在Web项目中使用shiro
1.先导入所需要的依赖包
2.【shiro-web】依赖库引用完成之后,需要修改web.xml配置文件
• 进行shiro整合一定要在web.xml配置文件中配置一个Shiro环境监听器
• 在任何一个shiro项目里面都睡存在有一个shiro.ini配置文件,需要在web.xml配置文件中为其追加一个配置的过滤器
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
version="4.0">
<listener><!--shiro环境监听器-->
<listener-class>
org.apache.shiro.web.env.EnvironmentLoaderListener
</listener-class>
</listener>
<filter><!--过滤shiro.ini配置文件-->
<filter-name>ShiroFilter</filter-name>
<filter-class>
org.apache.shiro.web.servlet.ShiroFilter
</filter-class>
<init-param>
<param-name>configPath</param-name>
<param-value>classpath:shiro.ini</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>ShiroFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
<dispatcher>INCLUDE</dispatcher>
<dispatcher>ERROR</dispatcher>
</filter-mapping>
</web-app>
3.src/main/resources/目录下的shiro.ini配置文件:ini文件中主要配置有四大类:main,users,roles,urls
● main:配置shiro对象,例如securityManager,Realm,authenticator,autchStrategy等等
● users:配置静态的用户信息,包含用户名,密码,角色,一个用户可以拥有多个角色。如:lee=hello,member,dept 其中lee为用户名,hello为密码,member和dept为角色
● roles:定义角色与权限的关联。如:member=member:add,member:list,member:edit 其中代表着member角色下的add,list和edit权限
● urls:配置主要在web应用中,格式为:url=拦截器[参数],拦截器[参数],...。如:/login.jsp=anon
4.自定义Realm:
● 自定义Realm一定要实现Realm接口并覆写其中的三个方法,例如以下代码
package com.yootk.shiro.realm;
import org.apache.shiro.authc.*;
import org.apache.shiro.realm.Realm;
public class MyselfDefaultRealm implements Realm {
private static int count = 0 ;
@Override
public String getName() { // 获取Realm的名称
return "my-happy-realm - " + count++;
}
@Override
public boolean supports(AuthenticationToken token) { // 判断当前的Token是否可以使用此Realm
return token instanceof UsernamePasswordToken; // 当前Realm只支持“UsernamePasswordToken”类型
}
@Override
public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String mid = (String) token.getPrincipal() ; // 获取用户名
String password = new String((char[]) token.getCredentials()) ; // 获取密码
if (!"lee".equals(mid)) { // 此时用户名不存在
throw new UnknownAccountException("【"+mid+"】该用户信息不存在,请确认输入的用户名!") ;
}
if (!"hello".equals(mid)) { // 密码不正确
throw new IncorrectCredentialsException("错误的用户名或密码!") ;
}
return new SimpleAuthenticationInfo(token.getPrincipal(),token.getCredentials(),this.getName()) ;
}
}
● 编写完自定义Ream类之后需要在shiro.ini配置文件中配置一下
[main]
#要想让自定义的Realm生效一定要配置这两项 # 将自定义的Realm定义在配置文件之中,表示此类的对象将由Shiro类负责实例化 myselfRealm=com.yootk.shiro.realm.MyselfDefaultRealm # 此时的配置就表示调用了SecurityManager子类中的setRealms()方法进行设置,内部引用使用“$”符号 securityManager.realms=$myselfRealm [urls] #web项目一定要设置过滤链,否则会报缺少FilterChainResolver /login.jsp=anon
5.配置JDBC认证信息,系统里面不仅仅只包含有自定义Realm,同时还提供有一种JdbcRealm程序,这类程序的最大特点是可以直接进行数据库的认证信息。
● 想使用JdbcRealm,首先需要修改pom.xml配置文件引入mysql-connector-java依赖包
● 修改shiro.ini配置文件,引入JdbcRealm进行程序的处理
[main] # 定义当前项目之中要使用的DataSource,此时的DataSource为MySQL驱动自带 dataSource=com.mysql.jdbc.jdbc2.optional.MysqlDataSource #dataSource.url=jdbc:mysql://localhost:3306/yootk_authentication dataSource.serverName=localhost dataSource.port=3306 dataSource.databaseName=yootk_authentication dataSource.user=root dataSource.password=mysqladmin # 定义JdbcRealm类型,为当前的使用Realm jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm # 为JdbcRealm设置要使用的数据源 jdbcRealm.dataSource=$dataSource # 设置数据库的查询操作指令 jdbcRealm.authenticationQuery=SELECT password FROM member WHERE mid=? AND locked=0 # 将当前使用的Realm整合在SecurityManager之中 securityManager.realms=$jdbcRealm [urls] /login.jsp=anon
6.Realm与Subject与token与SececurityManager与SecurityUtils的关系
● 首先创建一个SececurityManager的实例
● Realm设置数据源,读取shiro.ini文件
● SececurityManager的实例设置上具体的Realm对象
● SecurityUtils设置上SececurityManager的实例
● 通过SecurityUtils.getSubect获得Subject的对象
● 实例化对象token并向token中存入用户名和密码
● 采用subject.login(token)认证
package com.yootk.test;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
public class TestShiroBase {
public static final String USERNAME = "lee" ; // 假设此处内容为输入数据
public static final String PASSWORD = "hello" ; // 假设此处内容为输入数据
