這篇文章主要介紹“spring整合shiro的方法”�����,在日常操作中,相信很多人在spring整合shiro的方法問題上存在疑惑���,小編查閱了各式資料���,整理出簡(jiǎn)單好用的操作方法,希望對(duì)大家解答”spring整合shiro的方法”的疑惑有所幫助�����!接下來,請(qǐng)跟著小編一起來學(xué)習(xí)吧���!
成都一家集口碑和實(shí)力的網(wǎng)站建設(shè)服務(wù)商�����,擁有專業(yè)的企業(yè)建站團(tuán)隊(duì)和靠譜的建站技術(shù)��,十載企業(yè)及個(gè)人網(wǎng)站建設(shè)經(jīng)驗(yàn) ,為成都數(shù)千家客戶提供網(wǎng)頁(yè)設(shè)計(jì)制作,網(wǎng)站開發(fā),企業(yè)網(wǎng)站制作建設(shè)等服務(wù),包括成都營(yíng)銷型網(wǎng)站建設(shè)���,成都品牌網(wǎng)站建設(shè)����,同時(shí)也為不同行業(yè)的客戶提供成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)的服務(wù),包括成都電商型網(wǎng)站制作建設(shè),裝修行業(yè)網(wǎng)站制作建設(shè)����,傳統(tǒng)機(jī)械行業(yè)網(wǎng)站建設(shè),傳統(tǒng)農(nóng)業(yè)行業(yè)網(wǎng)站制作建設(shè)。在成都做網(wǎng)站,選網(wǎng)站制作建設(shè)服務(wù)商就選創(chuàng)新互聯(lián)建站���。
* principal : 主角
* credentials : 證書
ps : 整合過程中有大量的配置,我直接貼代碼說明
一:配置
(一)在發(fā)動(dòng)機(jī)(web.xml)中配置過濾器
shiroFilter
org.springframework.web.filter.DelegatingFilterProxy
shiroFilter
/*
見名知意,這是一個(gè)可以代理filter的代理類(怎么有種念繞口令的感覺?)
它代理一個(gè)實(shí)現(xiàn)了Filter接口的,由spring管理的bean,在init-param中聲明目標(biāo)類的名稱,描述目標(biāo)類在spiring上下文中的名字
通常我們直接指定filter-name來告訴spring,就可以直接指定到 spring context 中的bean了
(二)applicationContext.xml
1.配置shiroFilter
2.配置過濾器鏈(url的權(quán)限控制的規(guī)則)
| 過濾器簡(jiǎn)稱 | 功能 | 對(duì)應(yīng)的java類 | | anon | 未認(rèn)證可以訪問 | org.apache.shiro.web.filter.authc.AnonymousFilter |
| authc | 認(rèn)證后可以訪問 | org.apache.shiro.web.filter.authc.FormAuthenticationFilter |
| perms | 需要特定權(quán)限才能訪問 | org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter |
| roles | 需要特定角色才能訪問 | org.apache.shiro.web.filter.authz.RolesAuthorizationFilter |
| user | 需要特定用戶才能訪問 | org.apache.shiro.web.filter.authc.UserFilter |
3.shiroFilter中還需要一個(gè)securityManager
4.信息后處理器
5.代碼
/login.html* = anon
/user_login.action* = anon
/validatecode.jsp = anon
/css/** = anon
/js/** = anon
/images/** = anon
/** = authc
二:粗粒度的認(rèn)證和授權(quán)
Subject subject = SecurityUtils.getSubject();
AuthenticationToken token = new UsernamePasswordToken(model.getUsername(), model.getPassword());
subject.login(token);
(一)認(rèn)證
1.執(zhí)行過程(這個(gè)過程有點(diǎn)復(fù)雜,需要點(diǎn)耐心)
當(dāng)我們執(zhí)行subject.login(token),Subject是一個(gè)接口,真實(shí)調(diào)用的是它的實(shí)現(xiàn)類DelegatingSubject的login(token)方法,這個(gè)方法內(nèi)部會(huì)執(zhí)行Subject subject = securityManager.login(this, token);可以看到token已經(jīng)傳遞給securityManager了
安全管理器SecurityManager也是一個(gè)接口,真實(shí)調(diào)用的是它的實(shí)現(xiàn)類DefaultSecurityManager的login(subject,token)方法,這個(gè)方法的內(nèi)部又調(diào)用其父類AuthenticatingSecurityManager的authenticate(token)方法,這個(gè)方法內(nèi)部又會(huì)調(diào)用authenticator.authenticate(token)
認(rèn)證器Authenticator也是接口,調(diào)用實(shí)現(xiàn)類AbstractAuthenticator的authenticate(token),這是一個(gè)抽象方法,調(diào)用他的子類ModularRealmAuthenticator的doAuthenticate(token)方法,內(nèi)部調(diào)用doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);,內(nèi)部調(diào)用realm.getAuthenticationInfo(token);
realm是接口,調(diào)用其實(shí)現(xiàn)類AuthenticatingRealm的getAuthenticationInfo(token),在這個(gè)方法中會(huì)調(diào)用一個(gè)抽象方法doGetAuthenticationInfo(token),這時(shí)候就可以調(diào)用我們自定義的實(shí)現(xiàn)類myRealm中的getAuthenticationInfo(token)方法了
我們發(fā)現(xiàn)經(jīng)過一系列的傳遞最后我們接收到的token就是我們自己創(chuàng)建的UsernamePasswordToken,大膽的強(qiáng)轉(zhuǎn)不要怕,在這個(gè)token中,我們可以重新拿到我們的用戶名和密碼,通過用戶名去數(shù)據(jù)庫(kù)中查詢當(dāng)前用戶是否存在,如果不存在則返回null,如果存在,則將用戶,用戶的密碼和自定義realm的名字一同返回
