One, configuration shiro dans le projet de printemps
(1) configuration web.xml
<!-- shiro过滤器 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
(2) Configuration intégrée Shiro et ressort
<!-- 使用shiro安全检查注解 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor" />
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager" />
</bean>
<!-- shiro的生命周期处理器 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
<!-- shiro自带的密码匹配器(用来校验密码足够了) -->
<bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.SimpleCredentialsMatcher"></bean>
<!-- security datasource: -->
<bean id="myRealm" class="cc.eguid.service.shiro.MyRealm">
<property name="credentialsMatcher" ref="credentialsMatcher"/><!-- 密码匹配器 -->
<property name="cachingEnabled" value="false"/><!-- 禁止缓存 -->
</bean>
<!-- 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="myRealm" />
</bean>
<!-- shiro过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- 配置安全管理器 -->
<property name="securityManager" ref="securityManager" />
<!-- 身份认证失败跳转的地址 -->
<property name="loginUrl" value="/login/" />
<!-- 身份认证成功跳转的地址 -->
<property name="successUrl" value="/" />
<!-- 权限认证失败跳转的地址 -->
<property name="unauthorizedUrl" value="/login/unauthorized" />
<property name="filterChainDefinitions">
<!--anon 表示匿名访问,不需要认证以及授权 -->
<!--authc表示需要认证 没有进行身份认证是不能进行访问的 -->
<!--authc,roles[admin]表示是admin角色的用户才能访问 -->
<value>
/static/** = anon
/login/** = anon
/common/** = anon
/admin/** = authc,roles[admin]
/* = authc
/** = authc
</value>
</property>
</bean>
Implémentation du vérificateur de mot de passe deux, royaume et personnalisé
1. Implémentation du royaume
public class MyRealm extends AuthorizingRealm{
Logger log=Logger.getLogger(MyRealm.class);
@Autowired
private UserService userService;//这是自己实现的用户信息操作类,实现用户信息,用户角色信息、用户权限信息查询功能
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
UserInfo user = (UserInfo) principals.getPrimaryPrincipal();
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
// 查询角色信息
Collection<String> roles = userService.findRoles(user);
info.addRoles(roles);
log.info("shiro获取用户所属角色列表:"+roles);
// 查询权限信息
Collection<String> permissions = userService.findPermissions(user.getSystemuserid());
info.addStringPermissions(permissions);
log.info("shiro获取用户权限列表:"+permissions);
return info;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)throws AuthenticationException{
//用户输入的用户名密码
String loginname= token.getPrincipal().toString();
Object password=token.getCredentials();
log.info("shiro正在处理尝试登录的用户信息:"+loginname+",密码:"+new String((char[])password));
//数据库中的用户信息
UserInfo user =userService.queryUserInfoByLoginName(loginname);
if(user==null||CommonUtil.isNull(user.getLoginusername(),user.getPassword(),user.getSystemuserid())){
return null;
}
log.info("shiro获取到当前用户尝试登录的真实数据:"+user.getLoginusername()+",密码:"+user.getPassword());
//数据库中的正确的账户信息
AuthenticationInfo accountInfo =new SimpleAuthenticationInfo(user, user.getPassword(),getName());
//自己获取密码验证器(由于shiro实现的密码校验方法是密码错误会直接抛异常,不采用,所以改成直接手动校验)
CredentialsMatcher matcher=getCredentialsMatcher();
if(matcher==null){
log.error("没有配置密码匹配器");
return null;
}
//校验密码
if(matcher.doCredentialsMatch(token,accountInfo)){
return accountInfo;//校验通过,返回账号信息
}
return null;
}
}
2. Vérificateur de mot de passe personnalisé
/**
* 自定义shiro密码匹配(密码是在md5散列值的基础上再次进行md5加盐操作,加盐值不保存在数据库,而是放在配置文件中)
* @author eguid
*
*/
public class MyCredentialsMatcher extends CodecSupport implements CredentialsMatcher {
private static final Logger log = LoggerFactory.getLogger(MyCredentialsMatcher.class);
protected Object getCredentials(AuthenticationToken token) {
return token.getCredentials();
}
protected Object getCredentials(AuthenticationInfo info) {
return info.getCredentials();
}
@Autowired
private CommonConfigs commonConfigs;
/**
* 验证密码
*
* @param tokenCredentials
* @param accountCredentials
* @return
*/
protected boolean equals(Object tokenCredentials, Object accountCredentials) {
if (log.isDebugEnabled()) {
log.debug("Performing credentials equality check for tokenCredentials of type ["