@Test
public void testAuth() throws Exception {
// 1、创建一个SececurityManager接口类的对象实例,使用子类为了设置realm
DefaultSecurityManager securityManager = new DefaultSecurityManager() ;
// 2、所有的认证信息都保存在shiro.ini文件,这个文件存储在CLASSPATH目录下;
Realm realm = new IniRealm("classpath:shiro.ini") ;
// 3、此时的SecurityManager需要设置上具体的realm对象信息
securityManager.setRealm(realm);
// 4、如果要想进行数据的认证处理,还需要获取SecurityUtils工具类
SecurityUtils.setSecurityManager(securityManager); // 设置安全管理类实例
// 5、如果要继续用户认证处理,则首先一定要获取一个Subject(用户)
Subject subject = SecurityUtils.getSubject();
// 6、利用一个专属的认证Token的结构包装输入的用户名与密码信息
AuthenticationToken token = new UsernamePasswordToken(USERNAME,PASSWORD) ;
// 7、利用Subject实现最终的用户认证处理操作
subject.login(token); // 进行认证操作
System.out.println("用户名:" + subject.getPrincipal());
}
}
7.以后开发的时候编写自定义Realm类的时候一般会继承AuthorizingRealm类,然后覆写其中的认证和授权方法。
● 认证方法是doGetAuthenticationInfo():参数类型.getPrincipal()是获取用户名,参数类型.getCredentials()是获取密码,返回值类型是new SimpleAuthenticationInfo(token.getPrincipal(),token.getCredentials(),this.getName());
● 授权方法是doGetAuthorizationInfo():SimpleAuthorizationInfo authz = new SimpleAuthorizationInfo() ; // 返回的授权信息 ;authz.setRoles(map.get("allRoles"));//设置角色;authz.setStringPermissions(map.get("allActions"));//设置权限;return authz;//返回对象
package com.yootk.shiro.realm;
import com.yootk.shiro.service.IMemberService;
import com.yootk.shiro.service.impl.MemberServiceImpl;
import com.yootk.shiro.vo.Member;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
// 实现用户认证与授权处理的操作
public class MemberRealm extends AuthorizingRealm {
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
// 本处的程序要进行用户认证的处理操作
System.out.println("【MemberRealm】============== 用户认证处理 ==============");
String mid = (String) token.getPrincipal() ;
IMemberService memberService = new MemberServiceImpl() ; // 获取业务层接口实例
Member member = memberService.get(mid) ; // 根据mid查询用户信息
if (member == null) { // 用户信息不存在
throw new UnknownAccountException(mid + "账户信息不存在!") ;
}
String password = new String((char[]) token.getCredentials()) ;
if (!member.getPassword().equals(password)) { // 密码不同
throw new IncorrectCredentialsException("错误的用户名或密码!");
}
if (member.getLocked().equals(1)) { // 用户锁定了
throw new LockedAccountException(mid + "账户已经被锁定!");
}
return new SimpleAuthenticationInfo(token.getPrincipal(),token.getCredentials(),this.getName());
}
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
System.out.println("【MemberRealm】============== 用户授权处理 ==============");
return null;
}
}
8.Shiro页面标签,修改welcome.jsp,采用shiro.jsp标签来进行控制
● 采用标签输出用户名:
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %><!--首先要导入此标签--> <h1>用户登录成功,欢迎“<shiro:principal/>”光临"</h1>
● 在用户登录界面上,根据用户是否登录过来进行表单是否显示的判断,采用如下标签用来判断用户的登录状态:
<shiro:authenticated>
<h3>您已经登录过了!</h3>
</shiro:authenticated>
<shiro:notAuthenticated>
<h3>您还未登录,显示登录表单!</h3>
</shiro:notAuthenticated>
● 进行用户授权的检测处理:
<shiro:hasPermission name="member:add">
<h3>当前用户拥有“member:add”的权限!</h3>
</shiro:hasPermission>
9.路径访问策略:
● 下面这些属性对应的都是后面配置文件中的拦截器
● anon 允许匿名访问,不登录也可以访问
● authc 认证用户可以访问
● logout 注销访问
● noSessionCreation 第一次允许访问(如果没有session可以访问,如果有session可以访问)
● perms 权限检测访问
● roles 角色检测访问
● ssl ssl访问,检测http协议
● user RememberMe用户访问
例如下面的shiro.ini文件:
[main]
# 将自定义的Realm直接出现在当前的程序之中
memberRealm=com.yootk.shiro.realm.MemberRealm
# 将当前使用的Realm整合在SecurityManager之中
securityManager.realms=$memberRealm
# 当路径检测失败的时候,应该跳转到登录页面,此处设置登录页面路径
shiro.loginUrl=/login.jsp
[users]
admin=hello,member,dept
lee=hello,member
[roles]
member=member:add,member:list,member:edit
dept=dept:add,dept:list,dept:edit
[urls]
/login.jsp=anon
/pages/**=authc,roles[member],perms["member:add"]
● 如果要想使用这些进行访问处理,那么还需要进行一些良好的路径匹配,就可以使用以下通配符:
● "?":匹配任意的0个或1个的内容,例如:"/pages?"表示"/pages1","/pages2"匹配
● "*":匹配任意的0个,1个或多个内容,例如:"/pages*"表示"/pages","/pageslee"都可以匹配
● "**":匹配任意级的目录,例如:"/pages/**"表示匹配"/pages/"下的所有路径,如:/pages/**=authc
● 除了路径匹配之外,也可以进行角色或权限的匹配:
如:/pages/**=authc,roles[member],perms["member:add"]
