权限控制
常见的权限控制
1\URL 拦截权限控制
通过拦截器或者过滤器拦截客户端发送的请求,在拦截器或者过滤器中判断当前用户是否具有访问权限有就放行,没有权限 跳转到权限不足的提示页面
2\方法注解权限控制
基于代理技术实现 有代理对象进行权限校验
权限数据模型
1\权限表
2\角色表
就是权限的集合
3\用户表
4\角色权限关系表
5\用户角色关系表
shrio
核心功能
1\认证
2\授权
3\会话管理
4\加密
Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
maven 引用:
<!-- shiro依赖包 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-cas</artifactId> <version>1.2.3</version> <exclusions> <exclusion> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> </exclusion> </exclusions> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-ehcache</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-quartz</artifactId> <version>1.2.3</version> </dependency> <!-- shiro end -->
Application Code
应用程序代码 开发人员开发
Subject
框架提供的接口 代表当前用户对象
SecurityManager
框架提供的接口 代表安全管理器对象 ***********
Realm
开发人员可以编写,框架也提供一些 类似DAO 用于访问权限数据
使用
1\在项目中引入maven 依赖
2\在web.xml 配置一个过滤器
<filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
3\在spring 配置文件中配置beanid和上面的过滤器的名称一样
<!-- 配置shiro 框架的过滤器工厂对象 -->
<bean name="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean" > <!-- 注入安全管理器对象 --> <property name="securityManager" ref="securityManager"></property> <!-- 注入登录页面 --> <property name="loginUrl" value="/index.jsp"></property> <!-- 注入登录成功页面 --> <!-- <property name="successUrl" value="/index.jsp"></property> --> <!-- 注入无权限页面 --> <property name="unauthorizedUrl" value="/error.jsp"></property> <!-- 注入URL拦截规则 --> <property name="filterChainDefinitions"> <value> /css/** = anon<!--css 放行 --> /js/** = authc<!-- js放行 --> /images/** = anon<!-- 图片放行 --> /validatecode.jsp* = anon<!-- 验证码放行 --> /index.jsp = anon<!-- 主页放行 --> /toLogin.do = anon<!-- 去登录页面请求 --> /user/login.do = anon<!-- 登录请求 --> /user/** = perms["user-list"]<!-- staff的一切请求 --> /page.do = perms["page-list"]<!-- staff的一切请求 --> /* = authc <!-- 其他的一切请求 --> </value> </property> </bean> <!-- 注册安全管理器对象 --> <bean name="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <!-- 注入realm --> <property name="realm" ref="bosRealm"></property> </bean> <!-- 注册realm --> <bean name="bosRealm" class="com.stevezong.bos.realm.BosRealm"></bean>
过滤器名称过滤器类描述
anonorg.apache.shiro.web.filter.authc.AnonymousFilter匿名过滤器
authcorg.apache.shiro.web.filter.authc.FormAuthenticationFilter当前用户是否已经登录
authcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter基本http验证过滤,如果不通过,跳转屋登录页面
logoutorg.apache.shiro.web.filter.authc.LogoutFilter登录退出过滤器
noSessionCreationorg.apache.shiro.web.filter.session.NoSessionCreationFilter没有session创建过滤器
permsorg.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter权限过滤器
portorg.apache.shiro.web.filter.authz.PortFilter端口过滤器,可以设置是否是指定端口如果不是跳转到登录页面
restorg.apache.shiro.web.filter.authz.HttpMethodPermissionFilterhttp方法过滤器,可以指定如post不能进行访问等
rolesorg.apache.shiro.web.filter.authz.RolesAuthorizationFilter角色过滤器,判断当前用户是否指定角色
sslorg.apache.shiro.web.filter.authz.SslFilter请求需要通过ssl,如果不是跳转回登录页
userorg.apache.shiro.web.filter.authc.UserFilter如果访问一个已知用户,比如记住我功能,走这个过滤器
4\登录Controller
//使用shiro 框架提供的方式进行认证操作
Subject subject = SecurityUtils.getSubject();//获取当前用户对象,状态为:未认证
AuthenticationToken token = new UsernamePasswordToken(username, MD5Utils.md5(password));
try {
subject.login(token);
} catch (Exception e) {
e.printStackTrace();
result = "login";
}
user = (User) subject.getPrincipal();
session.setAttribute("user", user);
session.setMaxInactiveInterval(60*60*24);
result = "redirect:../pages_common_index.do";5\写Realm
Exception 类型:
没有这个用户名
UnknownAccountException
密码错误
IncorrectCredentialsException
package com.stevezong.bos.realm;
import javax.annotation.Resource;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import com.stevezong.bos.dao.UserMapper;
import com.stevezong.bos.entity.User;
public class BosRealm extends AuthorizingRealm{
@Resource
UserMapper userMapper;
//认证方法
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("自定义Realm");
//根据用户名查询数据库中的密码
//将AuthenticationToken 强转为 UsernamePasswordToken 方便使用
UsernamePasswordToken passwordToken = (UsernamePasswordToken) token;
//根据用户名查询数据中的User对象
User user = userMapper.findByUsername(passwordToken.getUsername());
if(user == null) {
//页面输入的用户名不存在
return null;
}else {
//简单认证信息对象(user对象,数据库中的密码,任意字符串)
AuthenticationInfo info = new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
//框架负责对比数据库中的密码和页面输入的密码是否一致
return info;
}
}
//授权方法
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
// TODO 后期需要修改为根据当前登录永固查询数据库获取实际对应的权限
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermission("staff-list");
return info;
}
}shiro 注解
1\
<!-- 开启shiro的注解支持 --> <bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"> <!-- 必须改为true,即使用cglib方式为Action创建代理对象。默认值为false,使用JDK创建代理对象,会造成问题 --> <property name="proxyTargetClass" value="true"></property> </bean> <!-- 使用shiro框架提供的切面类,用于创建代理对象 --> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"></bean>
2\在对应的方法上加上注解
@RequiresPermissions("权限名称")
package com.stevezong.bos.controller;
import javax.annotation.Resource;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import com.stevezong.bos.service.StaffService;
import com.stevezong.bos.utils.BosResult;
@Controller
@RequestMapping("/staff")
public class StaffDelController {
@Resource(name = "staffService")
StaffService staffService;
@RequestMapping("/del.do")
@ResponseBody
@RequiresPermissions("staff-delete")
public BosResult<Object> del(String ids){
BosResult<Object> result = new BosResult<Object>();
String[] idsArr = ids.split(",");
int[] resultArr = new int[idsArr.length];
for(int i = 0; i<idsArr.length;i++) {
resultArr[i] = staffService.updateDeltagById(idsArr[i]);
}
result.setStatus(0);
result.setMsg("修改完成");
result.setData(resultArr);
return result;
}
}3\在ssm 框架中捕获shiro 的权限不足异常
shiro jsp 标签库
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
用户是否有这个权限
<shiro:hasPermission name="权限名">js,jsp,html 都可以</shiro:hasPermission>
<shiro:hasPermission name="staff-list">
{
id : 'button-delete',
text : '作废',
iconCls : 'icon-cancel',
handler : doDelete
},
</shiro:hasPermission>权限数据管理
曾删改查
初始化权限数据
添加权限数据
权限分页查询