2. 程式人生 > >BOS項目 第7天(shiro權限框架進行認證和授權)

BOS項目 第7天(shiro權限框架進行認證和授權)

阿新 發佈:2017-06-02
ebs setattr not action 錯誤信息 add 流程圖 元素 錯誤提示

BOS項目筆記 第7

今天內容安排:

1、權限概述(認證、授權)

2、常見的權限控制的方式(URL攔截權限控制、方法註解權限控制)

3、權限數據模型(權限表、角色表、用戶表、角色權限關系表、用戶角色關系表)

4shiro框架入門

5、將shiro應用到bos項目中進行認證和授權

1. 權限概述

系統提供了很多功能,並不是所有的用戶登錄系統都可以操作這些功能。我們需要對用戶的訪問進行控制。

認證:系統提供的用於識別用戶身份的功能(通常是登錄功能)-----讓系統知道你是誰??

授權:系統提供的賦予用戶訪問某個功能的能力-----讓系統知道你能做什麽??

2. 常見的權限控制的方式

2.1 URL攔截權限控制---基於過濾器或者攔截器

2.2 方法註解權限控制---基於代理技術

3. 權限模塊數據模型

用戶表:t_user

角色表:auth_role

權限表:auth_function

用戶角色關系表:user_role

角色權限關系表:role_function

4. apache shiro

官網:http://shiro.apache.org/

Apache Shiro is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.

l 提供的功能:

l shiro的程序運行流程圖:

Application code:應用程序代碼,開發人員編寫的代碼

Subject:主體,當前用戶

SecurityManager:安全管理器,shiro框架的核心對象,管理各個組件

Realm:類似於Dao,負責訪問安全數據(用戶數據、角色數據、權限數據)

5. shiro應用到bos項目

第一步:導入shiro-all.jar

第二步:在web.xml中配置一個spring用於整合shiro的過濾器

第三步:在spring配置文件中配置一個beanid必須和上面的過濾器名稱相同

<!-- 配置一個工廠

bean,用於創建shiro框架用到過濾器 -->

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

<!-- 註入安全管理器 -->

<property name="securityManager" ref="securityManager"></property>

<!-- 註入當前系統的登錄頁面 -->

<property name="loginUrl" value="/login.jsp"/>

<!-- 註入成功頁面 -->

<property name="successUrl" value="/index.jsp"/>

<!-- 註入權限不足提示頁面 -->

<property name="unauthorizedUrl" value="/unauthorizedUrl.jsp"/>

<!-- 註入URL攔截規則 -->

<property name="filterChainDefinitions">

<value>

/css/** = anon

/images/** = anon

/js/** = anon

/login.jsp* = anon

/validatecode.jsp* = anon

/userAction_login.action = anon

/page_base_staff.action = perms["staff"]

/* = authc

</value>

</property>

</bean>

第四步:在spring配置文件中註冊安全管理器,為安全管理器註入realm

<!-- 註冊自定義realm -->

<bean id="bosRealm" class="com.itheima.bos.shiro.BOSRealm"></bean>

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

<!-- 註入上面的realm -->

<property name="realm" ref="bosRealm"/>

</bean>

第五步:自定義一個BOSRealm

public class BOSRealm extends AuthorizingRealm {

@Resource

private IUserDao userDao;

/**

* 認證方法

*/

protected AuthenticationInfo doGetAuthenticationInfo(

AuthenticationToken token) throws AuthenticationException {

System.out.println("認證方法。。。");

UsernamePasswordToken upToken = (UsernamePasswordToken) token;

String username = upToken.getUsername();// 從令牌中獲得用戶名

User user = userDao.findUserByUsername(username);

if (user == null) {

// 用戶名不存在

return null;

} else {

// 用戶名存在

String password = user.getPassword();// 獲得數據庫中存儲的密碼

// 創建簡單認證信息對象

/***

* 參數一:簽名,程序可以在任意位置獲取當前放入的對象

* 參數二:從數據庫中查詢出的密碼

* 參數三:當前realm的名稱

*/

SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,

password, this.getClass().getSimpleName());

return info;//返回給安全管理器,由安全管理器負責比對數據庫中查詢出的密碼和頁面提交的密碼

}

}

/**

* 授權方法

*/

protected AuthorizationInfo doGetAuthorizationInfo(

PrincipalCollection principals) {

return null;

