疯狂java


您现在的位置: 疯狂软件 >> 新闻资讯 >> 正文

java开发之shiro


 

 
在我们开发项目的过程中,一般对于请求会做过滤,有些页面或者数据在没有权限的时候是不允许随意访问的。以前呢,我的理解是会用Filter来对请求做过滤,然后做权限检查。然而,在开发项目的时候,发现dalao做好了这个用户登录的模块,我却找不到Filter。最后定为到shiro,说实话看着挺懵,但是慢慢研究发现确实好用。
 
Shiro,可以简单理解为,把系统的权限管理都交给他来处理。管理过程我们就可以忽略的,权限验证我们重写它定义好的回调方法写下怎么算验证通过,通过这种方式做权限验证。 
 
现在只简单聊聊怎么使用,因为深挖是有很多内容的,后面有时间再了解。 
1、在maven中依赖shiro
 
<!-- shiro相关 -->
    <dependency>  
        <groupId>junit</groupId>  
        <artifactId>junit</artifactId>  
        <version>4.9</version>  
    </dependency>  
    <dependency>  
        <groupId>commons-logging</groupId>  
        <artifactId>commons-logging</artifactId>  
        <version>1.1.3</version>  
    </dependency>  
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-core</artifactId>
      <version>${shiro.version}</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-web</artifactId>
      <version>${shiro.version}</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-spring</artifactId>
      <version>${shiro.version}</version>
    </dependency> 
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-ehcache</artifactId>
      <version>${shiro.version}</version>
    </dependency>
1
 
很明显有个shiro核心包,shiro-spring对接包,shiro-ehcache缓存包
 
2.然后在src/main/resource下提供spring-shiro.xml
 
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:mvc="http://www.springframework.org/schema/mvc"
    xmlns:context="http://www.springframework.org/schema/context"
    xmlns:aop="http://www.springframework.org/schema/aop" xmlns:tx="http://www.springframework.org/schema/tx"
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
        http://www.springframework.org/schema/beans/spring-beans.xsd 
        http://www.springframework.org/schema/mvc 
        http://www.springframework.org/schema/mvc/spring-mvc.xsd 
        http://www.springframework.org/schema/context 
        http://www.springframework.org/schema/context/spring-context.xsd 
        http://www.springframework.org/schema/aop 
        http://www.springframework.org/schema/aop/spring-aop.xsd 
        http://www.springframework.org/schema/tx 
        http://www.springframework.org/schema/tx/spring-tx.xsd ">
 
 
 
    <!-- 配置shiroFilter,它是一个工厂,可以生产很多过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 安全管理器 -->
        <property name="securityManager" ref="securityManager"></property>
        <!-- loginUrl认证提交地址,如果没有认证将会请求此地址认证,请求此地址将由authc进行表单认证,如果不配置loginUrl,默认使用/login.jsp,
            强调:当请求/login.action时,由anthc拦截后并且进行认证,login.action必须要提交账号和密码authc方可认证 -->
        <property name="loginUrl" value="/login" />
        <!-- 认证成功后统一跳转到index.jsp,建议不配置,shiro认证成功后自动到上一个路径 -->
        <!--<property name="successUrl" value="/pages/home.jsp"></property>-->
        <!-- 没有权限跳转的地址 -->  
        <property name="unauthorizedUrl" value="/refuse.jsp" /> 
 
         <!-- 自定义filter配置,将自定义 的FormAuthenticationFilter注入shiroFilter中 -->  
      <!--  <property name="filters">  
            <map>  
                <entry key="authc" value-ref="formAuthenticationFilter" />  
            </map>  
        </property>  -->  
 
        <!-- 过虑器链定义,从上向下顺序执行,最上边配置anon匿名过虑器一般将/** = authc放在最下边 -->
        <property name="filterChainDefinitions">
            <value>
                <!-- 对静态资源设置匿名访问 -->
                /myres/** = anon
                <!-- 登陆提交 -->
                /login = anon
                <!-- 退出拦截,请求logout.mv执行退出操作 -->
                /logout = logout
 
                <!-- /** = authc 所有url都必须认证通过才可以访问 -->
                /** = authc
            </value>
        </property>
    </bean>
 
    <!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!--加载realm-->
        <property name="realm" ref="authRealm"></property>
        <!--添加缓存管理器-->
        <property name="cacheManager" ref="cacheManager"></property>
        <!--会话管理器-->
        <!--<property name="sessionManager" ref="sessionManager"></property>-->
    </bean>
 
    <!--自定义realm-->
    <bean id="authRealm" class="com.vzr.VShow.web.controller.AuthRealm">
        <!-- 将凭证匹配器设置到realm中,realm按照凭证匹配器的要求进行散列 realm从数据库查询md5加密后的密码,需要将明文按照md5加密,将md5的凭证匹配器credentialsMatcher注入给realm -->
        <!--<property name="credentialsMatcher" ref="credentialsMatcher"></property>-->
    </bean>
 
