源码:https://github.com/huangshengz/myJavaDemo
本例子参考:https://www.cnblogs.com/HowieYuan/p/9259638.html
本例子验证主要有两个类,一个是自定义的拦截类ShiroConfig,在这里我们自定义了很多需要的操作。
例如:角色权限路径,登录路径等,一些具体的含义如下:
* anon:无参,开放权限,可以理解为匿名用户或游客
* logout:无参,注销,执行后会直接跳转到shiroFilterFactoryBean.setLoginUrl(); 设置的 url
* authc:无参,需要认证
* authcBasic:无参,表示 httpBasic 认证
* user:无参,表示必须存在用户,当登入操作时不做检查
* ssl:无参,表示安全的URL请求,协议为 https
* perms[user]:参数可写多个,表示需要某个或某些权限才能通过,多个参数时写 perms["user, admin"],当有多个参数时必须每个参数都通过才算通过
* roles[admin]:参数可写多个,表示是某个或某些角色才能通过,多个参数时写 roles["admin,user"],当有多个参数时必须每个参数都通过才算通过
* rest[user]:根据请求的方法,相当于 perms[user:method],其中 method 为 post,get,delete 等
* port[8081]:当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString 其中 schmal 是协议 http 或 https 等等,
* serverName 是你访问的 Host,8081 是 Port 端口,queryString 是你访问的 URL 里的 ? 后面的参数
第二个类是CustomRealm。它继承了AuthorizingRealm类并且重写了登录验证和权限验证。在里面我们可以自定义我们的业务逻辑。这个类非常重要,
因为在拦截类ShiroConfig里,securityManager.setRealm(),就是把这个类注入进去,使得拦截能知道用户信息。
这个类doGetAuthenticationInfo 和 doGetAuthorizationInfo一定要区分明白,第一个是身份认证,例如登录时就是它,而第二个是角色权限认证,
在里面我们设置了角色权限。
在登录方法里,很明确的把用户信息放入到了UsernamePasswordToken里,而doGetAuthenticationInfo进行身份认证时,用户信息就从UsernamePasswordToken取。
最后说一下整个流程:
1. 项目启动时,Shiro拦截器工厂类ShiroConfig已经成功的注入。
2. 然后我们登录的时候,跳转到login方法里,数据会保存到UsernamePasswordToken里面,主要是用户名和用户密码。
3. 然后就走到了CustomRealm类了的身份证方法doGetAuthenticationInfo,在这里,我们根据用户名从数据库里拿到了用户密码
与登录密码做比较,然后判断密码是否正确,然后放行,到此用户登录成功。
4. 然后用户访问数据的时候,会调用CustomRealm的doGetAuthorizationInfo进行权限认证。