Spring集成shiro框架来进行验证登录并且给用户授权

使用shiro验证登录的流程主要就是,现在配置文件配置好那些过滤器,然后在controller验证登录的方法中获取到用户名密码,把它交给shiro提供的对象 AuthenticationToken,然后调用它的subject.login(token); 然后跳转到realm方法当中,然后在这个类当中去从数据库获取用户名密码,交给shiro进行比对,如果抛出异常就说明没有认证成功,没抛异常说明认证成功,所以在controller方法当中进行trychach来判断它是否认证成功跳转到相应的页面

引入jar包

<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-all</artifactId>
            <version>1.2.2</version>
        </dependency>

在web.xml中配置spring框架提供的用于整合shiro框架的过滤器 ,切记要把shiro的过滤器放到最上面,因为谁在最上面谁就最先加载

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" version="2.5">
  <display-name>bos-web</display-name>
  <welcome-file-list>
    <welcome-file>index.html</welcome-file>
    <welcome-file>index.htm</welcome-file>
    <welcome-file>index.jsp</welcome-file>
    <welcome-file>default.html</welcome-file>
    <welcome-file>default.htm</welcome-file>
    <welcome-file>default.jsp</welcome-file>
  </welcome-file-list>
  
  <!-- 配置spring框架提供的用于整合shiro框架的过滤器 -->
  <filter>
      <filter-name>shiroFilter</filter-name>
      <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
      <filter-name>shiroFilter</filter-name>
      <url-pattern>/*</url-pattern>
  </filter-mapping>

这时候启动tomcat服务器,抛出异常:spring工厂中不存在一个名称为“shiroFilter”的bean对象,所以得在spring工厂里注入一个同名的对象

在spring配置文件中配置bean,id为shiroFilter

     <!-- 配置shiro框架的过滤器工厂对象 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 注入安全管理器对象 -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 注入相关页面访问URL -->
        <property name="loginUrl" value="/login.jsp"/>    //登录页面
        <property name="successUrl" value="/index.jsp"/>   //登录成功后跳的页面
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>   //权限不足跳的页面
        <!--注入URL拦截规则 -->
        <property name="filterChainDefinitions">
            <value>
                /css/** = anon                    //anno代表的是匿名过滤器,就是不登录也可以访问的页面,**代表的是通配符
                /js/** = anon
                /images/** = anon
                /validatecode.jsp* = anon
                /login.jsp = anon
                /userAction_login.action = anon              //把登录访问后台的方法也过滤掉
                /page_base_staff.action = perms["staff-list"]      //perms这个过滤器代表的是是否具有引号里的那个权限,有权限才能访问

                                                                                             //引号里面的东西是个权限名字可以随便写
                /* = authc                       //authc代表的是有没有登录,没有登录就不让访问,就会跳登录页面
            </value>
        </property>
    </bean>
    
    <!-- 注册安全管理器对象 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="bosRealm"/>
    </bean>
    
    <!-- 注册realm -->
    <bean id="bosRealm" class="com.itheima.bos.realm.BOSRealm"></bean>

后台代码,我这是用的struts的方式所有没有那些springmvc的注解,如果你们用的springmvc的话自己稍微加修改就行了,主要是看逻辑

     /**
     * 用户登录,使用shiro框架提供的方式进行认证操作
     */
    public String login(){
        //从Session中获取生成的验证码
        String validatecode = (String) ServletActionContext.getRequest().getSession().getAttribute("key");
        //校验验证码是否输入正确
        if(StringUtils.isNotBlank(checkcode) && checkcode.equals(validatecode)){
            //使用shiro框架提供的方式进行认证操作
            Subject subject = SecurityUtils.getSubject();//获得当前用户对象,状态为“未认证”
            AuthenticationToken token = new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));//创建用户名密码令牌对象,这个方法里的俩参数就是前台传的用户名密码,用springmvc的,用你们的方式获取用户名密码就行.
            try{
                subject.login(token);       //这就是让shiro进行验证是否登录成功,它没有返回值,所以用trycatch,抛异常就登录失败,没抛异常                                                          //就登录成功,这句话会跳转到自己写的realm类当中验证是否登录成功
            }catch(Exception e){
                e.printStackTrace();
                return LOGIN;                 //没登陆成功跳转到登录页面
            }
            User user = (User) subject.getPrincipal();            //登录成功后取出user对象存入session当中.
            ServletActionContext.getRequest().getSession().setAttribute("loginUser", user);
            return HOME;                                             //跳转到主页面
        }else{
            //输入的验证码错误,设置提示信息,跳转到登录页面
            this.addActionError("输入的验证码错误!");
            return LOGIN;
        }
    }

 realm类, 就是从登录方法的这句代码跳进来进行验证是否登录成功subject.login(token);

在这里面注入dao层接口进行判断是否与登录页面输入的账号密码一致

package com.itheima.bos.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import com.itheima.bos.dao.IUserDao;
import com.itheima.bos.domain.User;

public class BOSRealm extends AuthorizingRealm{
    @Autowired
    private IUserDao userDao;
    
    //认证方法
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("自定义的realm中认证方法执行了。。。。");
        UsernamePasswordToken passwordToken = (UsernamePasswordToken)token;//转成一个shiro提供的用户类
        //获得页面输入的用户名
        String username = passwordToken.getUsername();
        //根据用户名查询数据库中的密码
        User user = userDao.findUserByUsername(username);   //从数据库进行查询用户是否存在
        if(user == null){
            //页面输入的用户名不存在
            return null;
        }
        //简单认证信息对象
        AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
        //框架负责比对数据库中的密码和页面输入的密码是否一致,由shiro进行判断密码是否一致
        return info;
    }

    //授权方法   这个方法调用的时机是在spring配置文件中,有的页面给它加了相应的权限,当你访问这个页面的时候它就会调用这个方//法来验证你当前用户是否有相应的权限
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

         SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();  
        //为用户授权  我这写的是硬编码,可以改成从数据库查询当前用户有啥权限,然后添加进来
        info.addStringPermission("staff-list");
        return info ;
    }
}

猜你喜欢

转载自blog.csdn.net/kxj19980524/article/details/84898417
今日推荐