spring整合shiro的方法
这篇文章主要介绍“spring整合shiro的方法”,在日常操作中,相信很多人在spring整合shiro的方法问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”spring整合shiro的方法”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!
成都一家集口碑和实力的网站建设服务商,拥有专业的企业建站团队和靠谱的建站技术,十载企业及个人网站建设经验 ,为成都数千家客户提供网页设计制作,网站开发,企业网站制作建设等服务,包括成都营销型网站建设,成都品牌网站建设,同时也为不同行业的客户提供成都网站建设、网站建设的服务,包括成都电商型网站制作建设,装修行业网站制作建设,传统机械行业网站建设,传统农业行业网站制作建设。在成都做网站,选网站制作建设服务商就选创新互联建站。
* principal : 主角 * credentials : 证书
ps : 整合过程中有大量的配置,我直接贴代码说明
一:配置
(一)在发动机(web.xml)
中配置过滤器
shiro是权限控制是通过filter来实现的,所以我们配置一个过滤器
shiroFilter org.springframework.web.filter.DelegatingFilterProxy shiroFilter /*
因为是和spring整合,所以我们需要一个类
见名知意,这是一个可以代理filter的代理类(怎么有种念绕口令的感觉?)
它代理一个实现了Filter接口的,由spring管理的bean,在
init-param
中声明目标类的名称,描述目标类在spiring上下文中的名字通常我们直接指定filter-name来告诉spring,就可以直接指定到 spring context 中的bean了
(二)applicationContext.xml
1.配置shiroFilter
注意要和web.xml中发filter-name一致
2.配置过滤器链(url的权限控制的规则)
权限控制的规则
过滤器简称 | 功能 | 对应的java类 |
---|---|---|
anon | 未认证可以访问 | org.apache.shiro.web.filter.authc.AnonymousFilter |
authc | 认证后可以访问 | org.apache.shiro.web.filter.authc.FormAuthenticationFilter |
perms | 需要特定权限才能访问 | org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter |
roles | 需要特定角色才能访问 | org.apache.shiro.web.filter.authz.RolesAuthorizationFilter |
user | 需要特定用户才能访问 | org.apache.shiro.web.filter.authc.UserFilter |
3.shiroFilter中还需要一个securityManager
4.信息后处理器
5.代码
/login.html* = anon /user_login.action* = anon /validatecode.jsp = anon /css/** = anon /js/** = anon /images/** = anon /** = authc
二:粗粒度的认证和授权
Subject subject = SecurityUtils.getSubject(); AuthenticationToken token = new UsernamePasswordToken(model.getUsername(), model.getPassword()); subject.login(token);
(一)认证
1.执行过程(这个过程有点复杂,需要点耐心)
当我们执行
subject.login(token)
,Subject
是一个接口,真实调用的是它的实现类DelegatingSubject
的login(token)
方法,这个方法内部会执行Subject subject = securityManager.login(this, token);
可以看到token已经传递给securityManager了安全管理器
SecurityManager
也是一个接口,真实调用的是它的实现类DefaultSecurityManager
的login(subject,token)
方法,这个方法的内部又调用其父类AuthenticatingSecurityManager
的authenticate(token)
方法,这个方法内部又会调用authenticator.authenticate(token)
认证器
Authenticator
也是接口,调用实现类AbstractAuthenticator
的authenticate(token)
,这是一个抽象方法,调用他的子类ModularRealmAuthenticator
的doAuthenticate(token)
方法,内部调用doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
,内部调用realm.getAuthenticationInfo(token)
;realm是接口,调用其实现类
AuthenticatingRealm
的getAuthenticationInfo(token)
,在这个方法中会调用一个抽象方法doGetAuthenticationInfo(token)
,这时候就可以调用我们自定义的实现类myRealm
中的getAuthenticationInfo(token)
方法了我们发现经过一系列的传递最后我们接收到的
token
就是我们自己创建的UsernamePasswordToken
,大胆的强转不要怕,在这个token
中,我们可以重新拿到我们的用户名和密码,通过用户名去数据库中查询当前用户是否存在,如果不存在则返回null
,如果存在,则将用户,用户的密码和自定义realm的名字一同返回后续代码虽然也很复杂,但我实在是写不动了,其实也可以猜的到,因为realm是shiro和数据库之间的桥梁,它并不做判定,所以当我们把用户密码返回后,
securityManager