+ tokenCredentials.getClass().getName() + " and accountCredentials of type ["
+ accountCredentials.getClass().getName() + "]");
}
if (isByteSource(tokenCredentials) && isByteSource(accountCredentials)) {
if (log.isDebugEnabled()) {
log.debug("Both credentials arguments can be easily converted to byte arrays. Performing "
+ "array equals comparison");
}
byte[] tokenBytes = toBytes(tokenCredentials);
byte[] accountBytes = toBytes(accountCredentials);
return MessageDigest.isEqual(tokenBytes, accountBytes);
} else {
return accountCredentials.equals(tokenCredentials);
}
}
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
Object tokenCredentials = getCredentials(token);
Object accountCredentials = getCredentials(info);
String account=String.valueOf((char[])tokenCredentials);
if(commonConfigs.getMd5salt()==null){
if (log.isDebugEnabled()) {
log.debug("配置文件中的加盐值为空,无法进行密码匹配,请确认配置文件是否在指定位置或配置指定加盐值");
}
return false;
}
String saltaccount=MD5Util.getMD5(account, commonConfigs.getMd5salt());
if (log.isDebugEnabled()) {
log.debug("加盐后的密码:"+saltaccount);
}
return equals(accountCredentials, saltaccount.toCharArray());
}
}
3. Utilisation d'annotations et de balises de modèle (lorsque les annotations ne sont pas valides)
1. Utilisation des annotations
@RequiresPermissions ({"user: update: view"}) // Vérifier les autorisations d'opération
@RequiresPermissions (value = {"user: add", "user: view"}, logical = Logical.OR) // L'une des deux autorisations d'opération peut passer l'inspection si les conditions sont remplies
@RequiresRoles ({"admin"}) // Vérifier les rôles
@RequiresRoles (value = {"debug", "admin"}, logical = Logical.OR) // L'un des deux rôles peut remplir les conditions
@ RequiertAuthentication // Vérifiez si l'authentification shiro est passée
@ RequiertGuest // Aucune vérification requise
@ RequiertUser // Vérifiez si l'utilisateur est un utilisateur dans le système actuel
2. Utilisation des étiquettes
Pour utiliser des balises, vous devez d'abord importer la bibliothèque de balises de shiro <% @ taglib prefix = "shiro" uri = "http://shiro.apache.org/tags"%>
(1) Afficher les informations d'identité de l'utilisateur
<shiro: principal />
appelle Subject.getPrincipal () par défaut
<shiro: principal property = "username" />
Équivalent à ((User) Subject.getPrincipals ()). GetUsername ()
(2) Affiché par les utilisateurs shiro connectés
Bienvenue [<shiro: principal />] à se connecter, <a href="logout"> se déconnecter </a>
< shiro: user>
(3) Accès utilisateur anonyme
<shiro: guest> Utilisateurs qui n'ont pas été vérifiés par shiro (invités, utilisateurs anonymes) </ shiro: guest>
(4) Ceux qui se sont connectés à shiro (utilisateurs connectés)
utilisateur [<shiro: principal />] a été authentifié
< shiro: authenticated>
(5) Ceux qui ne se sont pas connectés à shiro
non authentifié (y compris se souvenir de moi)
< shiro: notAuthenticated>
(6) Vérifiez le rôle
用户[<shiro:principal/>]拥有角色admin<br/>
< shiro:hasRole>
用户[<shiro:principal/>]拥有角色admin或user<br/>
<sh iro:hasAnyRoles>
用户[<shiro:principal/>]不具有角色abc<br/>
< shiro:lacksRole>
(7)操作权限判断
用户 [<shiro: principal />] 拥有 权限 utilisateur: create <br/>
< shiro: hasPermission>
用户 [<shiro: principal />] 没有 权限 org: create <br/>
< iro: lacksPermission>
Quatrièmement, l'annotation ne prend pas effet
Libérez l'annotation shiro pour la numérisation d'annotations de springMVC (c'est-à-dire, chargez-la dans le conteneur springMVC)
<!-- 使用shiro安全检查注解 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor" />
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager" />
</bean>
Scannez directement le shiro ci-dessus et placez-le dans le servlet-context.xml ci-dessous pour que l'annotation shiro prenne effet
<!-- springMVC应用 -->
<servlet>
<servlet-name>appServlet</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>/WEB-INF/spring/servlet-context.xml</param-value>
</init-param>
<load-on-startup>2</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>appServlet</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping>