(下一个接配置文件)
《一,认证》
1.先建两个class文件
一个写 AuthRealm (授权与认证方法,并继承) extends AuthorizingRealm
获取其默认方法doGetAuthorizationInfo(授权方法) doGetAuthenticationInfo(认证方法)
一个写PasswordMatcher(密码验证器,并继承) extends SimpleCredentialsMatcher
获取默认方法doCredentialsMatch
2.在Action的登录方法中
@Action("loginAction_login")//重页面跳转过来的路径名
public String login() throws Exception {
//判断用户名是不是为空,如果是说明没有登录,跳转到用户登录页面
if(UtilFuns.isEmpty(username)){
return "login";
}
//1.SecurityUtils:是shiro的一个工具类。通过SecurityUtils获取getSubject 得到一个返回值
Subject subject = SecurityUtils.getSubject();
//3.根据逻辑2。new一个 UsernamePasswordToken,并传上用户名及密码。把返回值传给登入作为条件。
UsernamePasswordToken token = new UsernamePasswordToken(username,password);
try {
//2. subject的返回值里有两个方法logout:登出 login:登入。这里我们使用登录方法,通过方法我们可以看到需要一个返回值:AuthenticationToken的类型,又因为AuthenticationToken 是一个接口,所以我们使用他下面的
UsernamePasswordToken 的实现类来写(ps:查看方法:Ctrl+t),
subject.login(token);//当调用subject的登入方法时,会跳转到认证的方法上。。。。。。。。。。
//4.在证方法中subject已经把获取到了用户,所以我们用subject.getPrincipal 可以获取到登录的用户,Principal:他是在认证方法中的principal:主要对象(登录的用户,详情看认证方法return的哪一步注释)
User user = (User) subject.getPrincipal();
//5.把user用户数据通过Session.put放在session值栈中。SysConstant.CURRENT_USER_INFO:是一个返回的值,在jsp页面中可以接收到,也可以直接写一个字符串让页面接收,返回的数据可以在页面做回显等功能
session.put(SysConstant.CURRENT_USER_INFO, user);
return SUCCESS;//以上全部都过了后,让其访问页面数据
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
super.put("errorInfo", "您的用户名或密码错误"); //登录页面的错误信息提示
return "login";
}
}
//退出
@Action("loginAction_logout")
public String logout(){
session.remove(SysConstant.CURRENT_USER_INFO); //删除session
SecurityUtils.getSubject().logout(); //调用登出方法
return "logout";
}
3.在认证方法中的doGetAuthenticationInfo
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
// TODO Auto-generated method stub
System.out.println("调用认证方法");
UsernamePasswordToken token =(UsernamePasswordToken)arg0;//先将arg0强转为UsernamePasswordToken类型
final String username = token.getUsername();//通过token获取到用户名
Specification<User> spec = new Specification<User>() { //把username 设为查询条件,查询数据库是否有这个用户名
@Override
public Predicate toPredicate(Root<User> root, CriteriaQuery<?> query, CriteriaBuilder cb) {
// TODO Auto-generated method stub
return cb.equal(root.get("username").as(String.class),username);
}
};
List<User> find = userServiceimpl.find(spec); //把spec 条件放到 查询中查询数据 查询用户名
if(find!=null&& find.size()>0){ //判断返回的结果不为空,及返回的数不小于0
User user = find.get(0); //通过索引获取到返回值的第一个数中的数据
return new SimpleAuthenticationInfo(user, user.getPassword(), getName()) ;//这里如果上面的都成立后会return到密码校验哪里去
/* SimpleAuthenticationInfo:是doGetAuthenticationInfo的一个实现类,因为doGetAuthenticationInfo 是一个接口不能直接new
把返回值添加到条件中 //principal:主要对象(登录的用户) , credentials:密码 ,realm的名字可以通过getName获取类名作为区分 */
}
return null;
}
4.在密码检验中PasswordMatcher
public class PasswordMatcher extends SimpleCredentialsMatcher { //先实现一个接口SimpleCredentialsMatcher 获取doCredentialsMatch的内部方法
@Override
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
System.out.println("调用了密码对比器");
UsernamePasswordToken utoken = (UsernamePasswordToken) token;
/*[把AuthenticationToken 中的token 装换为AuthenticationToken 中的(ps:查看方法Ctrl+t)
UsernamePasswordToken实现类 因为AuthenticationToken 是接口不能new数据],*/
String pwd = new String(utoken.getPassword());//通过utoken 获取用户密码,并转换成String类型,注意这里的转换不能强转,要用new的方法
//source:要加密的内容 salt:增加复杂度的内容 哈希次数:2
Md5Hash md5Hash = new Md5Hash(pwd, utoken.getUsername(), 2); //调用Md5加密 为输入的数据加密
String credentials = (String)info.getCredentials(); //通过AuthenticationInfo 的info 查询数据库的密码 装换成String类型
return equals(md5Hash.toString(),credentials); //对比用户输入的数据和数据库密码是否一致。return走,返回到Action方法中。
}
}
5.执行流程图解
《二,授权》
1.在授权方法中
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
System.out.println("进入授权方法");
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
User user = (User) arg0.getPrimaryPrincipal();
//获取用户的角色及角色的模块
Set<Role> roles = user.getRoles(); //通过用户查到用户角色
for (Role role : roles) {//遍历数据
Set<Module> modules = role.getModules();//通过用户查到用户模块
for (Module module : modules) {
info.addStringPermission(module.getCpermission());//通过用户模块查到模块名并添加到info中。也就是说把查到的模块显示到页面中,没有的就代表没授权
}
}
return info; //返回到jsp页面中
}
2.jsp页面
<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro" %>
//要想使用shiro的标签就一点要导数据标签
<shiro:hasPermission name="部门管理"> //shiro:hasPermission:拥有权限的资源 name:权限访问的名字,如上:当该用户里有部门管理权限时,才会让其看到部门管理这个按钮
<li><a href="${ctx}/sysadmin/deptAction_list" onclick="linkHighlighted(this)" target="main" id="aa_1">部门管理</a></li>
</shiro:hasPermission>
3.以上方法可以使用户看不到自己没有权限的数据,但是如果用户自己写链接还是能访问到数据的,
解决方法一(推荐):过滤器链的权限配置方式:
<value>
/index.jsp* = anon
/home* = anon
/sysadmin/login/login.jsp* = anon
/sysadmin/login/loginAction_logout* = anon
/login* = anon
/logout* = anon
/components/** = anon
/css/** = anon
/img/** = anon
/js/** = anon
/plugins/** = anon
/images/** = anon
/js/** = anon
/make/** = anon
/skin/** = anon
/stat/** = anon
/ufiles/** = anon
/validator/** = anon
/resource/** = anon
//在这里进行配置,下面的以上为 /sysadmin/deptAction_*路径下的所有方法都必须要有部门管理权限才可以进入访问,(ps:在写方法时,建议写一个在这里就配置一个,避免混淆了)
/sysadmin/deptAction_* = perms["部门管理"]
/** = authc
/*.* = authc
</value>
解决方法二(推荐):注解的方式:
//这里代表的时要走这个方法模块中就得有角色管理这个模块,没有就拒绝访问
@RequiresPermissions(value="角色管理")
public Page<Role> findPage(Specification<Role> spec, Pageable pageable) {
// TODO Auto-generated method stub
return roleDao.findAll(spec, pageable);
}