Shiro+SSM基本使用

原創 Sirm23333 2020-06-22 01:03

一、Shiro功能

  • Authentication:身份認證/登錄

  • Authorization:授權(權限驗證)

  • Session Manager:會話管理,會話可以是Java SE環境也可以是Java EE環境。使用Shiro,在service層和dao層也可以直接活動session對象,實現解耦

  • Cryptography:加密

  • Caching:緩存,比如用戶登錄後,其用戶用於的角色/權限不必每次去查

  • Run As:允許一個用戶假如另一個用戶的身份進行訪問

  • Remember Me:記住我

二、Shiro架構

在這裏插入圖片描述

在這裏插入圖片描述

1、緩存管理器

  • 內置的緩存管理器:org.apache.shiro.cache.MemoryConstrainedCacheManager
  • Ehcache管理器:org.apache.shiro.cache.ehcache.EhCacheManager
  • redis緩存管理器:org.crazycake.shiro.RedisCacheManager

三、SSM整合shiro

1、pom.xml

<shiro.version>1.4.2</shiro.version>
<commons-collections.version>3.2.1</commons-collections.version>
<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-quartz</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>${shiro.version}</version>
        </dependency>
		<dependency>
		    <groupId>commons-collections</groupId>
		    <artifactId>commons-collections</artifactId>
    		<version>${commons-collections.version}</version>
		</dependency>

2、web.xml

	<!-- shiro的攔截器 -->
	<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
		<init-param>
			<param-name>targetFilterLifecycle</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

3、spring-shiro.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:util="http://www.springframework.org/schema/util"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="
       http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
       http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util.xsd">

	<!-- 緩存管理器 使用shiro內置的緩存 還可以使用ehcache和redis緩存 -->
	<bean id="shiroCacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"></bean>
	
	
	<!-- 憑證匹配器 -->
	<bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
		<!-- 加密算法名稱 -->
		<property name="hashAlgorithmName" value="MD5"></property>
		<!-- 加密次數 -->
		<property name="hashIterations" value="10"></property>
	</bean>
	
	
	<!-- Realm實現 -->
    <bean id="userRealm" class="com.bs.shiro.realm.ShiroRealm">
        <!-- 使用credentialsMatcher實現密碼驗證服務 -->
        <property name="credentialsMatcher" ref="credentialsMatcher"/>
        <!-- 是否啓用緩存 -->
        <property name="cachingEnabled" value="true"/>
        <!-- 啓用認證緩存 -->
        <property name="authenticationCachingEnabled" value="true"/>
        <!-- 緩存AuthenticationInfo信息的緩存名稱 -->
        <property name="authenticationCacheName" value="authenticationCache"/>
        <!-- 啓用授權緩存 -->
        <property name="authorizationCachingEnabled" value="true"/>
        <!-- 緩存AuthorizationInfo信息的緩存名稱 -->
        <property name="authorizationCacheName" value="authorizationCache"/>
    </bean>
    
    
    <!-- 會話Cookie模板 -->
    <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <constructor-arg value="sid"/>
        <!-- 如果設置爲true,則客戶端不會暴露給服務端腳本代碼,有助於減少某些類型的跨站腳本攻擊 -->
        <property name="httpOnly" value="true"/>
        <property name="maxAge" value="-1"/><!-- maxAge=-1表示瀏覽器關閉時失效此Cookie -->
    </bean>
    <bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <constructor-arg value="rememberMe"/>
        <property name="httpOnly" value="true"/>
        <property name="maxAge" value="2592000"/><!-- 30天 -->
    </bean>
    
    
    <!-- rememberMe管理器 -->
    <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
        <!-- cipherKey是加密rememberMe Cookie的密匙,默認AES算法 -->
        <property name="cipherKey" value="#{T(org.apache.shiro.codec.Base64).decode('4AvVhmFLUs0KTA3Kprsdag==')}"/>
        <property name="cookie" ref="rememberMeCookie"/>
    </bean>
    
    
    <!-- 會話驗證調度器 -->
    <bean id="sessionValidationScheduler" class="org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler">
        <property name="sessionValidationInterval" value="1800000"/>
        <property name="sessionManager" ref="sessionManager"/>
    </bean>
    
    
    <!-- 會話管理器 -->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <!-- 設置全局會話過期時間:默認30分鐘 -->
        <property name="globalSessionTimeout" value="1800000"/>
        <!-- 是否自動刪除無效會話 -->
        <property name="deleteInvalidSessions" value="true"/>
        <!-- 會話驗證是否啓用 -->
        <property name="sessionValidationSchedulerEnabled" value="true"/>
        <!-- 會話驗證調度器 -->
        <property name="sessionValidationScheduler" ref="sessionValidationScheduler"/>
        <!-- 是否啓用sessionIdCookie,默認是啓用的 -->
        <property name="sessionIdCookieEnabled" value="true"/>
        <!-- 會話Cookie -->
        <property name="sessionIdCookie" ref="sessionIdCookie"/>
    </bean>
    
