您好,登錄后才能下訂單哦!
這篇文章主要介紹“spring整合shiro的方法”,在日常操作中,相信很多人在spring整合shiro的方法問題上存在疑惑,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”spring整合shiro的方法”的疑惑有所幫助!接下來,請跟著小編一起來學(xué)習(xí)吧!
* principal : 主角 * credentials : 證書
ps : 整合過程中有大量的配置,我直接貼代碼說明
(web.xml)
中配置過濾器shiro是權(quán)限控制是通過filter來實現(xiàn)的,所以我們配置一個過濾器
<filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
因為是和spring整合,所以我們需要一個類
見名知意,這是一個可以代理filter的代理類(怎么有種念繞口令的感覺?)
它代理一個實現(xiàn)了Filter接口的,由spring管理的bean,在init-param
中聲明目標(biāo)類的名稱,描述目標(biāo)類在spiring上下文中的名字
通常我們直接指定filter-name來告訴spring,就可以直接指定到 spring context 中的bean了
shiroFilter
注意要和web.xml中發(fā)filter-name一致
權(quán)限控制的規(guī)則
過濾器簡稱 | 功能 | 對應(yīng)的java類 |
---|---|---|
anon | 未認(rèn)證可以訪問 | org.apache.shiro.web.filter.authc.AnonymousFilter |
authc | 認(rèn)證后可以訪問 | org.apache.shiro.web.filter.authc.FormAuthenticationFilter |
perms | 需要特定權(quán)限才能訪問 | org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter |
roles | 需要特定角色才能訪問 | org.apache.shiro.web.filter.authz.RolesAuthorizationFilter |
user | 需要特定用戶才能訪問 | org.apache.shiro.web.filter.authc.UserFilter |
<!-- 配置subject的后臺推手securityManager --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="myRealm"></property> </bean> <!-- 配置攔截器 --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- 安全管理器 --> <property name="securityManager" ref="securityManager"></property> <!-- 未認(rèn)證,跳轉(zhuǎn)到哪個界面 --> <property name="loginUrl" value="/login.html"></property> <!-- 認(rèn)證成功后跳轉(zhuǎn)到哪個界面 --> <property name="successUrl" value="/index.html"></property> <!-- 認(rèn)證成功后,未授權(quán),跳轉(zhuǎn)到哪個界面 --> <property name="unauthorizedUrl" value="/unauthorized.html"></property> <!-- url控制過濾器鏈 --> <property name="filterChainDefinitions"> <value> /login.html* = anon /user_login.action* = anon /validatecode.jsp = anon /css/** = anon /js/** = anon /images/** = anon /** = authc </value> </property> </bean>
Subject subject = SecurityUtils.getSubject(); AuthenticationToken token = new UsernamePasswordToken(model.getUsername(), model.getPassword()); subject.login(token);
當(dāng)我們執(zhí)行subject.login(token)
,Subject
是一個接口,真實調(diào)用的是它的實現(xiàn)類DelegatingSubject
的login(token)
方法,這個方法內(nèi)部會執(zhí)行Subject subject = securityManager.login(this, token);
可以看到token已經(jīng)傳遞給securityManager了
安全管理器SecurityManager
也是一個接口,真實調(diào)用的是它的實現(xiàn)類DefaultSecurityManager
的login(subject,token)
方法,這個方法的內(nèi)部又調(diào)用其父類AuthenticatingSecurityManager
的authenticate(token)
方法,這個方法內(nèi)部又會調(diào)用authenticator.authenticate(token)
認(rèn)證器Authenticator
也是接口,調(diào)用實現(xiàn)類AbstractAuthenticator
的authenticate(token)
,這是一個抽象方法,調(diào)用他的子類ModularRealmAuthenticator
的doAuthenticate(token)
方法,內(nèi)部調(diào)用doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
,內(nèi)部調(diào)用realm.getAuthenticationInfo(token)
;
realm是接口,調(diào)用其實現(xiàn)類AuthenticatingRealm
的getAuthenticationInfo(token)
,在這個方法中會調(diào)用一個抽象方法doGetAuthenticationInfo(token)
,這時候就可以調(diào)用我們自定義的實現(xiàn)類myRealm
中的getAuthenticationInfo(token)
方法了
我們發(fā)現(xiàn)經(jīng)過一系列的傳遞最后我們接收到的token
就是我們自己創(chuàng)建的UsernamePasswordToken
,大膽的強轉(zhuǎn)不要怕,在這個token
中,我們可以重新拿到我們的用戶名和密碼,通過用戶名去數(shù)據(jù)庫中查詢當(dāng)前用戶是否存在,如果不存在則返回null
,如果存在,則將用戶,用戶的密碼和自定義realm的名字一同返回
后續(xù)代碼雖然也很復(fù)雜,但我實在是寫不動了,其實也可以猜的到,因為realm是shiro和數(shù)據(jù)庫之間的橋梁,它并不做判定,所以當(dāng)我們把用戶密碼返回后,securityManager