    <!--凭证匹配器-->
    <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
        <!--指定散列算法为MD5-->
        <property name="hashAlgorithmName" value="md5"></property>
    </bean>
 
    <!--缓存管理器-->
    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:shiro-ehcache.xml"></property>
    </bean>
 
    <!--会话管理器-->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <!--session的失效时长,单位为毫秒-->
        <property name="globalSessionTimeout" value="1800000"></property>
        <!--删除失效的session-->
        <property name="deleteInvalidSessions" value="true"></property>
        <!--更改默认的JSESSIONID标识为sid,避免shiro的session和普通的session冲突-->
        <property name="sessionIdCookie.name" value="sid"></property>
    </bean>
</beans>
1
 
这里面需要配置的一些内容是: 
1> loginUrl,当发现没有登录的时候会跳转到这里,比如我配置了/login,到时候就会跳转ip:port/login 
2> unauthorizedUrl类似 
3> 然后比较重要的是filterChainDefinitions,从字面上看,它就是一堆filter,形成了链条,依次做过滤。它定义了过滤的顺序和规则,我们简单用下,/myres/** = anon代表这些资源是可以随意访问的,/logout = logout绑定了/logout为退出操作,此时会让session失效, /** = authc表示其他都需要权限过滤 
4>authRealm就是前面所说需要重写shiro的回调方法的类,告诉shiro怎么算验证通过 
5>cacheManager指定缓存类即配置,会用到shiro-ehcache.xml。
 
3.同样添加shiro-ehcache.xml
 
<?xml version="1.1" encoding="UTF-8"?>
<ehcache name="shirocache">
 
    <diskStore path="java.io.tmpdir"/>
 
     <defaultCache 
        maxElementsInMemory="2000"
        eternal="true"
        timeToIdleSeconds="120"
        timeToLiveSeconds="120"
        overflowToDisk="true"/>
 
 
    <cache name="passwordRetryCache"
           maxElementsInMemory="2000"
           eternal="false"
           timeToIdleSeconds="300"
           timeToLiveSeconds="0"
           overflowToDisk="false">
    </cache>
 
    <cache name="authorizationCache"
           maxElementsInMemory="2000"
           eternal="false"
           timeToIdleSeconds="1800"
           timeToLiveSeconds="0"
           overflowToDisk="false">
    </cache>
 
    <cache name="authenticationCache"
           maxElementsInMemory="2000"
           eternal="false"
           timeToIdleSeconds="1800"
           timeToLiveSeconds="0"
           overflowToDisk="false">
    </cache>
 
    <cache name="shiro-activeSessionCache"
           maxElementsInMemory="2000"
           eternal="false"
           timeToIdleSeconds="1800"
           timeToLiveSeconds="0"
           overflowToDisk="false">
    </cache>
</ehcache>
 
从字面上也不难猜出这些配置的作用。
 
4.让配置生效,同样也是通过定义spring的bean,方式是一样的。 
web.xml的这个配置会让其生效
 
<context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
            classpath:spring-*.xml;
        </param-value>
    </context-param>
 
5.使用方法。由于看起来采用的是托管方式,所以呢,我们在页面登录的时候,同时提交给shiro做一次登录。
 
// 调用工具类得到与当前线程绑定的用户(模拟用户)
        Subject subject = SecurityUtils.getSubject();
 
        // 提供token令牌进行认证
        UsernamePasswordToken token = new UsernamePasswordToken(company.getAccount(),
                MD5Tools.MD5(company.getPassword()));
        subject.login(token);
 
并把登录信息保存到shiro,也就是这个token,当用户发起一个请求时,通过前面说的filter链条开始过滤,如果声明为anon的资源直接放行不管,如果声明为authc的资源,shiro就会做登录验证,依据就是这个token。如果声明为logout的资源,那shiro就会释放这个token,这个时候再请求资源时会被认定为未登录状态。同时shiro对会话还有管理,比如一段时间后失效等。
 
6.shiro通过我们自定义的AuthRealm完成验证。简单点用
 
package com.vzr.VShow.web.controller;
 
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
 
import com.vzr.VShow.model.Company;
import com.vzr.VShow.service.CompanyService;
 
 
/**
 * 
 * 自定义realm
 * @author Administrator
 *
 */
public class AuthRealm extends AuthorizingRealm {
 
    @Autowired
    private CompanyService companyService;
 
    //身份认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取token中的账号
        String account = (String) token.getPrincipal();
        String password = new String((char[])token.getCredentials()); //得到密码  
 
        //根据账号查询用户
        Company company = companyService.findCompanyByAccount(account);
 
        if(company == null) {
            throw new UnknownAccountException(); //如果用户名错误 
        }
        if(!company.getPassword().equals(password)) {  
            throw new IncorrectCredentialsException(); //如果密码错误  
        }  
        //如果身份认证验证成功,返回一个AuthenticationInfo实现;  
        return new SimpleAuthenticationInfo(company, password, getName());
    }
 
    //授权认证
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
 
        return null;
    }
 
}
 
到此,简单的使用shiro做登录验证就完成了。