    
	<!--配置安全管理器 -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="cacheManager" ref="shiroCacheManager" />
		<property name="sessionManager" ref="sessionManager"/>
		<property name="realm" ref="userRealm" />
		<property name="rememberMeManager" ref="rememberMeManager"/>
	</bean>
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />
	</bean>
	
	

	<!-- 配置ShiroFilter -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<!-- 未認證時返回的頁面 被authc user logout 等認證攔截器攔截後訪問的url -->
		<property name="loginUrl" value="/user/unAuthenticated.do"/> 
		<!-- 未授權時返回的頁面 被roles 等授權攔截器攔截後訪問的url -->
		<property name="unauthorizedUrl" value="/user/unAuthorized.do"/> 
		<property name="filterChainDefinitions">
			<value>
				<!-- 可以匿名訪問 -->
				/user/login.do = anon
				
				
				<!-- 訪問該url登出 -->
				/user/logout.do = logout
				
				
				<!-- 認證或記住我後可以訪問 -->
				/user/index.do = user
				
				
				<!-- 需要授權纔可以訪問 -->
				/user/admin.do = roles[admin]
				
				
				<!-- 需要認證纔可以訪問 -->
				/** = authc
			</value>
		</property>
	</bean>
	
	
	<!-- shiro聲明週期處理器 -->
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
</beans>

四、Shiro使用

1、Session Manager

Subject currentUser = SecurityUtils.getSubject();
Session session = currentUser.getSession();

2、自定義realm

public class ShiroRealm extends AuthorizingRealm{
	/**
	 * 認證時會被shiro回調
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		//1、把AuthenticationToken轉換爲UsernamePasswordToken
		UsernamePasswordToken upToken = (UsernamePasswordToken) token;
		//2、從UsernamePasswordToken獲取用戶名
		String userName = upToken.getUsername();
		//3、從數據庫獲取用戶信息
		String realUserName = "user";
		String realPassWord = "e4216961e03f91a7632f9fee1444d3bb";
		//4、拋出異常
		//	1)用戶不存在
		if("unknow".equals(realUserName)) {
			throw new UnknownAccountException("用戶不存在");
		}
		//	2)用戶被鎖定
		if("monster".equals(userName)) {
			throw new LockedAccountException("用戶被鎖定");
		}
		//	3)其他異常
		//throw new AuthenticationException();
		
		//5、構建AuthenticationInfo 並返回。從數據庫獲取以下信息
		//1)principal:認證的實體信息,可以是username
		Object principal = realUserName;
		//2)credentials:密碼
		Object credentials = realPassWord;
		//3)credentialsSalt:鹽值,一般用隨機字符串或用戶名(唯一值)
		ByteSource credentialsSalt = ByteSource.Util.bytes(userName);
		//4)realmName
		String realmName = getName();
		SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal,credentials,credentialsSalt,realmName);
		
		return info;
	}
	/**
	 * 檢測是否有授權時會被shiro回調
	 * 不用主動調用
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		//1.從PrincipalCollection中獲取登錄用戶信息
		Object principal = principals.getPrimaryPrincipal();
		//2.利用登錄用戶的信息來獲取用戶權限信息
		Set<String> roles = new HashSet<>();
		roles.add("user");
		if("admin".equals(principal)){
			roles.add("admin");
		}
		//3.創建SimpleAuthorization 並設置其reles屬性
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
		//4.返回SimpleAutorizationInfo對象
		return info;
	}
}

3、Authentication(用戶登錄相關邏輯)

		//獲得當前用戶
		Subject currentUser = SecurityUtils.getSubject();
		//如果用戶還未被認證(登錄)
		if (!currentUser.isAuthenticated()) {
			UsernamePasswordToken token = new UsernamePasswordToken(user, password);
			try {
                token.setRememberMe(true);//記住我
                currentUser.login(token);//會使用自定義的ShiroRealm來驗證登錄(在Shiro的配置文件中配置)
            } catch (UnknownAccountException uae) {
                log.info("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                log.info("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            } catch (AuthenticationException ae) {
            	ae.printStackTrace();
            }
		}

4、Authorization

//該用戶是否爲某個角色
currentUser.hasRole("schwartz"); 
//該用戶是否有某個授權
currentUser.isPermitted("lightsaber:wield"); //對lightsaber做wield
currentUser.isPermitted("winnebago:drive:eagle5"); //對winnebago類型的eagle5對象做drive,如"user:delete:張三"
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

spring中註解注入servlet裏面的對象失敗

在servlet裏面重寫以下方法: public void init(ServletConfig config) throws ServletException { SpringBeanAutowiringSupport

探索家 2020-07-08 03:51:46

MyBatis原理剖析

01.openSession到底做了什麼1.1 SqlSessionFactory 接口的方法,得找接口的實現類1.2DefaultSqlSessionFactory implements SqlSessionFactory 進而找到了D

China-WuCJ 2020-07-07 17:41:42

SSM整合權限框架的管理系統

寫在前面: 項目演示地址:小白權限管理系統 功能介紹 主要講解maven工程搭建,以及基於MySQL 數據庫的商品表信息,並完成SSM整合。 1.1 環境搭建 主要講解maven工程搭建,以及基於oracle數據庫的商品表信息

CodeWhite7 2020-07-07 14:08:28

Spring事務管理,帶你回顧數據庫事務!

