- 引入相关jar包
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.3.2</version>
</dependency>
- 在web.xml中配置spring框架提供的用于整合shiro框架的过滤器
<!-- 配置spring框架提供的用于整合shiro框架的过滤器,注意放其他过滤器前面 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
- 在spring配置文件中配置bean,id为shiroFilter
<!-- 配置shiro框架的过滤器工厂对象 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- 注入安全管理器对象 -->
<property name="securityManager" ref="securityManager"/>
<!-- 注入相关页面访问URL -->
<!-- 注入跳转到登陆的URL,还没登陆情况下 -->
<property name="loginUrl" value="/login.jsp"/>
<!-- 注入登陆成功后访问的URL,这个配置可以不配,因为本身登陆逻辑就会跳转到index -->
<property name="successUrl" value="/index.jsp"/>
<!-- 注入权限不足时访问的URL -->
<property name="unauthorizedUrl" value="/unauthorized.jsp"/>
<!--注入URL拦截规则 -->
<property name="filterChainDefinitions">
<value>
/css/** = anon //anon是匿名访问过滤器,相当于不过滤,不用登陆也可以访问,放行
/js/** = anon
/images/** = anon
/validatecode.jsp* = anon
/login.jsp = anon
/userAction_login.action = anon
/page_base_staff.action = perms["staff-list"] //perms是权限检查过滤器
/* = authc //这个是框架提供的过滤器的别名,检查当前用户是否认证过
</value>
</property>
</bean>
<!-- 注册安全管理器对象 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="myRealm"/>
</bean>
<!-- 注册realm -->
<bean id="myRealm" class="com.xxx.xxx.realm.MyRealm"></bean>
使用场景一:登陆认证
认证流程
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
//使用shiro框架提供的方式进行认证操作
Subject subject = SecurityUtils.getSubject();//获得当前用户对象,状态为“未认证”
AuthenticationToken token = new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));//创建用户名密码令牌对象,两个参数为账号和密码
try{
subject.login(token);//这个方法会去调SecurityManager,没有返回值,用try catch来判断登陆是否成功
}catch(Exception e){
e.printStackTrace();
return LOGIN;//返回登陆界面
}
//SecurityManager要去调用Realm,所以要写个Realm,请先看下面的MyRealm代码
User user = (User) subject.getPrincipal();//把MyRealm里简单认证信息对象取出来
ServletActionContext.getRequest().getSession().setAttribute("loginUser", user);//存到Session里去
return HOME;
创建个自定义Realm
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
public class MyRealm extends AuthorizingRealm{
@Autowired
private UserDao userDao;
//认证方法
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("自定义的realm中认证方法执行了。。。。");
UsernamePasswordToken passwordToken = (UsernamePasswordToken)token;
//获得页面输入的用户名
String username = passwordToken.getUsername();
//根据用户名查询数据库中的密码
User user = userDao.findUserByUsername(username);
if(user == null){
//页面输入的用户名不存在,认证失败
return null;
}
//简单认证信息对象
AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
//框架负责比对数据库中的密码和页面输入的密码是否一致
return info;
}
//授权方法
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//为用户授权
info.addStringPermission("staff-list");//"staff-list"对应前面配置的perms权限检查过滤器,在请求对应的url时会去获取权限,具体实现可以根据业务需求展开
return info;
}
}
使用场景二:权限控制
注解式权限控制(代理模式)
- 在spring配置文件中配置bean
!-- 开启shiro框架注解支持 -->
<bean id="defaultAdvisorAutoProxyCreator"
class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
<!-- 必须使用cglib方式为Action对象创建代理对象 -->
<property name="proxyTargetClass" value="true"/>
</bean>
<!-- 配置shiro框架提供的切面类,用于创建代理对象 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>
- 在要控制的方法里加上注解
@RequiresPermissions("domethod")//执行这个方法,需要当前用户具有domethod这个权限
public String method(){
return "index";
}
- 需要在表现层配置全局异常处理器
3.1.0 Struts2全局异常配置(struts.xml)
<!-- 全局结果集定义 -->
<global-results>
<result name="login">/login.jsp</result>
<result name="unauthorized">/unauthorized.jsp</result>
</global-results>
<global-exception-mappings>
<exception-mapping result="unauthorized"
exception="org.apache.shiro.authz.UnauthorizedException"></exception-mapping>
</global-exception-mappings>
3.2.0 SpringMVC全局异常配置(springmvc.xml)
<!-- 全局异常处理器 -->
<bean class="cn.exception.GlobalExceptionResolver"/>
需要自定义一个全局异常处理器,实现HandlerExceptionResolver接口
private static final Logger logger = LoggerFactory.getLogger(GlobalExceptionResolver.class);
@Override
public ModelAndView resolveException(HttpServletRequest request, HttpServletResponse response, Object handler,
Exception ex) {
//打印控制台
ex.printStackTrace();
//写日志
logger.debug("测试输出的日志。。。。。。。");
logger.info("系统发生异常了。。。。。。。");
logger.error("系统发生异常", ex);
//发邮件、发短信
//使用jmail工具包。发短信使用第三方的Webservice。
//显示错误页面
ModelAndView modelAndView = new ModelAndView();
modelAndView.setViewName("error/exception");
return modelAndView;
}
页面标签方式权限控制(标签模式)
- 在jsp页面中引入shiro的标签库
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
- 使用shiro的标签控制页面元素展示,在要控制权限的元素上
<shiro:hasPermission name="staff-delete">
{
id : 'button-delete',
text : '删除',
iconCls : 'icon-cancel',
handler : doDelete
},
</shiro:hasPermission>
注:如果没有权限,那么shiro:hasPermission包裹的元素无法展示