}

}

第六步完善UserActionlogin方法

public String login(){

//生成的驗證碼

String key = (String) ServletActionContext.getRequest().getSession().getAttribute("key");

//判斷用戶輸入的驗證碼是否正確

if(StringUtils.isNotBlank(checkcode) && checkcode.equals(key)){

//驗證碼正確

//獲得當前用戶對象

Subject subject = SecurityUtils.getSubject();//狀態為未認證

String password = model.getPassword();

password = MD5Utils.md5(password);

//構造一個用戶名密碼令牌

AuthenticationToken token = new UsernamePasswordToken(model.getUsername(), password);

try{

subject.login(token);

}catch (UnknownAccountException e) {

e.printStackTrace();

//設置錯誤信息

this.addActionError(this.getText("usernamenotfound"));

return "login";

}catch (Exception e) {

e.printStackTrace();

//設置錯誤信息

this.addActionError(this.getText("loginError"));

return "login";

}

//獲取認證信息對象中存儲的User對象

User user = (User) subject.getPrincipal();

ServletActionContext.getRequest().getSession().setAttribute("loginUser", user);

return "home";

}else{

//驗證碼錯誤,設置錯誤提示信息,跳轉到登錄頁面

this.addActionError(this.getText("validateCodeError"));

return "login";

}

}

第七步:在自定義Realm中編寫授權方法

6. shiro提供的權限控制方式

6.1 URL攔截權限控制

6.2 方法註解權限控制

第一步:在spring配置文件中開啟shiro的註解支持

第二步:在Action的方法上使用shiro的註解描述執行當前方法需要具有的權限

第三步修改BaseAction的構造方法

第四步:在struts.xml中配置全局異常捕獲,統一跳轉到權限不足的頁面

6.3 頁面標簽權限控制

第一步:在jsp頁面中引入shiro的標簽

第二步:使用shiro的標簽根據當前用戶擁有的權限動態展示頁面元素

6.4 代碼級別權限(了解)

BOS項目 第7天(shiro權限框架進行認證和授權)

相關推薦

BOS 7(shiro框架進行認證授權)

ebs setattr not action 錯誤信息 add 流程圖 元素 錯誤提示 BOS項目筆記 第7天 今天內容安排: 1、權限概述(認證、授權) 2、常見的權限控制的方式(URL攔截權限控制、方法註解權限控制) 3、權限數據模型(權限表、角色表、用戶表、角色權

BOS 2(BaseDao、BaseAction、用戶登錄、自定義strust登錄攔截器)

XML sage pdm nat cls his jquer als 是否一致 BOS項目 第2天 今天內容安排: 1、根據提供的pdm文件生成sql 2、持久層和表現層設計---BaseDao、BaseAction 3、實現用戶登錄功能 4、jQuery EasyUI

學習BOS物流

image png pri 比對 五步 初始化 配置 集合 在那 1 教學計劃 1、演示權限demo 2、權限概述 a. 認證 b. 授權 3、常見的權限控制方式 a. url攔截權限控制 b. 方法註解權限控制 4、創建權限數據模型 a. 權限表 b. 角色表 c

BOS物流十三

find 圖表庫 image put request dao 通過 頁面 sage 教學計劃 1、Quartz概述 a. Quartz介紹和下載 b. 入門案例 c. Quartz執行流程 d. cron表達式 2、在BOS項目中使用Quartz創建定時任務 3

(轉)shiro框架詳解06-shiro與web整合(下)

tex web項目 ssd ndis form認證 lec rfi 出身 javadoc http://blog.csdn.net/facekbook/article/details/54962975 shiro和web項目整合,實現類似真實項目的應用 web項目中

傳參數 解決 導致 mage 傳參 分享 後臺 總結 技術 站立式會議: 燃盡圖: 項目: 項目進展:連接數據庫和前端界面交互 問題:不同頁面之間的數據傳輸問題,最後是通過設置全局變量和在url後傳參數解決 心得體會:後臺其實並不復雜,主要是經驗不多導致了各種問題。總結,