寫在前面: 本文將告訴你:數據庫事務,以及如何使用Spring整理事務,以及用註解開發事務。 作者是一個學生,沒有能力寫得太深,需要的可以去看看大佬們的 手撕Spring源碼。 如果對你有幫助可以點贊支持一下^ _ ^ 作

CodeWhite7 2020-07-07 14:08:28

RESTful API更規範的編程接口風格

寫在前面:本文使用SpringMVC的HiddentHttpMethodFilter過濾器演示Restful的模擬增刪改查 作者還在學習階段,本文內容不深,若寫得不好請見諒。 公衆號:小白編碼 本文目錄REST 風格 U

CodeWhite7 2020-07-07 14:08:27

springmvc靜態資源攔截問題

解決方法1:在web.xml中配置: <servlet-mapping> <!--配置不過濾的靜態資源,以下結尾--> <servlet-name>default</servlet-name

CodeWhite7 2020-07-07 14:08:23

這裏教你怎麼使用SpringIOC,你還是不懂SpringIOC?什麼是控制反轉?

寫在前面: 最近學習Spring告一段落了,這文章可以簡單的告訴你怎麼使用Spring的IOC控制反轉,以及IOC註解開發。 作者是一個學生,沒有能力寫得太深,需要的可以去看看大佬們的手撕Spring源碼。 本文將告訴你:

CodeWhite7 2020-07-07 14:08:23

Spring框架之SpringAOP以及Spring註解開發

寫在前面: 最近學習Spring告一段落了,這文章可以簡單的告訴你什麼是AOP,AOP相關術語,AOP的xml配置,AOP註解開發 。 作者是一個學生,沒有能力寫得太深,需要的可以去看看大佬們的手撕Spring源碼。 如果對

CodeWhite7 2020-07-07 14:08:23

註解開發一直用一直爽,SpringMVC註解

寫在前面:本文簡單講解SpringMVC的一些註解 公衆號:小白編碼 本文目錄第一章:三層架構和MVC三層架構:MVC模型第二章:SpringMVC優勢SpringMVC優勢第三章: SpringMVC入門案例第四章:S

CodeWhite7 2020-07-07 14:08:23

關於Spring控制器聲明式事務無法回滾問題

問題:Spring測試服務層能夠回滾事務,而控制器的事務卻無法回滾! spring配置文件: <!-- 開啓註解掃描,希望處理Service和dao,controller不需要Spring框架處理--> <c

CodeWhite7 2020-07-07 14:08:23

SpringMVC框架攔截器,異常處理與響應,並且實現文件上傳與下載。

寫在前面:本文簡單講解SpringMVC的響應數據處理,以及文件上傳與下載,響應JSON格式,異常處理,攔截器的介紹等。。 作者還在學習階段,如果寫得不好請見諒。 公衆號:小白編碼 本文目錄第一章:響應數據和結果視圖1.

CodeWhite7 2020-07-07 14:08:22

Mybatis輕量化框架學習

寫在前面: Mybatis是一個優秀的框架,今天我給大家介紹一下mybatis的用法,本文特別長,可以和官方文檔一起食用。並且我這裏整理了一份PDF格式的筆記,需要可以找我,全文8W字符,寫得很累,希望能給個贊。 公衆號:小白編

CodeWhite7 2020-07-07 14:08:22

SpringMVC常用註解(超級詳細)

一、ControllerAdvice的常用場景 1、全局異常處理 2、全局數據綁定 3、全局數據預處理 靈活使用這三個功能,可以幫助我們簡化很多工作,需要注意的是,這是 SpringMVC 提供的功能,在 Spring Boot 中可以

素小暖 2020-07-06 17:08:02

【全棧最全Java框架總結】SSH、SSM、Springboot

本系列用來記錄常用java框架的基本概念、區別及聯繫,也記錄了在使用過程中,遇到的一些問題的解決方法,方便自己查看,也方便大家查閱。 欲速則不達,欲達則欲速! JavaWeb視頻教程(JSP/Servlet/上傳/下載/分頁/MVC/三層

素小暖 2020-07-06 17:08:02

AOP的底層實現—之CGLIB的動態代理——(八)

文章目錄CGLIB的動態代理1.在src/main下創建Java源文件,創建包com.aop.demo22.在pom.xml內引入依賴3.創建Product類4.創建SpringDemo2測試類5.創建MyCglibProxy類實

目遇之而成色 2020-07-06 03:48:08