2. 程式人生 > >Spring整合shiro框架來進行驗證登入並且給使用者授權

Spring整合shiro框架來進行驗證登入並且給使用者授權

阿新 發佈:2018-12-10

使用shiro驗證登入的流程主要就是,現在配置檔案配置好那些過濾器,然後在controller驗證登入的方法中獲取到使用者名稱密碼,把它交給shiro提供的物件 AuthenticationToken,然後呼叫它的subject.login(token); 然後跳轉到realm方法當中,然後在這個類當中去從資料庫獲取使用者名稱密碼,交給shiro進行比對,如果丟擲異常就說明沒有認證成功,沒拋異常說明認證成功,所以在controller方法當中進行trychach來判斷它是否認證成功跳轉到相應的頁面

引入jar包

<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-all</artifactId>
            <version>1.2.2</version>
        </dependency>

在web.xml中配置spring框架提供的用於整合shiro框架的過濾器 ,切記要把shiro的過濾器放到最上面,因為誰在最上面誰就最先載入

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" version="2.5">
  <display-name>bos-web</display-name>
  <welcome-file-list>
    <welcome-file>index.html</welcome-file>
    <welcome-file>index.htm</welcome-file>
    <welcome-file>index.jsp</welcome-file>
    <welcome-file>default.html</welcome-file>
    <welcome-file>default.htm</welcome-file>
    <welcome-file>default.jsp</welcome-file>
  </welcome-file-list>
  
  <!-- 配置spring框架提供的用於整合shiro框架的過濾器 -->
  <filter>
      <filter-name>shiroFilter</filter-name>
      <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
      <filter-name>shiroFilter</filter-name>
      <url-pattern>/*</url-pattern>
  </filter-mapping>

這時候啟動tomcat伺服器,丟擲異常:spring工廠中不存在一個名稱為“shiroFilter”的bean物件,所以得在spring工廠裡注入一個同名的物件

在spring配置檔案中配置bean,id為shiroFilter

     <!-- 配置shiro框架的過濾器工廠物件 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 注入安全管理器物件 -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 注入相關頁面訪問URL -->
        <property name="loginUrl" value="/login.jsp"/>    //登入頁面
        <property name="successUrl" value="/index.jsp"/>   //登入成功後跳的頁面
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>   //許可權不足跳的頁面
        <!--注入URL攔截規則 -->
        <property name="filterChainDefinitions">
            <value>
                /css/** = anon                    //anno代表的是匿名過濾器,就是不登入也可以訪問的頁面,**代表的是萬用字元
                /js/** = anon
                /images/** = anon
                /validatecode.jsp* = anon
                /login.jsp = anon
                /userAction_login.action = anon              //把登入訪問後臺的方法也過濾掉
                /page_base_staff.action = perms["staff-list"]      //perms這個過濾器代表的是是否具有引號裡的那個許可權,有許可權才能訪問

                                                                                             //引號裡面的東西是個許可權名字可以隨便寫
                /* = authc                       //authc代表的是有沒有登入,沒有登入就不讓訪問,就會跳登入頁面
            </value>
        </property>
    </bean>
    
    <!-- 註冊安全管理器物件 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="bosRealm"/>
    </bean>
    
    <!-- 註冊realm -->
    <bean id="bosRealm" class="com.itheima.bos.realm.BOSRealm"></bean>

