Shiro学习总结(2)——Apache Shiro快速入门教程
第一部分 什么是Apache Shiro
1、什么是 apache shiro :
Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理
如同 spring security 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了和比较简洁易懂的认证和授权方式。
2、Apache Shiro 的三大核心组件:
1、Subject :当前用户的操作
2、SecurityManager:用于管理所有的Subject
3、Realms:用于进行权限信息的验证
Subject:即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro中则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。
SecurityManager:即所有Subject的管理者,这是Shiro框架的核心组件,可以把他看做是一个Shiro框架的全局管理组件,用于调度各种Shiro框架的服务。
Realms:Realms则是用户的信息认证器和用户的权限人证器,我们需要自己来实现Realms来自定义的管理我们自己系统内部的权限规则。
3、Authentication 和 Authorization
在shiro的用户权限认证过程中其通过两个方法来实现:
1、Authentication:是验证用户身份的过程。
2、Authorization:是授权访问控制,用于对用户进行的操作进行人证授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。
4、其他组件:
除了以上几个组件外,Shiro还有几个其他组件:
1、SessionManager :Shiro为任何应用提供了一个会话编程范式。
2、CacheManager :对Shiro的其他组件提供缓存支持。
5、Shiro 完整架构图:
图片转自:http://kdboy.iteye.com/blog/1154644
第二部分 Apache Shiro 整合Spring的Web程序构建
1、准备工具:
持久层框架:Hibernate4 这边我使用了hibernate来对数据持久层进行操作
控制显示层框架:SpringMVC 这边我使用了SpringMVC实际开发中也可以是其他框架
数据库:MySQL
准备好所需要的jar放到项目中。
2、创建数据库:
首先需要四张表,分别为 user(用户)、role(角色)、permission(权限)、userRole(用户角色关系表)
这边分别创建四张表的实体类,通过Hiberante的hibernate.hbm2ddl.auto属性的update 来自动生成数据表结构。
- /***
- * 用户表
- *
- * @author Swinglife
- *
- */
- @Table(name = "t_user")
- @Entity
- public class User {
- @Id
- @GeneratedValue(strategy = GenerationType.AUTO)
- Integer id;
- /** 用户名 **/
- String username;
- /** 密码 **/
- String password;
- /** 是否删除 **/
- Integer isDelete;
- /** 创建时间 **/
- Date createDate;
- //多对多用户权限表
- @OneToMany(mappedBy = "user",cascade=CascadeType.ALL)
- List<UserRole> userRoles;
- 省略get set….
- }
- /****
- * 角色表
- *
- * @author Swinglife
- *
- */
- @Entity
- @Table(name = "t_role")
- public class Role {
- @Id
- @GeneratedValue(strategy = GenerationType.AUTO)
- Integer id;
- /**角色名**/
- String name;
- /**角色说明**/
- String description;
- }
- /****
- * 权限表
- *
- * @author Swinglife
- *
- */
- @Entity
- @Table(name = "t_permission")
- public class Permission {
- @Id
- @GeneratedValue(strategy = GenerationType.AUTO)
- Integer id;
- /**token**/
- String token;
- /**资源url**/
- String url;
- /**权限说明**/
- String description;
- /**所属角色编号**/
- Integer roleId;
- }
- /***
- * 用户角色表
- *
- * @author Swinglife
- *
- */
- @Entity
- @Table(name = "t_user_role")
- public class UserRole {
- @Id
- @GeneratedValue(strategy = GenerationType.AUTO)
- Integer id;
- @ManyToOne(cascade = CascadeType.ALL)
- @JoinColumn(name = "userId", unique = true)
- User user;
- @ManyToOne
- @JoinColumn(name = "roleId", unique = true)
- Role role;
- }
3、编写操作用户业务的Service:
- @Service
- public class AccountService {
- /****
- * 通过用户名获取用户对象
- *
- * @param username
- * @return
- */
- public User getUserByUserName(String username) {
- User user = (User) dao.findObjectByHQL("FROM User WHERE username = ?", new Object[] { username });
- return user;
- }
- /***
- * 通过用户名获取权限资源
- *
- * @param username
- * @return
- */
- public List<String> getPermissionsByUserName(String username) {
- System.out.println("调用");
- User user = getUserByUserName(username);
- if (user == null) {
- return null;
- }
- List<String> list = new ArrayList<String>();
- // System.out.println(user.getUserRoles().get(0).get);
