设为首页 收藏本站

运维网

 找回密码
 立即注册
查看: 1162|回复: 0

[经验分享] 基于spring框架的apache shiro简单集成

[复制链接]
wangluo010

尚未签到
发表于 2015-7-30 14:37:12 | 显示全部楼层 |阅读模式
  关于项目的安全保护,我一直想找一个简单配置就能达到目的的方法,自从接触了shiro,这个目标总算达成了,以下结合我使用shiro的经验,谈谈比较轻便地集成该功能。
  首先我们先了解一下shiro是什么。
  apache shiro 是一个功能强大和易于使用的Java安全框架,为开发人员提供一个直观而全面的的解决方案的认证,授权,加密,会话管理。
  其实按照我个人的理解,就是个过滤器,按照配置(或者注解)的规则进行权限验证。
  我的项目基于maven管理依赖jar包,首先把apache shiro相关需要用到的jar引入:





org.apache.shiro
shiro-web
1.2.1


org.apache.shiro
shiro-spring
1.2.1


org.apache.shiro
shiro-ehcache
1.2.1

  其中shiro-web和shiro-spring必须,如果要缓存权限的话,就引入shiro-ehcache,后边会详细说道shiro-ehcache的使用。
  看一下login.action里是如何实现用户登录写入的,获取用户表单信息以及查询数据库验证就不说了,直接上关键代码:




//验证用户信息后进行token写入,这里为了简单,我把用户的id和姓名作为token的username和password
UsernamePasswordToken token = new UsernamePasswordToken(m.getId()
.toString(), m.getUsername());
Subject subject1 = SecurityUtils.getSubject();
subject1.login(token);
subject1.getSession();

  
  既然是个过滤器,那我们就看一下这个过滤器的写法:



package com.airfey.tech.nuo.action.shiro.filter;
import java.io.IOException;
import java.security.Principal;
import javax.annotation.Resource;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import com.airfey.tech.nuo.common.security.MD5;
import com.airfey.tech.nuo.core.domain.Manager;
import com.airfey.tech.nuo.core.service.ManagerService;
public class shiroFilter implements Filter {
    //管理员用户service
@Resource
private ManagerService managerService;
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
Subject subjects = SecurityUtils.getSubject();
HttpServletRequest requestHttp = (HttpServletRequest) request;
HttpServletResponse responseHttp = (HttpServletResponse) response;
Principal principal = requestHttp.getUserPrincipal();
if (null != principal) {
            //principal.getName()里保存的是用户的id,就是上边登录处token里的信息
System.out.println(principal.getName());
Manager m = managerService.findOne(Long.parseLong(principal
.getName()));
if (null != m && 1 == m.getAudit()) {
UsernamePasswordToken token = new UsernamePasswordToken(
m.getId(), m.getId());//作为例子,这里我只是把用户id放进了token,你可以修改成其它复杂点的信息
Subject subject1 = SecurityUtils.getSubject();
subject1.login(token);
subject1.getSession();
} else {
if (subjects != null) {
subjects.logout();
}
}
}


chain.doFilter(requestHttp, responseHttp);
}
@Override
public void destroy() {
}
}
  至此,可以说登录和过滤器已经完成了。然后就进行web.xml和spring文件以及权限验证的实现。
  1、在web.xml里加入shiro的过滤器配置:




shiroFilter
org.springframework.web.filter.DelegatingFilterProxy


shiroFilter
/*

  此过滤器要位于所有过滤器的前面。
  2、权限验证代码实现,我们写一个realm类集成shiro的AuthorizingRealm



package com.airfey.tech.nuo.action.shiro.realm;
import javax.annotation.Resource;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.cache.Cache;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.SimplePrincipalCollection;
public class ShiroRealm extends AuthorizingRealm {
@Override
protected AuthorizationInfo doGetAuthorizationInfo(
PrincipalCollection principals) {
if (principals == null) {
throw new AuthorizationException(
"PrincipalCollection method argument cannot be null.");
}
String username = (String) getAvailablePrincipal(principals);
System.out.println("-------------------" + username);//输出的其实是用户id
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
// 增加默认角色
info.addRole("ROLE_USER");
        /*以下可以从数据库获取用户的角色以及权限信息,获取到的信息添加入info即可,具体获取数据库的代码我就省略了*/
// // 增加自定义角色
// if (null != userInfo.getRoleList()) {
// for (RoleInfo roleInfo : userInfo.getRoleList()) {
// if (null != roleInfo.getName()
// && !"".equals(roleInfo.getName())) {
// info.addRole(roleInfo.getName());
// }
// }
// }
// if (null != userInfo.getModuleInfo()) {
// for (ModuleInfo moduleInfo : userInfo.getModuleInfo()) {
// if (null != moduleInfo.getGuid()
// && !"".equals(moduleInfo.getGuid())) {
// info.addStringPermission(moduleInfo.getGuid());
// }
// }
// }
return info;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken authcToken) throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
String userName = token.getUsername();
if (userName != null && !"".equals(userName)) {
return new SimpleAuthenticationInfo(token.getPrincipal(),
token.getPassword(), token.getUsername());
}
return null;
}
/**
* 清空用户关联权限认证,待下次使用时重新加载。
*
* @param principal
*/
public void clearCachedAuthorizationInfo(String principal) {
SimplePrincipalCollection principals = new SimplePrincipalCollection(
principal, getName());
clearCachedAuthorizationInfo(principals);
}
/**
* 清空所有关联认证
*/
public void clearAllCachedAuthorizationInfo() {
Cache cache = getAuthorizationCache();
if (cache != null) {
for (Object key : cache.keys()) {
cache.remove(key);
}
}
}
}
  3、applicationContext.xml的配置 (这里只保留了shiro相关的信息)

















    /manage/admin.html = authc,perms[shiro_admin:view]
/manage/user.html=authc,perms[shiro_user:view]
/manage/login.do=anon
/manage/401.html=anon
                /manage/js/**=anon
                /manage/img/**=anon
                /manage/kindeditor/**=anon
/manage/**=authc,roles["ROLE_USER"]
/**=anon























  验证规则里如下让静态文件比如js img 目录配置上anon
  /manage/admin.html = authc,perms[shiro_admin:view]
  /manage/user.html=authc,perms[shiro_user:view]
  /manage/login.do=anon
  /manage/401.html=anon
  /manage/js/**=anon
  /manage/img/**=anon
  /manage/kindeditor/**=anon
  /manage/**=authc,roles["ROLE_USER"]
  /**=anon
  
  结束,收工。好久不写这么长的博文了,敲起来真费劲。原创文章,文中难免有遗漏或者错误之处,请指正。
  




作者:碧血黄沙

出处:http://www.iyunv.com/airfey/



本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利.  

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-92318-1-1.html 上篇帖子: Apache + Tomcat +mod_jk实现集群服务 下篇帖子: apache服务器本质
回复

使用道具 举报

返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服 E-mail:iyunvcom@gmail.com

本站由青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

豫ICP备20007574号-1 Copyright © 2012-2025

关于我们

发展历程

联系我们

关注我们

广告服务

广告案例

隐私条款

免责声明

用户登录

用户注册

版主守则

申请版主

手机版

金币获取

帮助中心

每日签到

Good Good

Study

Day Day

UP


客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表