shiro框架的权限控制(Spring整合)

创建时间：2016-12-26 投稿人：浏览次数：3190

一.shrio简介

Apache Shiro 是一个强大而灵活的开源安全框架，它干净利落地处理身份认证，授权，企业会话管理和加密。
shiro主要能做的事:

1. 验证用户来核实他们的身份 2. 对用户执行访问控制，如：判断用户是否被分配了一个确定的安全角色判断用户是否被允许做某事 3. 在任何环境下使用 Session API，即使没有 Web 或 EJB 容器。 4. 在身份验证，访问控制期间或在会话的生命周期，对事件作出反应。 5. 聚集一个或多个用户安全数据的数据源，并作为一个单一的复合用户“视图”。 6. 启用单点登录（SSO）功能。 7. 为没有关联到登录的用户启用"Remember Me"服务

二.Shiro 的架构的3 个主要概念：Subject，SecurityManager 和 Realms

Subject:简单理解为当前登录的用户或者正在与应用程序交互的东西
SecurityManager:整个shiro框架的核心,用来管理协调繁重的操作,包括认证,授权,与数据库交互,session管理,缓存管理等等
Realms:：Realms 担当 Shiro 和应用程序的安全数据之间的“桥梁”或“连接器,开发人员通常需要编写自己的realm类来进行自己的认证与授权,通常需要与数据库交互.

三.Shiro与Spring的整合使用

1.在web.xml中配置shrioFilter拦截器

<filter>
<filter-name>ShiroFilter</filter-name> <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class> </filter>
<filter-mapping>
<filter-name>ShiroFilter</filter-name>
<url-pattern>*/</url-pattern>
</filter-mapping>

2.创建自己的MyRealm类

public class MyRealm extends AuthorizingRealm {
@Resource
private IUserDao iUserDaoImpl;
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) throws AuthenticationException {
// 用户登录的认证
UsernamePasswordToken atoken = (UsernamePasswordToken) token;
String username = atoken.getUsername();
User user = iUserDaoImpl.findByUsername(username);
if (user == null) {
return null;
} else {
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,
user.getPassword(), this.getClass().getName());
return info;
}
}
@Override
protected AuthorizationInfo doGetAuthorizationInfo(
PrincipalCollection principal) {
//用户授权
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
User user = (User) principal.getPrimaryPrincipal();
List<AuthFunction> list =null;
if(user.getUsername().equals("admin")){
//查出所有权限
list= iUserDaoImpl.findAllFunctions();
}else {
//根据用户id查出对应权限
list = iUserDaoImpl.findFunctionsById(user.getId());
}
// 授权
if(list!=null){
for (AuthFunction authFunction : list) {
info.addStringPermission(authFunction.getCode());
}
}
return info;
}
}

2.配置Spring


<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" />
<property name="loginUrl" value="/login.jsp" />
<property name="successUrl" value="/home.jsp" />
<property name="unauthorizedUrl" value="/unauthorized.jsp" />
<property name="filterChainDefinitions">
<value>
/css/**=anon
/images/**=anon
/js/**=anon
/validatecode.jsp=anon
/login.jsp=anon
/userAction_login.action=anon
/page_base_staff.action=perms["staff"]
/**=anon
</value>
</property>
</bean>

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="myRealm"></property>
<property name="cacheManager" ref="cacheManager"></property>
</bean>
<bean id="myRealm" class="com.wuhan.bos.shiro.MyRealm" />
<bean id ="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile" value="classpath:ehcache.xml"></property>
</bean>

<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
<property name="proxyTargetClass" value="true"></property>
</bean>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
</bean>

4.提供ehcache缓存策略的配置文件ehcache.xml

<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="../config/ehcache.xsd">
<diskStore path="java.io.tmpdir"/>
<defaultCache
maxElementsInMemory="10000"
eternal="false"
timeToIdleSeconds="120"
timeToLiveSeconds="120"
overflowToDisk="true"
maxElementsOnDisk="10000000"
diskPersistent="false"
diskExpiryThreadIntervalSeconds="120"
memoryStoreEvictionPolicy="LRU"
/>
</ehcache>

四.shiro的注解开发

shiro框架整合到Spring后,可以使用注解开发,即通过在资源上提供注解来控制用户的访问权限,提高权限控制的细度,可以和配置文件结合使用常见的主要有以下几种: @RequiresAuthentication:验证用户是否登录，等同于方法subject.isAuthenticated() 结果为true时,即登录后可访问 @ RequiresUser:验证用户是否被记忆，user有两种含义：一种是成功登录的（subject.isAuthenticated() 结果为 true）；另外一种是被记忆的（ subject.isRemembered()结果为true）。 @ RequiresGuest:验证是否是一个guest(游客)的请求，与@ RequiresUser完全相反。换言之，RequiresUser == !RequiresGuest 。此时subject.getPrincipal() 结果为null. @ RequiresRoles 例如：@RequiresRoles("aRoleName"); void someMethod(); 如果subject中有aRoleName角色才可以访问方法someMethod。如果没有这个权限则会抛出异常AuthorizationException。 @RequiresPermissions 例如： @RequiresPermissions( {"file:read", "write:aFile.txt"} ) void someMethod(); 要求subject中必须同时含有file:read和write:aFile.txt的权限才能执行方法someMethod()。否则抛出异常AuthorizationException。

五.shiro框架提供的标签

标签名称标签条件（均是显示标签内容） <shiro:authenticated> 登录之后 <shiro:notAuthenticated> 不在登录状态时 <shiro:guest> 用户在没有RememberMe时 <shiro:user> 用户在RememberMe时 <shiro:hasAnyRoles name="abc,123" > 在有abc或者123角色时 <shiro:hasRole name="abc"> 拥有角色abc <shiro:lacksRole name="abc"> 没有角色abc <shiro:hasPermission name="abc"> 拥有权限资源abc <shiro:lacksPermission name="abc"> 没有abc权限资源 <shiro:principal> 默认显示用户名称

声明：该文观点仅代表作者本人，牛骨文系教育信息发布平台，牛骨文仅提供信息存储空间服务。

上一篇：微信小程序开发手记之二：属性display
下一篇： CVE-2017-11882 利用

热门文章: CTF writeup 2_南邮网络攻防训...; SSM框架——详细整合教程（...; Linux Shell脚本编程－－curl命...; HttpClient使用详解; Java面试题全集（上）; JAVA设计模式之单例模式; java.lang.OutOfMemoryError: PermGen ...; TCP协议中的三次握手和四次...; form表单的两种提交方式，su...; String,StringBuffer与StringBuilder...

最新文章: Java之品优购课程讲义_day20（7）; 剑指 Offer - 8：跳台阶; Netty权威指南_札记02_NIO编程; mysql时间属性之时间戳和datetime之...; 虚拟现实或许可以拯救古埃及的“...; spring cloud服务注册中心eureka---集群...; Java SE 第六章; HTTP请求+数据库; HIDL学习笔记之HIDL C++（第二天）; ubuntu系统下指定tomcat运行时为JDK1.8...