- for (UserRole userRole : user.getUserRoles()) {
- Role role = userRole.getRole();
- List<Permission> permissions = dao.findAllByHQL("FROM Permission WHERE roleId = ?", new Object[] { role.getId() });
- for (Permission p : permissions) {
- list.add(p.getUrl());
- }
- }
- return list;
- }
- // 公共的数据库访问接口
- // 这里省略BaseDao dao的编写
- @Autowired
- private BaseDao dao;
- }
4、编写shiro组件自定义Realm:
- package org.swinglife.shiro;
- import java.util.List;
- import org.apache.shiro.authc.AuthenticationException;
- import org.apache.shiro.authc.AuthenticationInfo;
- import org.apache.shiro.authc.AuthenticationToken;
- import org.apache.shiro.authc.SimpleAuthenticationInfo;
- import org.apache.shiro.authc.UsernamePasswordToken;
- import org.apache.shiro.authz.AuthorizationInfo;
- import org.apache.shiro.authz.SimpleAuthorizationInfo;
- import org.apache.shiro.realm.AuthorizingRealm;
- import org.apache.shiro.subject.PrincipalCollection;
- import org.swinglife.model.User;
- import org.swinglife.service.AccountService;
- /****
- * 自定义Realm
- *
- * @author Swinglife
- *
- */
- public class MyShiroRealm extends AuthorizingRealm {
- /***
- * 获取授权信息
- */
- @Override
- protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc) {
- //根据自己系统规则的需要编写获取授权信息,这里为了快速入门只获取了用户对应角色的资源url信息
- String username = (String) pc.fromRealm(getName()).iterator().next();
- if (username != null) {
- List<String> pers = accountService.getPermissionsByUserName(username);
- if (pers != null && !pers.isEmpty()) {
- SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
- for (String each : pers) {
- //将权限资源添加到用户信息中
- info.addStringPermission(each);
- }
- return info;
- }
- }
- return null;
- }
- /***
- * 获取认证信息
- */
- @Override
- protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken at) throws AuthenticationException {
- UsernamePasswordToken token = (UsernamePasswordToken) at;
- // 通过表单接收的用户名
- String username = token.getUsername();
- if (username != null && !"".equals(username)) {
- User user = accountService.getUserByUserName(username);
- if (user != null) {
- return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), getName());
- }
- }
- return null;
- }
- /**用户的业务类**/
- private AccountService accountService;
- public AccountService getAccountService() {
- return accountService;
- }
- public void setAccountService(AccountService accountService) {
- this.accountService = accountService;
- }
- }
上述类继承了Shiro的AuthorizingRealm类 实现了AuthorizationInfo和AuthenticationInfo两个方法,用于获取用户权限和认证用户登录信息
5、编写LoginController:
- package org.swinglife.controller;
- import org.apache.shiro.SecurityUtils;
- import org.apache.shiro.authc.UsernamePasswordToken;
- import org.apache.shiro.subject.Subject;
- import org.springframework.beans.factory.annotation.Autowired;
- import org.springframework.stereotype.Controller;
- import org.springframework.web.bind.annotation.RequestMapping;
- import org.springframework.web.bind.annotation.RequestMethod;
- import org.springframework.web.portlet.ModelAndView;
- import org.swinglife.model.User;
- import org.swinglife.service.AccountService;
- /****
- * 用户登录Controller
- *
- * @author Swinglife
- *
- */
- @Controller
- public class LoginController {
- /***
- * 跳转到登录页面
- *
- * @return
- */
- @RequestMapping(value = "toLogin")
