或通過記住我認(rèn)證通過的可以訪問闺属，當(dāng)?shù)侨氩僮鲿r(shí)不做檢查

spring-shiro.xml

<?xml version="1.0" encoding="UTF-8"?>  
<beans xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    xmlns="http://www.springframework.org/schema/beans" xmlns:util="http://www.springframework.org/schema/util"  
    xmlns:context="http://www.springframework.org/schema/context" xmlns:p="http://www.springframework.org/schema/p"  
    xmlns:tx="http://www.springframework.org/schema/tx" xmlns:mvc="http://www.springframework.org/schema/mvc"  
    xmlns:aop="http://www.springframework.org/schema/aop"  
    xsi:schemaLocation="http://www.springframework.org/schema/beans  
    http://www.springframework.org/schema/beans/spring-beans-4.0.xsd http://www.springframework.org/schema/tx  
    http://www.springframework.org/schema/tx/spring-tx-4.0.xsd http://www.springframework.org/schema/context  
    http://www.springframework.org/schema/context/spring-context-4.0.xsd http://www.springframework.org/schema/mvc  
    http://www.springframework.org/schema/mvc/spring-mvc.xsd http://www.springframework.org/schema/aop  
    http://www.springframework.org/schema/aop/spring-aop-4.0.xsd http://www.springframework.org/schema/util   
    http://www.springframework.org/schema/util/spring-util.xsd">  
<!-- 配置shiro的過濾器工廠類，id- shiroFilter要和我們在web.xml中配置的過濾器一致 -->  
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
        <!-- 調(diào)用我們配置的權(quán)限管理器 -->  
        <property name="securityManager" ref="securityManager" />  
        <!-- 配置我們的登錄請求地址 -->  
        <property name="loginUrl" value="/login.jsp" />  
        <!-- 配置我們在登錄頁登錄成功后的跳轉(zhuǎn)地址周霉，如果你訪問的是非/login地址掂器，則跳到您訪問的地址 -->  
        <property name="successUrl" value="/index.jsp" />  
        <!-- 如果您請求的資源不再您的權(quán)限范圍，則跳轉(zhuǎn)到/403請求地址 -->  
        <property name="unauthorizedUrl" value="/unauthorized" /> 
        <!-- 權(quán)限配置 -->  
        <property name="filterChainDefinitions">  
            <value>  
                <!-- anon表示此地址不需要任何權(quán)限即可訪問 -->  
                /login=anon  
                /icon/**=anon  
                /js/**=anon  
                /logout=logout  
                <!--所有的請求(除去配置的靜態(tài)資源請求或請求地址為anon的請求)都要通過登錄驗(yàn)證,如果未登錄則跳到/login -->  
                /** = authc  
            </value>  
        </property>  
    </bean>  
<!-- ==============================================2俱箱、安全管理器============================================== -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="userRealm" />
    </bean>

    <!-- 會(huì)話管理器 -->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <!-- session的失效時(shí)長国瓮，單位毫秒 -->
        <property name="globalSessionTimeout" value="600000"/>
        <!-- 刪除失效的session -->
        <property name="deleteInvalidSessions" value="true"/>
    </bean>

    <!--==============================================3、realm===================================================-->
    <!-- Shiro配置,繼承自AuthorizingRealm的自定義Realm (解決初始化時(shí)的依賴循環(huán)問題狞谱，通過這里向realm中注入userservice實(shí)現(xiàn))-->
    <bean id="userRealm" class="com.thoughtWorks.shiro.CustomRealm" >
    </bean>

    <!--4 憑證匹配器 -->
    <bean id="credentialsMatcher"
          class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
        <property name="hashAlgorithmName" value="md5" />
        <property name="hashIterations" value="1" />
    </bean>
    <!--==============================================rememberMeManager管理器========================================-->
    <!-- rememberMeManager管理器 -->
    <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
        <property name="cookie" ref="rememberMeCookie" />
    </bean>
    <!-- 記住我cookie -->
    <bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <constructor-arg value="rememberMe" />
        <!-- 記住我cookie生效時(shí)間30天 -->
        <property name="maxAge" value="2592000" />
    </bean>
</beans>

spring-web.xml

.....
<!-- 開啟shiro注解支持 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager" />
    </bean>

