spring整合shiro的方法-大数据-互联网-天达云

spring整合shiro的方法
更新：HHH 时间：2023-1-7

这篇文章主要介绍“spring整合shiro的方法”，在日常操作中，相信很多人在spring整合shiro的方法问题上存在疑惑，小编查阅了各式资料，整理出简单好用的操作方法，希望对大家解答”spring整合shiro的方法”的疑惑有所帮助！接下来，请跟着小编一起来学习吧！

* principal : 主角
* credentials : 证书

ps : 整合过程中有大量的配置,我直接贴代码说明

一:配置

(一)在发动机`(web.xml)`中配置过滤器

shiro是权限控制是通过filter来实现的,所以我们配置一个过滤器

<filter>
	<filter-name>shiroFilter</filter-name>
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
	<filter-name>shiroFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

因为是和spring整合,所以我们需要一个类

见名知意,这是一个可以代理filter的代理类(怎么有种念绕口令的感觉?)
它代理一个实现了Filter接口的,由spring管理的bean,在init-param中声明目标类的名称,描述目标类在spiring上下文中的名字
通常我们直接指定filter-name来告诉spring,就可以直接指定到 spring context 中的bean了

(二)applicationContext.xml

1.配置`shiroFilter`

注意要和web.xml中发filter-name一致

2.配置过滤器链(url的权限控制的规则)

权限控制的规则

过滤器简称	功能	对应的java类
anon	未认证可以访问	org.apache.shiro.web.filter.authc.AnonymousFilter
authc	认证后可以访问	org.apache.shiro.web.filter.authc.FormAuthenticationFilter
perms	需要特定权限才能访问	org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
roles	需要特定角色才能访问	org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
user	需要特定用户才能访问	org.apache.shiro.web.filter.authc.UserFilter

3.shiroFilter中还需要一个securityManager

4.信息后处理器

5.代码

<!-- 配置subject的后台推手securityManager -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">			
	<property name="realm" ref="myRealm"></property>
</bean>

<!-- 配置拦截器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
	<!-- 安全管理器 -->
	<property name="securityManager" ref="securityManager"></property>
	<!-- 未认证,跳转到哪个界面 -->
	<property name="loginUrl" value="/login.html"></property>
	<!-- 认证成功后跳转到哪个界面 -->
	<property name="successUrl" value="/index.html"></property>
	<!-- 认证成功后,未授权,跳转到哪个界面 -->
	<property name="unauthorizedUrl" value="/unauthorized.html"></property>
	<!-- url控制过滤器链 -->
	<property name="filterChainDefinitions">
		<value>
			/login.html* = anon
			/user_login.action* = anon
			/validatecode.jsp = anon
			/css/** = anon
			/js/** = anon
			/images/** = anon
			/** = authc
		</value>
	</property>
</bean>

二:粗粒度的认证和授权

Subject subject = SecurityUtils.getSubject();
AuthenticationToken token = new UsernamePasswordToken(model.getUsername(), model.getPassword());
subject.login(token);

(一)认证

1.执行过程(这个过程有点复杂,需要点耐心)

当我们执行subject.login(token),Subject是一个接口,真实调用的是它的实现类DelegatingSubject的login(token)方法,这个方法内部会执行Subject subject = securityManager.login(this, token);可以看到token已经传递给securityManager了
安全管理器SecurityManager也是一个接口,真实调用的是它的实现类DefaultSecurityManager的login(subject,token)方法,这个方法的内部又调用其父类AuthenticatingSecurityManager的authenticate(token)方法,这个方法内部又会调用authenticator.authenticate(token)
认证器Authenticator也是接口,调用实现类AbstractAuthenticator的authenticate(token),这是一个抽象方法,调用他的子类ModularRealmAuthenticator的doAuthenticate(token)方法,内部调用doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);,内部调用realm.getAuthenticationInfo(token);
realm是接口,调用其实现类AuthenticatingRealm的getAuthenticationInfo(token),在这个方法中会调用一个抽象方法doGetAuthenticationInfo(token),这时候就可以调用我们自定义的实现类myRealm中的getAuthenticationInfo(token)方法了
我们发现经过一系列的传递最后我们接收到的token就是我们自己创建的UsernamePasswordToken,大胆的强转不要怕,在这个token中,我们可以重新拿到我们的用户名和密码,通过用户名去数据库中查询当前用户是否存在,如果不存在则返回null,如果存在,则将用户,用户的密码和自定义realm的名字一同返回
后续代码虽然也很复杂,但我实在是写不动了,其实也可以猜的到,因为realm是shiro和数据库之间的桥梁,它并不做判定,所以当我们把用户密码返回后,securityManager会将我们返回的密码和用户输入的密码进行比对,从而做出判定