- public String toLogin() {
- // 跳转到/page/login.jsp页面
- return "login";
- }
- /***
- * 实现用户登录
- *
- * @param username
- * @param password
- * @return
- */
- @RequestMapping(value = "login")
- public ModelAndView Login(String username, String password) {
- ModelAndView mav = new ModelAndView();
- User user = accountService.getUserByUserName(username);
- if (user == null) {
- mav.setView("toLogin");
- mav.addObject("msg", "用户不存在");
- return mav;
- }
- if (!user.getPassword().equals(password)) {
- mav.setView("toLogin");
- mav.addObject("msg", "账号密码错误");
- return mav;
- }
- SecurityUtils.getSecurityManager().logout(SecurityUtils.getSubject());
- // 登录后存放进shiro token
- UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword());
- Subject subject = SecurityUtils.getSubject();
- subject.login(token);
- // 登录成功后会跳转到successUrl配置的链接,不用管下面返回的链接。
- mav.setView("redirect:/home");
- return mav;
- }
- // 处理用户业务类
- @Autowired
- private AccountService accountService;
- }
6、编写信息认证成功后的跳转页面:
- package org.swinglife.controller;
- import org.springframework.stereotype.Controller;
- import org.springframework.web.bind.annotation.RequestMapping;
- @Controller
- public class IndexController {
- @RequestMapping("home")
- public String index() {
- System.out.println("登录成功");
- return "home";
- }
- }
7、Shiro的配置文件.xml
- <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
- <property name="securityManager" ref="securityManager" />
- <property name="loginUrl" value="/toLogin" />
- <property name="successUrl" value="/home" />
- <property name="unauthorizedUrl" value="/403" />
- <property name="filterChainDefinitions">
- <value>
- /toLogin = authc <!-- authc 表示需要认证才能访问的页面 -->
- /home = authc, perms[/home] <!-- perms 表示需要该权限才能访问的页面 -->
- </value>
- </property>
- </bean>
- <bean id="myShiroRealm" class="org.swinglife.shiro.MyShiroRealm">
- <property name="accountService" ref="accountService" />
- </bean>
- <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
- <property name="realm" ref="myShiroRealm"></property>
- </bean>
- <bean id="accountService" class="org.swinglife.service.AccountService"></bean>
- <!-- <bean id="shiroCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
- <property name="cacheManager" ref="cacheManager" /> </bean> -->
loginUrl 用于配置登陆页
successUrl 用于配置登录成功后返回的页面,不过该参数只会在当登录页面中并没有任何返回页面时才会生效,否则会跳转到登录Controller中的指定页面。
unauthorizedUrl 用于配置没有权限访问页面时跳转的页面
filterChainDefinitions:apache shiro通过filterChainDefinitions参数来分配链接的过滤,资源过滤有常用的以下几个参数:
1、authc 表示需要认证的链接
2、perms[/url] 表示该链接需要拥有对应的资源/权限才能访问
3、roles[admin] 表示需要对应的角色才能访问
4、perms[admin:url] 表示需要对应角色的资源才能访问
8、登陆页login.jsp
- <body>
- <h1>user login</h1>
- <form action="login" method="post">
- username:<input type="text" name="username"><p>
- password:<input type="password" name="password">
- <p>
- ${msg }
- <input type="submit" value="submit">
- </form>
- </body>
9、运行程序
在数据库中添加一条用户、角色、以及权限数据,并且在关联表中添加一条关联数据:
在浏览器中访问: home页面 就会跳转到登录页面:
最后输入 账号密码 就会跳转到登录成功页面。
Shiro学习总结(2)——Apache Shiro快速入门教程相关推荐
- Apache Thrift快速入门教程
Thrift是一种跨语言RPC框架,最初是在Facebook上开发的,现在作为Apache项目开源. 这篇文章将描述如何以不同的模式(例如阻塞,非阻塞和异步)编写Thrift服务和客户端. (我觉得后 ...
- apache thrift_Apache Thrift快速入门教程
apache thrift Thrift是一种跨语言RPC框架,最初是在Facebook上开发的,现在作为Apache项目开源. 这篇文章将描述如何以不同的模式(例如阻塞,非阻塞和异步)编写Thrif ...