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末乃摹，一起剝皮案震驚了整個(gè)濱河市，隨后出現(xiàn)的幾起案子跟衅，更是在濱河造成了極大的恐慌孵睬，老刑警劉巖，帶你破解...
沈念sama閱讀 219,270評論 6贊 508
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件伶跷，死亡現(xiàn)場離奇詭異掰读，居然都是意外死亡，警方通過查閱死者的電腦和手機(jī)叭莫，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 93,489評論 3贊 395
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門蹈集，熙熙樓的掌柜王于貴愁眉苦臉地迎上來，“玉大人食寡，你說我怎么就攤上這事雾狈±保” “怎么了抵皱？”我有些...
開封第一講書人閱讀 165,630評論 0贊 356
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵，是天一觀的道長辩蛋。經(jīng)常有香客問我呻畸，道長，這世上最難降的妖魔是什么悼院？我笑而不...
開封第一講書人閱讀 58,906評論 1贊 295
?港島之戀（遺憾婚禮）
正文為了忘掉前任伤为，我火速辦了婚禮，結(jié)果婚禮上据途，老公的妹妹穿的比我還像新娘绞愚。我一直安慰自己，他們只是感情好颖医，可當(dāng)我...
茶點(diǎn)故事閱讀 67,928評論 6贊 392
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布位衩。她就那樣靜靜地躺著，像睡著了一般熔萧。火紅的嫁衣襯著肌膚如雪糖驴。梳的紋絲不亂的頭發(fā)上僚祷，一...
開封第一講書人閱讀 51,718評論 1贊 305
城市分裂傳說
那天，我揣著相機(jī)與錄音贮缕，去河邊找鬼辙谜。笑死，一個(gè)胖子當(dāng)著我的面吹牛感昼，可吹牛的內(nèi)容都是我干的装哆。我是一名探鬼主播，決...
沈念sama閱讀 40,442評論 3贊 420
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼定嗓，長吁一口氣：“原來是場噩夢啊……” “哼烂琴！你這毒婦竟也來了？” 一聲冷哼從身側(cè)響起蜕乡，我...
開封第一講書人閱讀 39,345評論 0贊 276
萬榮殺人案實(shí)錄
序言：老撾萬榮一對情侶失蹤奸绷，失蹤者是張志新（化名）和其女友劉穎层玲，沒想到半個(gè)月后号醉，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 45,802評論 1贊 317
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡辛块，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 37,984評論 3贊 337
?白月光啟示錄
正文我和宋清朗相戀三年畔派，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片润绵。...
茶點(diǎn)故事閱讀 40,117評論 1贊 351
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡线椰，死狀恐怖，靈堂內(nèi)的尸體忽然破棺而出尘盼，到底是詐尸還是另有隱情憨愉，我是刑警寧澤，帶...
沈念sama閱讀 35,810評論 5贊 346
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布卿捎，位于F島的核電站配紫，受9級(jí)特大地震影響，放射性物質(zhì)發(fā)生泄漏午阵。R本人自食惡果不足惜躺孝，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,462評論 3贊 331
男人毒藥：我在死后第九天來索命
文/蒙蒙一、第九天我趴在偏房一處隱蔽的房頂上張望底桂。院中可真熱鬧植袍，春花似錦、人聲如沸籽懦。這莊子的主人今日做“春日...
開封第一講書人閱讀 32,011評論 0贊 22
一樁弒父案，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽猫十。三九已至览濒，卻和暖如春呆盖，著一層夾襖步出監(jiān)牢的瞬間，已是汗流浹背贷笛。一陣腳步聲響...
開封第一講書人閱讀 33,139評論 1贊 272
情欲美人皮
我被黑心中介騙來泰國打工应又，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留，地道東北人乏苦。一個(gè)月前我還...
沈念sama閱讀 48,377評論 3贊 373
代替公主和親
正文我出身青樓株扛，卻偏偏與公主長得像，于是被迫代替她去往敵國和親汇荐。傳聞我的和親對象是個(gè)殘疾皇子洞就，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 45,060評論 2贊 355

Shiro權(quán)限管理筆記

一.用戶身份認(rèn)證

二.授權(quán)

三配置步驟：

推薦閱讀更多精彩內(nèi)容