2.过程简述

将用户名和密码封装成token,通过subject的login(token)方法传给securityManager
securityManager调用realm通过用户名查询用户是否存在,如果存在则将用户密码返回,如果不存在则返回null
securityManager将realm返回的用户密码和用户实际的密码进行比对

3.MyRealm代码

@Component
public class CustomRealm extends AuthorizingRealm{

	@Autowired
	private UserService userService;

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		return null;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
		User user = userService.findByUserName(usernamePasswordToken.getUsername());
		if(user==null) {
			return null;
		}else {
			return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
		}
	}
}

(二):授权

和认证有一些区别,都需要返回信息

认证返回的是认证信息authenticationInfo
授权当然是返回授权信息authorizationInfo

实现也很简单,就是分别查出用户的角色也权限,分别添加到信息对象里就好
直接上代码

@Component
public class CustomRealm extends AuthorizingRealm{

	@Autowired
	private UserService userService;
	
	@Autowired
	private RoleService roleService;
	
	@Autowired
	private PermissionService permissionService;
	
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
		Subject subject = SecurityUtils.getSubject();
		User user = (User) subject.getPrincipal();
		List<Role> roles = roleService.findByUserId(user.getId());
		for (Role role : roles) {
			authorizationInfo.addRole(role.getKeyword());
		}
		
		List<Permission> permissions = permissionService.findByUserId(user.getId());
		for (Permission permission : permissions) {
			authorizationInfo.addStringPermission(permission.getKeyword());
		}
		
		return authorizationInfo;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
		User user = userService.findByUserName(usernamePasswordToken.getUsername());
		if(user==null) {
			return null;
		}else {
			return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
		}
	}

}

三:细粒度

细粒度（方法）权限控制原因：自定义注解（加在方法上，在注解中描述需要权限信息），对目标业务对象创建代理对象，在代理方法中使用反射技术读取注解信息，获取需要权限，查询当前登录用户具有权限是否满足
applicationContext.xml

<!-- 后处理器 -->	
<bean class="org.apache.shiro.spring.LifecycleBeanPostProcessor" id="lifecycleBeanPostProcessor">

<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" 
		depends-on="lifecycleBeanPostProcessor">
	<property name="proxyTargetClass" value="true">
</bean>
	
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
	<property name="securityManager" ref="securityManager"></property>
</bean>

注意:这里的配置是spring aop的传统配置,需要注意一下实现原理,通常不做特殊处理的时候,使用的是JDK动态代理,这是一个基于接口的代理方式,这里我们需要使用cglib代理(不同代理方式对注解的读取情况,详见代理,注解,接口和实现类的小测验)
同时需要修改事务管理的代理模式为cglib
当然了,如果直接将注解加在接口上,是用jdk动态代理则完全没有问题

注解	解释
@RequiresAuthentication	验证用户是否登录
@RequiresUser	验证用户是否被记忆,user有两种含义,一种是成功登录的(`subject.isAuthenticated()==true`),另一种是被记忆(`subject.isRemembered()==true`)
@RequiresGuest	验证是否是一个guest的请求,与`@RequiresUser`完全相反,换言之`RequiresUser==!RequiresGuest`,此时,`subject.getPrincipal()==null`
@RequiresRoles	如`@RequiresRoles("aRoleName")`,表示如果subject中有aRoleName角色才可以执行次方法,如果没有,则会抛出一个异常`AuthorizationException`
@RequiresPermissions	如`@RequiresPermissions("file:read","write:a.txt")`,要求subject中必须有`file:read`和`write:a.txt`才可以执行此方法,否则抛出异常`AuthorizationException`

到此，关于“spring整合shiro的方法”的学习就结束了，希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习，快去试试吧！若想继续学习更多相关知识，请继续关注天达云网站，小编会继续努力为大家带来更多实用的文章！


返回大数据教程...

一:配置

(一)在发动机`(web.xml)`中配置过滤器

(二)applicationContext.xml

1.配置`shiroFilter`

2.配置过滤器链(url的权限控制的规则)

3.shiroFilter中还需要一个securityManager

4.信息后处理器

5.代码

二:粗粒度的认证和授权

(一)认证

1.执行过程(这个过程有点复杂,需要点耐心)

2.过程简述

3.MyRealm代码

(二):授权

三:细粒度

新手上路

产品管理

支付方式

关于我们

一:配置

(一)在发动机(web.xml)中配置过滤器

(二)applicationContext.xml

1.配置shiroFilter

2.配置过滤器链(url的权限控制的规则)

3.shiroFilter中还需要一个securityManager

4.信息后处理器

5.代码

二:粗粒度的认证和授权

(一)认证

1.执行过程(这个过程有点复杂,需要点耐心)

2.过程简述

3.MyRealm代码

(二):授权

三:细粒度

新手上路

产品管理

支付方式

关于我们

(一)在发动机`(web.xml)`中配置过滤器

1.配置`shiroFilter`