后續(xù)代碼雖然也很復(fù)雜,但我實(shí)在是寫不動(dòng)了,其實(shí)也可以猜的到,因?yàn)閞ealm是shiro和數(shù)據(jù)庫(kù)之間的橋梁,它并不做判定,所以當(dāng)我們把用戶密碼返回后,securityManager會(huì)將我們返回的密碼和用戶輸入的密碼進(jìn)行比對(duì),從而做出判定
2.過程簡(jiǎn)述
將用戶名和密碼封裝成token,通過subject的login(token)方法傳給securityManager
securityManager調(diào)用realm通過用戶名查詢用戶是否存在,如果存在則將用戶密碼返回,如果不存在則返回null
securityManager將realm返回的用戶密碼和用戶實(shí)際的密碼進(jìn)行比對(duì)
3.MyRealm代碼
@Component
public class CustomRealm extends AuthorizingRealm{
@Autowired
private UserService userService;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
return null;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
User user = userService.findByUserName(usernamePasswordToken.getUsername());
if(user==null) {
return null;
}else {
return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
}
}
}(二):授權(quán)
和認(rèn)證有一些區(qū)別,都需要返回信息
實(shí)現(xiàn)也很簡(jiǎn)單,就是分別查出用戶的角色也權(quán)限,分別添加到信息對(duì)象里就好
直接上代碼
@Component
public class CustomRealm extends AuthorizingRealm{
@Autowired
private UserService userService;
@Autowired
private RoleService roleService;
@Autowired
private PermissionService permissionService;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
Subject subject = SecurityUtils.getSubject();
User user = (User) subject.getPrincipal();
List roles = roleService.findByUserId(user.getId());
for (Role role : roles) {
authorizationInfo.addRole(role.getKeyword());
}
List permissions = permissionService.findByUserId(user.getId());
for (Permission permission : permissions) {
authorizationInfo.addStringPermission(permission.getKeyword());
}
return authorizationInfo;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
User user = userService.findByUserName(usernamePasswordToken.getUsername());
if(user==null) {
return null;
}else {
return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
}
}
}三:細(xì)粒度
注意:這里的配置是spring aop的傳統(tǒng)配置,需要注意一下實(shí)現(xiàn)原理,通常不做特殊處理的時(shí)候,使用的是JDK動(dòng)態(tài)代理,這是一個(gè)基于接口的代理方式,這里我們需要使用cglib代理(不同代理方式對(duì)注解的讀取情況,詳見代理,注解,接口和實(shí)現(xiàn)類的小測(cè)驗(yàn))
同時(shí)需要修改事務(wù)管理的代理模式為cglib
當(dāng)然了,如果直接將注解加在接口上,是用jdk動(dòng)態(tài)代理則完全沒有問題
| 注解 | 解釋 | | @RequiresAuthentication | 驗(yàn)證用戶是否登錄 |
| @RequiresUser | 驗(yàn)證用戶是否被記憶,user有兩種含義,一種是成功登錄的(subject.isAuthenticated()==true),另一種是被記憶(subject.isRemembered()==true) |
| @RequiresGuest | 驗(yàn)證是否是一個(gè)guest的請(qǐng)求,與@RequiresUser完全相反,換言之RequiresUser==!RequiresGuest,此時(shí),subject.getPrincipal()==null |
| @RequiresRoles | 如@RequiresRoles("aRoleName"),表示如果subject中有aRoleName角色才可以執(zhí)行次方法,如果沒有,則會(huì)拋出一個(gè)異常AuthorizationException |
| @RequiresPermissions | 如@RequiresPermissions("file:read","write:a.txt"),要求subject中必須有file:read和write:a.txt才可以執(zhí)行此方法,否則拋出異常AuthorizationException |
到此,關(guān)于“spring整合shiro的方法”的學(xué)習(xí)就結(jié)束了�����,希望能夠解決大家的疑惑�。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí),快去試試吧�!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí),請(qǐng)繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站���,小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章��!
網(wǎng)頁(yè)標(biāo)題:spring整合shiro的方法
文章位置:
http://weahome.cn/article/ighcep.html
重慶分公司
重慶分公司