會將我們返回的密碼和用戶輸入的密碼進行比對,從而做出判定
將用戶名和密碼封裝成token
,通過subject
的login(token)
方法傳給securityManager
securityManager
調(diào)用realm
通過用戶名查詢用戶是否存在,如果存在則將用戶密碼返回,如果不存在則返回null
securityManager
將realm
返回的用戶密碼和用戶實際的密碼進行比對
@Component public class CustomRealm extends AuthorizingRealm{ @Autowired private UserService userService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) { return null; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token; User user = userService.findByUserName(usernamePasswordToken.getUsername()); if(user==null) { return null; }else { return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); } } }
和認(rèn)證有一些區(qū)別,都需要返回信息
認(rèn)證返回的是認(rèn)證信息authenticationInfo
授權(quán)當(dāng)然是返回授權(quán)信息authorizationInfo
實現(xiàn)也很簡單,就是分別查出用戶的角色也權(quán)限,分別添加到信息對象里就好
直接上代碼
@Component public class CustomRealm extends AuthorizingRealm{ @Autowired private UserService userService; @Autowired private RoleService roleService; @Autowired private PermissionService permissionService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) { SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); Subject subject = SecurityUtils.getSubject(); User user = (User) subject.getPrincipal(); List<Role> roles = roleService.findByUserId(user.getId()); for (Role role : roles) { authorizationInfo.addRole(role.getKeyword()); } List<Permission> permissions = permissionService.findByUserId(user.getId()); for (Permission permission : permissions) { authorizationInfo.addStringPermission(permission.getKeyword()); } return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token; User user = userService.findByUserName(usernamePasswordToken.getUsername()); if(user==null) { return null; }else { return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); } } }
細粒度(方法)權(quán)限控制原因: 自定義注解(加在方法上,在注解中描述需要權(quán)限信 息),對目標(biāo)業(yè)務(wù)對象創(chuàng)建代理對象,在代理方法中使用反射技術(shù)讀取注解信息,獲取需要 權(quán)限,查詢當(dāng)前登錄用戶具有權(quán)限是否滿足
applicationContext.xml
<!-- 后處理器 --> <bean class="org.apache.shiro.spring.LifecycleBeanPostProcessor" id="lifecycleBeanPostProcessor"> <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"> <property name="proxyTargetClass" value="true"> </bean> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"></property> </bean>
注意:這里的配置是spring aop的傳統(tǒng)配置,需要注意一下實現(xiàn)原理,通常不做特殊處理的時候,使用的是JDK動態(tài)代理,這是一個基于接口的代理方式,這里我們需要使用cglib代理(不同代理方式對注解的讀取情況,詳見代理,注解,接口和實現(xiàn)類的小測驗)
同時需要修改事務(wù)管理的代理模式為cglib
當(dāng)然了,如果直接將注解加在接口上,是用jdk動態(tài)代理則完全沒有問題
注解 | 解釋 |
---|---|
@RequiresAuthentication | 驗證用戶是否登錄 |
@RequiresUser | 驗證用戶是否被記憶,user有兩種含義,一種是成功登錄的(subject.isAuthenticated()==true ),另一種是被記憶(subject.isRemembered()==true ) |
@RequiresGuest | 驗證是否是一個guest的請求,與@RequiresUser 完全相反,換言之RequiresUser==!RequiresGuest ,此時,subject.getPrincipal()==null |
@RequiresRoles | 如@RequiresRoles("aRoleName") ,表示如果subject中有aRoleName角色才可以執(zhí)行次方法,如果沒有,則會拋出一個異常AuthorizationException |
@RequiresPermissions | 如@RequiresPermissions("file:read","write:a.txt") ,要求subject中必須有file:read 和write:a.txt 才可以執(zhí)行此方法,否則拋出異常AuthorizationException |
到此,關(guān)于“spring整合shiro的方法”的學(xué)習(xí)就結(jié)束了,希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學(xué)習(xí),快去試試吧!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識,請繼續(xù)關(guān)注億速云網(wǎng)站,小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。