後臺程式碼,我這是用的struts的方式所有沒有那些springmvc的註解,如果你們用的springmvc的話自己稍微加修改就行了,主要是看邏輯

     /**
     * 使用者登入,使用shiro框架提供的方式進行認證操作
     */
    public String login(){
        //從Session中獲取生成的驗證碼
        String validatecode = (String) ServletActionContext.getRequest().getSession().getAttribute("key");
        //校驗驗證碼是否輸入正確
        if(StringUtils.isNotBlank(checkcode) && checkcode.equals(validatecode)){
            //使用shiro框架提供的方式進行認證操作
            Subject subject = SecurityUtils.getSubject();//獲得當前使用者物件,狀態為“未認證”
            AuthenticationToken token = new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));//建立使用者名稱密碼令牌物件,這個方法裡的倆引數就是前臺傳的使用者名稱密碼,用springmvc的,用你們的方式獲取使用者名稱密碼就行.
            try{
                subject.login(token);       //這就是讓shiro進行驗證是否登入成功,它沒有返回值,所以用trycatch,拋異常就登入失敗,沒拋異常                                                          //就登入成功,這句話會跳轉到自己寫的realm類當中驗證是否登入成功
            }catch(Exception e){
                e.printStackTrace();
                return LOGIN;                 //沒登陸成功跳轉到登入頁面
            }
            User user = (User) subject.getPrincipal();            //登入成功後取出user物件存入session當中.
            ServletActionContext.getRequest().getSession().setAttribute("loginUser", user);
            return HOME;                                             //跳轉到主頁面
        }else{
            //輸入的驗證碼錯誤,設定提示資訊,跳轉到登入頁面
            this.addActionError("輸入的驗證碼錯誤!");
            return LOGIN;
        }
    }

 realm類, 就是從登入方法的這句程式碼跳進來進行驗證是否登入成功subject.login(token);

在這裡面注入dao層介面進行判斷是否與登入頁面輸入的賬號密碼一致

package com.itheima.bos.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import com.itheima.bos.dao.IUserDao;
import com.itheima.bos.domain.User;

public class BOSRealm extends AuthorizingRealm{
    @Autowired
    private IUserDao userDao;
    
    //認證方法
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("自定義的realm中認證方法執行了。。。。");
        UsernamePasswordToken passwordToken = (UsernamePasswordToken)token;//轉成一個shiro提供的使用者類
        //獲得頁面輸入的使用者名稱
        String username = passwordToken.getUsername();
        //根據使用者名稱查詢資料庫中的密碼
        User user = userDao.findUserByUsername(username);   //從資料庫進行查詢使用者是否存在
        if(user == null){
            //頁面輸入的使用者名稱不存在
            return null;
        }
        //簡單認證資訊物件
        AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
        //框架負責比對資料庫中的密碼和頁面輸入的密碼是否一致,由shiro進行判斷密碼是否一致
        return info;
    }

    //授權方法   這個方法呼叫的時機是在spring配置檔案中,有的頁面給它加了相應的許可權,當你訪問這個頁面的時候它就會呼叫這個方//法來驗證你當前使用者是否有相應的許可權
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

         SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();  
        //為使用者授權  我這寫的是硬編碼,可以改成從資料庫查詢當前使用者有啥許可權,然後新增進來
        info.addStringPermission("staff-list");
        return info ;
    }
}

相關推薦

Spring整合shiro框架進行驗證登入並且使用者授權

使用shiro驗證登入的流程主要就是,現在配置檔案配置好那些過濾器,然後在controller驗證登入的方法中獲取到使用者名稱密碼,把它交給shiro提供的物件 AuthenticationToken,然後呼叫它的subject.login(token); 然後跳轉到realm方法當中,然

springboot-整合shiro和vue的驗證登入和許可權

springboot-整合shiro和vue的驗證登入和許可權 文章目錄 springboot-整合shiro和vue的驗證登入和許可權 1.配置 1.1資料表 1.2工程說明: 1.3springboot

String整合shiro框架進行認證登入,使用@Autowired時,發現service服務無法再自定義的realm中進行注入

這個問題一般是因為shiro屬於fillter級別的認證,在servlet之前就已經執行了,而這個時候servlet的內容還沒有執行,所以無法進行主動的注入。需要在配置的web.xml檔案中將sprin

spring整合shiro實現登入認證自定義驗證功能(認證採用國密SM4演算法)

        公司在建專案採用的開發框架為spring+springMvc+hibernate,安全框架採用的是shiro,安全認證沿用了shiro自帶的HashedCredentialsMatcher,現客戶(國企)要求使用者密碼必須採用國密SM4演算法進行加密,因此需

Spring整合Struts2框架的第一種方式(Action由Struts2框架創建)。在我的上一篇博文中介紹的通過web工廠的方式獲取servcie的方法因為太麻煩,所以開發的時候不會使用。

rac println 需要 如果 value const tps http 建立 1. spring整合struts的基本操作見我的上一篇博文:https://www.cnblogs.com/wyhluckdog/p/10140588.html,這裏面將spring與st

