注:這裏只介紹spring配置模式。
因爲官方例子雖然中有更加簡潔的ini配置形式,但是使用ini配置無法與spring整合。而且兩種配置方法一樣,只是格式不一樣。
涉及的jar包
Jar包名稱 |
版本 |
核心包shiro-core |
1.2.0 |
Web相關包shiro-web |
1.2.0 |
緩存包shiro-ehcache |
1.2.0 |
與spring整合包shiro-spring |
1.2.0 |
Ehcache緩存核心包ehcache-core |
2.5.3 |
Shiro自身日誌包slf4j-jdk14 |
1.6.4 |
- <dependency>
- <groupId>org.apache.shiro</groupId>
- <artifactId>shiro-core</artifactId>
- <version>1.2.0</version>
- </dependency>
- <dependency>
- <groupId>org.apache.shiro</groupId>
- <artifactId>shiro-web</artifactId>
- <version>1.2.0</version>
- </dependency>
- <dependency>
- <groupId>org.apache.shiro</groupId>
- <artifactId>shiro-ehcache</artifactId>
- <version>1.2.0</version>
- </dependency>
- <dependency>
- <groupId>org.apache.shiro</groupId>
- <artifactId>shiro-spring</artifactId>
- <version>1.2.0</version>
- </dependency>
- <dependency>
- <groupId>net.sf.ehcache</groupId>
- <artifactId>ehcache-core</artifactId>
- <version>2.5.3</version>
- </dependency>
- <dependency>
- <groupId>org.slf4j</groupId>
- <artifactId>slf4j-jdk14</artifactId>
- <version>1.6.4</version>
- </dependency>
Spring整合配置
1.在web.xml中配置shiro的過濾器
- <!-- Shiro filter-->
- <filter>
- <filter-name>shiroFilter</filter-name>
- <filter-class>
- org.springframework.web.filter.DelegatingFilterProxy
- </filter-class>
- </filter>
- <filter-mapping>
- <filter-name>shiroFilter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
2.在Spring的applicationContext.xml中添加shiro配置
- <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
- <property name="securityManager" ref="securityManager" />
- <property name="loginUrl" value="/login" />
- <property name="successUrl" value="/login/loginSuccessFull" />
- <property name="unauthorizedUrl" value="/login/unauthorized" />
- <property name="filterChainDefinitions">
- <value>
- /home* = anon
- / = anon
- /logout = logout
- /role/** = roles[admin]
- /permission/** = perms[permssion:look]
- /** = authc
- </value>
- </property>
- </bean>
securityManager:這個屬性是必須的。
loginUrl:沒有登錄的用戶請求需要登錄的頁面時自動跳轉到登錄頁面,不是必須的屬性,不輸入地址的話會自動尋找項目web項目的根目錄下的”/login.jsp”頁面。
successUrl:登錄成功默認跳轉頁面,不配置則跳轉至”/”。如果登陸前點擊的一個需要登錄的頁面,則在登錄自動跳轉到那個需要登錄的頁面。不跳轉到此。
unauthorizedUrl:沒有權限默認跳轉的頁面。
過濾器簡稱 過濾器簡稱 |
對應的java類 |
anon |
org.apache.shiro.web.filter.authc.AnonymousFilter |
authc |
org.apache.shiro.web.filter.authc.FormAuthenticationFilter |
authcBasic |
org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter |
perms |
org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter |
port |
org.apache.shiro.web.filter.authz.PortFilter |
rest |
org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter |
roles |
org.apache.shiro.web.filter.authz.RolesAuthorizationFilter |
ssl |
org.apache.shiro.web.filter.authz.SslFilter |
user |
org.apache.shiro.web.filter.authc.UserFilter |
logout |
org.apache.shiro.web.filter.authc.LogoutFilter |
anon:例子/admins/**=anon沒有參數,表示可以匿名使用。
authc:例如/admins/user/**=authc表示需要認證(登錄)才能使用,沒有參數
roles:例子/admins/user/**=roles[admin],參數可以寫多個,多個時必須加上引號,並且參數之間用逗號分割,當有多個參數時,例如admins/user/**=roles["admin,guest"],每個參數通過纔算通過,相當於hasAllRoles()方法。
perms:例子/admins/user/**=perms[user:add:*],參數可以寫多個,多個時必須加上引號,並且參數之間用逗號分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],當有多個參數時必須每個參數都通過才通過,想當於isPermitedAll()方法。
rest:例子/admins/user/**=rest[user],根據請求的方法,相當於/admins/user/**=perms[user:method] ,其中method爲post,get,delete等。
port:例子/admins/user/**=port[8081],當請求的url的端口不是8081是跳轉到schemal://serverName:8081?queryString,其中schmal是協議http或https等,serverName是你訪問的host,8081是url配置裏port的端口,queryString
是你訪問的url裏的?後面的參數。
authcBasic:例如/admins/user/**=authcBasic沒有參數表示httpBasic認證
