前言:
shiro因为其简单、可靠、实现方便而成为现在最常用的安全框架,那么这篇文章除了会用简洁明了的方式讲一下基于spring的shiro详细配置和登录注销功能使用之外,也会根据惯例在文章最后总结一下shiro的大致配置使用流程,希望本篇文章能够给大家一种原来shiro是这么简单的错觉感觉。
注意:该篇文章的开始是建立在一个完备的spring+mybatis的开发环境中,除了shiro之外的配置基本不会涉及到。做好自己--eguid原创文章
shiro补充以及shiro注解问题解决文章(希望对大家有用):shiro与spring整合详解与spring项目中shiro注解不生效的解决办法
一、依赖的jar包
本篇文章使用shiro-1.4.0版本
1、shiro官方下载地址:http://shiro.apache.org/download.html
2、maven依赖项:
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency>
为什么maven只需要shiro-spring这个依赖项就行了,因为shiro-spring依赖shiro-core和shiro-web两个包,所以会自动继承shiro-core和shiro-web以及这两个包所依赖的项。
二、基于spring的配置方式
1、配置shiro过滤器
<!-- shiro过滤器 --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <param-name>targetFilterLifecycle</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
2、基于spring的shiro配置
注意事项:spring在加载上下文的时候,是没有扫描注解的,由于我们在自定义的realm中用到了spring的注解,所以需要在shiro的自定义realm之前进行注解扫描。
<context:component-scan base-package="cc.eguid" />
(1)spring下的shiro完整配置
<!-- shiro的生命周期处理器 --> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" /> <!-- 使用shiro安全检查注解 --> <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor" /> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager" /> </bean> <!-- 自定义的安全数据源,用来实现自定义的登录验证、角色验证、权限验证 --> <bean id="myRealm" class="cc.eguid.shiro.MyRealm"/> <!-- 安全管理器 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="myRealm" /> </bean> <!-- shiro过滤器 --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- 配置安全管理器 --> <property name="securityManager" ref="securityManager" /> <!-- 身份认证失败跳转的地址,没有登录当然就跳转到登录地址 --> <property name="loginUrl" value="/login/" /> <!-- 身份认证成功跳转的地址,一般登录成功后会跳转到系统首页 --> <property name="successUrl" value="/" /> <!-- 权限认证失败跳转的地址 ,用来提示当前用户没有操作权限,可以不需要--> <property name="unauthorizedUrl" value="/login/unauthorized" /> <property name="filterChainDefinitions"> <!--anon 表示匿名访问,不需要认证以及授权 --> <!--authc表示需要认证 没有进行身份认证是不能进行访问的 --> <!--authc,roles[admin]表示是admin角色的用户才能访问 --> <value> /* = authc /static/** =anon /login/** = anon /admin/** = authc,roles[admin] /camera/** = authc /** = authc </value> </property> </bean>
这段配置需要修改的只有 shiro过滤器和shiro安全数据源(realm)。
过滤器里可以配置注释里写的很清楚,anon表示匿名访问,authc表示需要进行登录验证、权限验证、角色验证
自定义realm实现请看下面。
(2)自定义的realm安全数据源
public class MyRealm extends AuthorizingRealm{ Logger log=Logger.getLogger(MyRealm.class); @Autowired private UserService userService;//这是自己实现的用户信息操作类,实现用户信息,用户角色信息、用户权限信息查询功能 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { log.info("从登录凭证中获取用户信息,由于我们在doGetAuthenticationInfo中直接在principals中存放的用户信息对象,所以我们可以获得当前用户信息"); UserInfo user = (UserInfo) principals.getPrimaryPrincipal(); SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); // 查询角色信息 Collection<String> roles = userService.findRoles(user); log.info("查询用户角色信息并添加到shiro权限验证器中,一个用户可以对应多个角色"); info.addRoles(roles); // 查询权限信息 Collection<String> permissions = userService.findPermissions(user); log.info("把用户权限信息添加到shiro权限过滤器中"); info.addStringPermissions(permissions); return info; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)throws AuthenticationException{ log.info("shiro登录验证"); // 在我们自己的登录流程中应该确保登录的用户信息已经插入AuthenticationToken中,这样才能通过shiro的认证流程 String loginname= token.getPrincipal().toString(); //虽然在登录流程中我们给的是String的面,但是shiro中已经写死了密码是个字符数组,所以老老实实的把密码转成char[]吧 char[] password=(char[]) token.getCredentials(); // 查询用户名对应的用户信息 UserInfo user =userService.queryUserInfoByLoginName(loginname); log.info("验证用户信息:"+loginname+","+user+"密码:"+password); if (user != null&&user.getPassword()!=null) { //直接把用户信息对象和密码塞进shiro验证器,shiro会自动判断密码是否正确 AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, password, getName()); return authenticationInfo; } return null; }
三、shiro登录和注销流程实现
/** * shiro注销,shiro会自动把session释放,所以不需要调用session.invalidate();方法 */ @Override public void logout(){ Subject currentUser = SecurityUtils.getSubject(); currentUser.logout(); } /** * shiro登录 */ @Override public boolean singin(UserInfo user){ try{ Subject subject = SecurityUtils.getSubject() ; UsernamePasswordToken token = new UsernamePasswordToken(user.getLoginusername(),user.getPassword()) ; subject.login(token); log.info("shiro登录验证成功"); return true; }catch(AuthenticationException e){ log.error("shiro登录验证不通过",e); return false; } } /** * 判断用户是否登录(shiro方式) */ @Override public boolean isSignon() { Subject subject = SecurityUtils.getSubject() ; return subject.isAuthenticated(); }
/** * 从shiro中获取当前登录的用户信息 */ @Override public UserInfo getCurrentUserInfo(){ Subject subject = SecurityUtils.getSubject() ; return (UserInfo) subject.getPrincipal(); }
四、shiro配置使用总结
1、在web.xml中配置shiro的过滤器
2、在spring应用上下文(例如:applicationContext.xml)中配置shiro过滤器及自定义realm等其他辅助配置,其中
shiro过滤器可以配置哪些接口需要进行登录验证、角色验证、权限验证,哪些不需要进行验证,自定义realm则是为shiro验证器提供了用户信息、用户角色信息和用户权限信息等数据源,进而让shiro进行三项验证。
3、shiro提供了完整的登录流程和注销流程,对原有登录和注销流程做一定修改是免不了的。
以上,希望对大家有所帮助。-- 做好自己--eguid