- 文件用户Apache shiro学习笔记+ spring整合shiro (一)
改章节朋友在青岛游玩的时候突然想到的...这两天就有想写几篇关于文件用户的博客,所以回家到之后就奋笔疾书的写出来发表了 Apache Shiro官网:http://shiro.apache.org/ ...
- geotools学习(一)IntelliJ快速入门
title: 'geotools学习(一)IntelliJ快速入门' date: 2021-04-29 14:08:52 tags: [] published: true hideInList: fa ...
- Shiro学习笔记_02:shiro的认证+shiro的授权
Shiro 学习笔记 本文基于B站UP主[编程不良人]视频教程[2020最新版Shiro教程,整合SpringBoot项目实战教程]进行整理记录,仅用于个人学习交流使用. 视频链接:https://w ...
- Redis学习笔记①基础篇_Redis快速入门
若文章内容或图片失效,请留言反馈.部分素材来自网络,若不小心影响到您的利益,请联系博主删除. 资料链接:https://pan.baidu.com/s/1189u6u4icQYHg_9_7ovWmA( ...
- Apache Hive 快速入门 (CentOS 7.3 + Hadoop-2.8 + Hive-2.1.1)
2019独角兽企业重金招聘Python工程师标准>>> 本文节选自<Netkiller Database 手札> 第 63 章 Apache Hive 目录 63.1. ...
- python多久能上手_小白学习Python,怎样能够快速入门上手
原标题:小白学习Python,怎样能够快速入门上手 时至今日,Python已经成为最受欢迎的编程语言之一,清晰易读,适用广泛.在TIOBE 排行榜中位居第四,成为名副其实的人工智能第一语言. 那么零基 ...
- sklearn快速入门教程:(五)集成学习
sklearn快速入门教程–(五)集成学习 一.集成学习简述 集成学习是目前各类竞赛和工程中应用最广泛的模型提升方法.比如在kaggle中就有关于集成学习的介绍(Kaggle模型融合原文).这里所谓的 ...
最新文章
- 专访中国移动钱岭:大数据更像是一种“倍增器”
- yii mysql数据库操作_Yii2数据库操作常用方法小结
- HTML+JS弹出可移动DIV遮罩层
- python判断英文
- quad8是matlab中调用那个,Matlab 数值积分
- js中推断浏览器类型
- Tomcat version 7.0 only supports J2EE 1.2, 1.3, 1.4, and Java EE 5 and 6 Web
- 前端学习(1676):前端系列实战课程之贪吃蛇游戏设计
- 论文浅尝 | 基于知识图谱嵌入的 Bootstrapping 实体对齐方法
- 怎么改变asp.net中.sln文件的默认生成路径
- 简单的php文件上传实例
- 计算机组成原理—基本概念(不基础的部分)
- 每天进步一点点——mysql——Percona XtraBackup(innobackupex)
- 【优化求解】基于matlab粒子群算法求解干扰受限无人机辅助网络优化问题【含Matlab源码 230期】
- mysql binlog 备份_linux定时备份mysql数据库
- 对集成电路的认识以及集成电路的重要性
- 使用STM32CubeMX创建USB MSC工程
- 古风一棵桃花树简笔画_唯美意境桃花古风句子
- 在el-form-item 重置label宽度
- 疫情期间,在家办公,这几款高效远程办公协作工具解决燃眉之急
热门文章
- 天天酷跑php源码_使用Java实现天天酷跑(附源码)
- 51cto 检测ip地址冲突_arping 检测IP地址冲突
- python list add_Python的List方法附加和扩展有什么区别?
- 结构体定义小的放前面_编程C语言进阶篇——自定义数据类型:结构体
- C++之函数模板探究
- vue checkbox双向绑定_Vue的双向绑定
- python 全局变量_python程序中用类变量代替global 定义全局变量
- 如何提取html的文本,如何从html标签之间提取文本?
- Android可滑动画板,Android 利用 Canvas 画画板
- springboot开启debug日志_SpringBoot日志快速上手简单配置