ssl:例子/admins/user/**=ssl沒有參數,表示安全的url請求,協議爲https
user:例如/admins/user/**=user沒有參數表示必須存在用戶,當登入操作時不做檢查
注:anon,authcBasic,auchc,user是認證過濾器,
perms,roles,ssl,rest,port是授權過濾器
3.在applicationContext.xml中添加securityManagerper配置- <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
- <!-- 單realm應用。如果有多個realm,使用‘realms’屬性代替 -->
- <property name="realm" ref="sampleRealm" />
- <property name="cacheManager" ref="cacheManager" />
- </bean>
- <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager" />
4.配置jdbcRealm
- <bean id="sampleRealm" class="org.apache.shiro.realm.jdbc.JdbcRealm">
- <property name="dataSource" ref="dataSource" />
- <property name="authenticationQuery"
- value="select t.password from my_user t where t.username = ?" />
- <property name="userRolesQuery"
- value="select a.rolename from my_user_role t left join my_role a on t.roleid = a.id where t.username = ? " />
- <property name="permissionsQuery"
- value="SELECT B.PERMISSION FROM MY_ROLE T LEFT JOIN MY_ROLE_PERMISSION A ON T.ID = A.ROLE_ID LEFT JOIN MY_PERMISSION B ON A.PERMISSION = B.ID WHERE T.ROLENAME = ? " />
- <property name="permissionsLookupEnabled" value="true" />
- <property name="saltStyle" value="NO_SALT" />
- <property name="credentialsMatcher" ref="hashedCredentialsMatcher" />
- </bean>
dataSource數據源,配置不說了。
authenticationQuery登錄認證用戶的查詢SQL,需要用登錄用戶名作爲條件,查詢密碼字段。
userRolesQuery用戶角色查詢SQL,需要通過登錄用戶名去查詢。查詢角色字段
permissionsQuery用戶的權限資源查詢SQL,需要用單一角色查詢角色下的權限資源,如果存在多個角色,則是遍歷每個角色,分別查詢出權限資源並添加到集合中。
permissionsLookupEnabled默認false。False時不會使用permissionsQuery的SQL去查詢權限資源。設置爲true纔會去執行。
saltStyle密碼是否加鹽,默認是NO_SALT不加鹽。加鹽有三種選擇CRYPT,COLUMN,EXTERNAL。詳細可以去看文檔。這裏按照不加鹽處理。
credentialsMatcher密碼匹配規則。下面簡單介紹。
- <bean id="hashedCredentialsMatcher"
- class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
- <property name="hashAlgorithmName" value="MD5" />
- <property name="storedCredentialsHexEncoded" value="true" />
- <property name="hashIterations" value="1" />
- </bean>
hashAlgorithmName必須的,沒有默認值。可以有MD5或者SHA-1,如果對密碼安全有更高要求可以用SHA-256或者更高。這裏使用MD5
storedCredentialsHexEncoded默認是true,此時用的是密碼加密用的是Hex編碼;false時用Base64編碼
hashIterations迭代次數,默認值是1。
登錄JSP頁面
- <form action="login" method="post">
- <td>用戶名:</td>
- <td><input type="text" name="username"></input></td>
- <td>密碼:</td>
- <td><input type="password" name="password"></input></td>
- <td>記住我</td>
- <td><input type="checkbox" name="rememberMe" /></td>
注:登錄JSP,表單action與提交方式固定,用戶名與密碼的name也是固定。
5.配置shiro註解模式- <!-- 開啓Shiro註解的Spring配置方式的beans。在lifecycleBeanPostProcessor之後運行 -->
- <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
- depends-on="lifecycleBeanPostProcessor" />
- <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
- <property name="securityManager" ref="securityManager" />
- </bean>
注意:在與springMVC整合時必須放在springMVC的配置文件中。
Shiro在註解模式下,登錄失敗,與沒有權限均是通過拋出異常。並且默認並沒有去處理或者捕獲這些異常。在springMVC下需要配置捕獲相應異常來通知用戶信息,如果不配置異常會拋出到頁面
- <bean
- class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
- <property name="exceptionMappings">
- <props>
- <prop key="org.apache.shiro.authz.UnauthorizedException">
- /unauthorized
- </prop>
- <prop key="org.apache.shiro.authz.UnauthenticatedException">
- /unauthenticated
- </prop>
- </props>
- </property>
- </bean>
@RequiresAuthentication
驗證用戶是否登錄,等同於方法subject.isAuthenticated() 結果爲true時。
@RequiresUser
驗證用戶是否被記憶,user有兩種含義:
一種是成功登錄的(subject.isAuthenticated() 結果爲true);
另外一種是被記憶的(subject.isRemembered()結果爲true)。
@RequiresGuest
驗證是否是一個guest的請求,與@RequiresUser完全相反。
換言之,RequiresUser == !RequiresGuest。
此時subject.getPrincipal()結果爲null.