会将我们返回的密码和用户输入的密码进行比对,从而做出判定
2.过程简述
将用户名和密码封装成
token
,通过subject
的login(token)
方法传给securityManager
securityManager
调用realm
通过用户名查询用户是否存在,如果存在则将用户密码返回,如果不存在则返回null
securityManager
将realm
返回的用户密码和用户实际的密码进行比对
3.MyRealm代码
@Component public class CustomRealm extends AuthorizingRealm{ @Autowired private UserService userService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) { return null; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token; User user = userService.findByUserName(usernamePasswordToken.getUsername()); if(user==null) { return null; }else { return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); } } }
(二):授权
和认证有一些区别,都需要返回信息
认证返回的是认证信息
authenticationInfo
授权当然是返回授权信息
authorizationInfo
实现也很简单,就是分别查出用户的角色也权限,分别添加到信息对象里就好
直接上代码
@Component public class CustomRealm extends AuthorizingRealm{ @Autowired private UserService userService; @Autowired private RoleService roleService; @Autowired private PermissionService permissionService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) { SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); Subject subject = SecurityUtils.getSubject(); User user = (User) subject.getPrincipal(); Listroles = roleService.findByUserId(user.getId()); for (Role role : roles) { authorizationInfo.addRole(role.getKeyword()); } List permissions = permissionService.findByUserId(user.getId()); for (Permission permission : permissions) { authorizationInfo.addStringPermission(permission.getKeyword()); } return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token; User user = userService.findByUserName(usernamePasswordToken.getUsername()); if(user==null) { return null; }else { return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); } } }
三:细粒度
细粒度(方法)权限控制原因: 自定义注解(加在方法上,在注解中描述需要权限信 息),对目标业务对象创建代理对象,在代理方法中使用反射技术读取注解信息,获取需要 权限,查询当前登录用户具有权限是否满足
applicationContext.xml
注意:这里的配置是spring aop的传统配置,需要注意一下实现原理,通常不做特殊处理的时候,使用的是JDK动态代理,这是一个基于接口的代理方式,这里我们需要使用cglib代理(不同代理方式对注解的读取情况,详见代理,注解,接口和实现类的小测验)
同时需要修改事务管理的代理模式为cglib
当然了,如果直接将注解加在接口上,是用jdk动态代理则完全没有问题
注解 | 解释 |
---|---|
@RequiresAuthentication | 验证用户是否登录 |
@RequiresUser | 验证用户是否被记忆,user有两种含义,一种是成功登录的(subject.isAuthenticated()==true ),另一种是被记忆(subject.isRemembered()==true ) |
@RequiresGuest | 验证是否是一个guest的请求,与@RequiresUser 完全相反,换言之RequiresUser==!RequiresGuest ,此时,subject.getPrincipal()==null |
@RequiresRoles | 如@RequiresRoles("aRoleName") ,表示如果subject中有aRoleName角色才可以执行次方法,如果没有,则会抛出一个异常AuthorizationException |
@RequiresPermissions | 如@RequiresPermissions("file:read","write:a.txt") ,要求subject中必须有file:read 和write:a.txt 才可以执行此方法,否则抛出异常AuthorizationException |
到此,关于“spring整合shiro的方法”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注创新互联网站,小编会继续努力为大家带来更多实用的文章!
当前题目:spring整合shiro的方法
新闻来源:http://scjbc.cn/article/ighcep.html