Springboot2.0整合Shiro框架系列-簡單登入認證(一)

Shiro簡介 Apache Shiro 是 Java 的一個安全框架。Shiro 可以非常容易的開發出足夠好的應用,其不僅可以用在 JavaSE 環境,也可以用在JavaEE 環境。Shiro 可以幫助我們完成,認證、授權、加密、會話管理、與Web整合、快

Spring整合JUnit框架進行單元測試程式碼使用詳解

一、Spring提供的JUnit框架擴充套件:    1. AbstractSpringContextTests:spring中使用spring上下文測試的Junit擴充套件類,我們一般不會使用這個類來進行單元測試,它是spring內部設計使用到的類    2. Abs

web項目整合Shiro框架

dtd con ron package ini 認證 utf ide -type 1、修改pom.xml文件   <dependency> <groupId>org.apache.shiro</groupId>

spring整合shiro

返回 官方文檔 用戶 用戶訪問 framework net att work tar Spring整合shiro 一、 配置web.xml <!-- 配置Shiro過濾器,先讓Shiro過濾系統接收到的請求 --> <!-- 這裏filter-name必須

maven項目中Spring整合Shiro配置文件(示例)

-a filter service 管理 .org true 緩存 cti text <?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/sc

Ehcache緩存框架Shiro 框架 出現出現驗證錯誤 && Tomcat 緩存清除的問題

輸入 後臺 一起 logs 並且 我想 。。 ehcache 清除 當一個項目使用久了以後就會出現各種問題,下面是我遇到的一個權限驗證錯誤的問題 我的項目是 Ehcache 結合 Shiro 一起使用的,項目用用久了出現 Token驗證錯誤,Co

【SSH框架】系列之 Spring 整合 Hibernate 框架

操作 enter pda 就是 負責 spring配置 1.0 port -s 1、SSH 三大框架整合原理 Spring 與 Struts2 的整合就是將 Action 對象交給 Spring 容器來負責創建。 Spring 與 Hibernate 的整合就是將

Spring整合Quartz框架實現定時任務跑批(Maven完整版)

觸發器 delay cut www 方法 lin job 定時任務 任務調度 Quartz 介紹Quartz is a full-featured, open source job scheduling service that can be integrated with

Spring整合ORM框架 ----- Spring-data-jpa

大致整理一個提綱:   1、Spring-data-jpa的基本介紹;   2、和Spring整合;   3、基本的使用方式;   4、複雜查詢,包括多表關聯,分頁,排序等; 現在開始:   1、Spring-data-jpa的基本介紹:JPA誕生的緣由是為了整合第三方ORM

Spring整合Jpa框架

package site.lx.dnf.entity; import java.io.Serializable; import java.util.HashSet; import java.util.Set; import javax.persistence.Column; import

Spring整合Quartz框架實現分散式定時任務

1、叢集使用定時任務的問題:    目前大部分在叢集中處理定時任務的方式不是正真的分散式處理方式,而是一種偽分散式,這種方式存在一個明顯的缺陷就是當叢集中機器宕機, 那麼整個定時任務就會掛掉或者不能一次性跑完,會對業務產生嚴重的影響。   而且在叢集環境中,

Idea釋出Axis2服務端、建立WebService客戶端和spring整合Axis2框架釋出服務?

一、使用預設的WEBSERVICE服務 1 新建專案 2 選擇 java->Java EE(由J2EE 8改為J2EE 7的版本,解決建立WEBSERVICE專案無WEB.XML的問題) 3 建立WEBSERVICE服務端 4 專案結構如下 5 生成wsd

Spring整合Shiro及簡單實用

匯入依賴 <dependency> <groupId>org.springframework</groupId> <artifactId>spring-context</artifact

SpringBoot 整合 Shiro框架 簡單配置

SpringBoot整合Shiro框架 pom.xml新增 <!-- shiro框架-->         <dependency>                <

Spring整合Shiro做許可權控制模組詳細案例分析

1.引入Shiro的Maven依賴 <!-- Spring 整合Shiro需要的依賴 --> <dependency> <groupId>org.apache.shiro</groupId> <artifac