學習 mark 心得體會 效果 bar 但是 微信小程序 用戶體驗 項目 站立式會議: 燃盡圖: 項目: 項目進展:項目的前臺基本構建完畢,但是因為微信小程序本身並不成熟,所以帶來了一些問題有待解決。後臺的學習也在持續進行,很快就準備從前臺轉戰後臺了。 問題困難:微信小

jpg 體會 問題 .com 分享圖片 我們 blog 心得 image 站立式會議: 燃盡圖: 項目: 項目進展:今天是項目的第三天,從網上找到的視頻已經在我們的爭分奪秒下看的進度還是十分可觀的,我們一邊看視頻一邊學習,對項目慢慢琢磨,開始了前臺的搭建。 問題困難:進

廖大python實戰

urn 遞歸調用 {} item for 不容易 對象 ide pytho 今天的比較簡單,我就直接把源碼上自己不容易搞懂的寫一下吧。 merge()方法 def merge(defaults, override): r = {} for k, v in d

廖大python實戰

解決 sele async utf-8 await 輸入 databases asyncio bin 數據庫操作問題 參考: 用命令行創建MySQL數據庫 菜鳥教程——MySQL (尤其是這一篇:MySQL管理) 啟動MySQL時出現問題 數據庫操作這塊先會用就行。過程中難

十次方(分布式搜索引擎ElasticSearch)

一起 合並 服務 企業級 復雜 搜索 restfu 簡單 處理 1 ElasticSearch簡介1.1 什麽是ElasticSearch? Elasticsearch是一個實時的分布式搜索和分析引擎。它可以幫助你用前所未有的速度去處理大規模數據。ElasticSearch

VueCli3.0全棧-資金管理系統帶(node/element/vue)

後端 ESS 所有 導航 port 前端 register gis 頭像 課程簡介:通過本系列課程,可以快速的掌握全棧開發流程, 包括node.js的接口搭建, vue前端項目的構建, element-ui視圖的構建. 一套應有盡有的課程!課程目錄:1、Vue全棧-最終成果

(轉) shiro框架詳解04-shiro認證

software protected .get 打開 net 文件的 apach stc cdc http://blog.csdn.net/facekbook/article/details/54906635 shiro認證 本文介紹shiro的認證功能 認證流程

(轉)shiro框架詳解05-shiro授權

roles ktr ase sub turn stp exc protected user http://blog.csdn.net/facekbook/article/details/54910606 本文介紹 授權流程 授權方式 授權測試 自定義授權rea

Apache Shiro框架理論介紹

lms 權限系統 再次 防止 分享圖片 從數據 http 取數 gets Apache Shiro權限管理框架介紹 Apache Shiro的官網地址如下: http://shiro.apache.org/ Apache Shiro是一個簡單易用且強大而靈活的開源Jav

Shiro安全框架四篇| Shiro自定義Realm進行認證授權

  SHiro自定義Realm 首先在resource下新建user.ini 1[users] 2jiuyue=12345,admin 3[roles] 4admin=user:delete,user:update 然後測試類下新建IniRealmTest測試類,跟前面不

淺析shiro框架認證授權

shiro安全框架 1.1.Shiro 概述 Shiro是apache旗下一個開源安全框架,它將軟體系統的安全認證相關的功能抽取出來,實現使用者身份認證,許可權授權、加密、會話管理等功能,組成了一個通用的安全認證框架,使用shiro就可以非常快速的完成認證、授權

BOS物流十一

src fun 全局異常 全局 strong jsp頁面 權限控制 運行 spring 教學計劃 1、在realm中進行授權 2、使用shiro的方法註解方式權限控制 a. 在spring文件中配置開啟shiro註解支持 b. 在Action方法上使用註解 3、使用s

BOS物流十一(補充)

我們 jsp頁面 UNC fun http 刪除 頁面 修改 升級 上節課我們在添加權限時,把選擇父功能點做成這種效果,不太好,我們進行升級優化。 1.我們對jsp頁面進行修改,主要是改了樣式。 2.重新編寫我們dao層的代碼 3.在我們查看父項的時候自動查找子項,我

bos第一(maven、遠程部署、svn、easyui的使用。)

features 項目代碼 右鍵 load 集成 node 代碼 並發 元素 BOS 項目第一天 環境搭建 1. 項目分析 1.1. 產品和項目區別? 產品 先投資 ,做出產品, 再去銷售 (QQ、 360 ) 項目 投標 ,分為甲方 (項目應用方)和乙方 (