@RequiresRoles
例如:@RequiresRoles("aRoleName");
void someMethod();
如果subject中有aRoleName角色纔可以訪問方法someMethod。如果沒有這個權限則會拋出異常AuthorizationException。
@RequiresPermissions
例如: @RequiresPermissions({"file:read", "write:aFile.txt"} )
void someMethod();
要求subject中必須同時含有file:read和write:aFile.txt的權限才能執行方法someMethod()。否則拋出異常AuthorizationException。
三.簡單擴展
- <!--自定義的myRealm 繼承自AuthorizingRealm,也可以選擇shiro提供的 -->
- <bean id="myRealm" class="com.yada.shiro.MyReam"></bean>
- //這是授權方法
- protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
- String userName = (String) getAvailablePrincipal(principals);
- //TODO 通過用戶名獲得用戶的所有資源,並把資源存入info中
- …………………….
- SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
- info.setStringPermissions(set集合);
- info.setRoles(set集合);
- info.setObjectPermissions(set集合);
- return info;
- }
- //這是認證方法
- protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
- //token中儲存着輸入的用戶名和密碼
- UsernamePasswordToken upToken = (UsernamePasswordToken)token;
- //獲得用戶名與密碼
- String username = upToken.getUsername();
- String password = String.valueOf(upToken.getPassword());
- //TODO 與數據庫中用戶名和密碼進行比對。比對成功則返回info,比對失敗則拋出對應信息的異常AuthenticationException
- …………………..
- SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password .toCharArray(),getName());
- return info;
- }
2.自定義登錄
- //創建用戶名和密碼的令牌
- UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(),user.getPassWord());
- //記錄該令牌,如果不記錄則類似購物車功能不能使用。
- token.setRememberMe(true);
- //subject理解成權限對象。類似user
- Subject subject = SecurityUtils.getSubject();
- try {
- subject.login(token);
- } catch (UnknownAccountException ex) {//用戶名沒有找到。
- } catch (IncorrectCredentialsException ex) {//用戶名密碼不匹配。
- }catch (AuthenticationException e) {//其他的登錄錯誤
- }
- //驗證是否成功登錄的方法
- if (subject.isAuthenticated()) {
- }
3.自定義登出
- Subject subject = SecurityUtils.getSubject();
- subject.logout();
4.基於編碼的角色授權實現
- Subject currentUser = SecurityUtils.getSubject();
- if (currentUser.hasRole("administrator")) {
- //擁有角色administrator
- } else {
- //沒有角色處理
- }
斷言方式控制
- Subject currentUser = SecurityUtils.getSubject();
- //如果沒有角色admin,則會拋出異常,someMethod()也不會被執行
- currentUser.checkRole(“admin");
- someMethod();
- Subject currentUser = SecurityUtils.getSubject();
- if (currentUser.isPermitted("permssion:look")) {
- //有資源權限
- } else {
- //沒有權限
- }
斷言方式控制
- Subject currentUser = SecurityUtils.getSubject();
- //如果沒有資源權限則會拋出異常。
- currentUser.checkPermission("permssion:look");
- someMethod();
標籤名稱 |
標籤條件(均是顯示標籤內容) |
<shiro:authenticated> |
登錄之後 |
<shiro:notAuthenticated> |
不在登錄狀態時 |
<shiro:guest> |
用戶在沒有RememberMe時 |
<shiro:user> |
用戶在RememberMe時 |
<shiro:hasAnyRoles name="abc,123" > |
在有abc或者123角色時 |
<shiro:hasRole name="abc"> |
擁有角色abc |
<shiro:lacksRole name="abc"> |
沒有角色abc |
<shiro:hasPermission name="abc"> |
擁有權限資源abc |
<shiro:lacksPermission name="abc"> |
沒有abc權限資源 |
<shiro:principal> |
默認顯示用戶名稱 |
7.
默認,添加或刪除用戶的角色 或資源 ,系統不需要重啓,但是需要用戶重新登錄。
即用戶的授權是首次登錄後第一次訪問需要權限頁面時進行加載。
但是需要進行控制的權限資源,是在啓動時就進行加載,如果要新增一個權限資源需要重啓系統。
8.
Springsecurity 與apache shiro差別:
9.
控制精度:
註解方式控制權限只能是在方法上控制,無法控制類級別訪問。
過濾器方式控制是根據訪問的URL進行控制。允許使用*匹配URL,所以可以進行粗粒度,也可以進行細粒度控制。