一、maven 配置文件
<!--shiro 框架-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring-boot-web-starter</artifactId>
<version>1.4.0-RC2</version>
</dependency>
二、application.properties配置文件
#shiro
#是否启用shiro的spring web模块
shiro.web.enabled=true
#未经身份验证的用户重定向到登录页面时使用的登录URL
shiro.loginUrl=/welcome.html
#启用会话ID到cookie,用于会话跟踪
shiro.sessionManager.sessionIdCookieEnabled=false
#启用会话URL重写支持
shiro.sessionManager.sessionIdUrlRewritingEnabled=false
#页面将用户重定向到未授权的位置(403页)
#shiro.unauthorizedUrl=
#用户登录后的默认登录页面(如果在当前会话中找不到替代)
#shiro.successUrl=/
三、Shiro 配置
@Configuration
public class ShiroConfig {
@Bean
public Realm realm(){
UserRealmUtil userRealmUtil = new UserRealmUtil();
userRealmUtil.setCachingEnabled(true);
return userRealmUtil;
}
@Bean
public ShiroFilterChainDefinition shiroFilterChainDefinition(){
DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
//anon: 允许匿名访问; authc认证通过才可以访问
chainDefinition.addPathDefinition("/**", "anon");
return chainDefinition;
}
}
四、自定义realm 类(根据自己需求来重写认证和授权方法)
public class UserRealmUtil extends AuthorizingRealm {
@Autowired
private UserRepository userRepository;
@Autowired
private ManagerService managerService;
/**
* @Description //用户认证
* @Param [authenticationToken]
* @Author oneTi
* @Date 14:16 2018/8/30
* @Return org.apache.shiro.authc.AuthenticationInfo
**/
public AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken){
String userName = authenticationToken.getPrincipal().toString();//用户账号
if (userRepository.getUserInfoByUserName(userName) != null)
{
UserInfo user = userRepository.getUserInfoByUserName(userName);
//接收账户主体及其凭据,这里就会给出验证结果
return new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(), getName());
}
else if(managerService.findManagerInfoByUsername(userName) != null){
ManagerInfo manager = managerService.findManagerInfoByUsername(userName);
return new SimpleAuthenticationInfo(manager.getUsername(), manager.getPassword(), getName());
}
return null;
}
/**
* @Description //用户授权
* @Param []
* @Author oneTi
* @Date 16:32 2018/8/30
* @Return org.apache.shiro.authz.AuthorizationInfo
**/
public AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection){
// SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo();
return null;
}
}
五、控制层
@RequestMapping("/manager/login")
public String login(String username, String password){
//封装在身份验证尝试期间提交的用户名和密码,即前端提交的用户名和密码
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
Subject currentUser = SecurityUtils.getSubject();
try {
System.out.println("login>>>验证开始");
currentUser.login(token);
System.out.println("login>>>验证成功");
}catch(UnknownAccountException uae){
System.out.println("login>>>未知账户");
}catch (IncorrectCredentialsException ice){
System.out.println("login>>>密码错误");
}catch (LockedAccountException lae){
System.out.println("login>>>账户已锁定");
}catch (ExcessiveAttemptsException eae){
System.out.println("login>>>尝试次数过多");
}catch (AuthenticationException ae){
System.out.println("login>>>账户或密码错误");
}
//如果验证成功
if (currentUser.isAuthenticated())
{
return "/serv/index";
}else{
return null;
}
}
六、前端
<form action="/manager/login" method="post">
<div class="form-group">
<div class="input-group">
<div class="input-group-addon"><span class="glyphicon glyphicon-user" aria-hidden="true"></span></div>
<input type="text" class="form-control" name="username" id="username" placeholder="User Name">
</div>
</div>
<div class="form-group">
<div class="input-group">
<div class="input-group-addon"><span class="glyphicon glyphicon-lock" aria-hidden="true"></span></div>
<input type="password" class="form-control" name="password" id="password" placeholder="Password">
</div>
</div>
<div class="form-group">
<div class="checkbox">
<label>
<input type="checkbox"> Remember me
</label>
</div>
</div>
<div class="form-group">
<button type="submit" class="btn btn-primary btn-block">Sign in</button>
</div>
</form>
上面是很简单的shiro用户认证的例子(用户授权暂时没有),仅作参考。
七、拓展
Shiro能干什么?
Shiro针对Shiro开发团队所称的“应用程序安全的四大基石” - 身份验证,授权,会话管理和加密:
身份验证:有时也称为“登录”,这是证明用户是他们所说的人的行为。
授权:访问控制的过程,即确定“谁”可以访问“什么”。
会话管理:即使在非Web或EJB应用程序中,也可以管理特定于用户的会话。
加密:使用加密算法保持数据安全,同时仍然易于使用。
在不同的应用程序环境中还有其他功能可以支持和强化这些问题,尤其是:
Web支持:Shiro的Web支持API可帮助轻松保护Web应用程序。
缓存:缓存是Apache Shiro API中的第一层公民,可确保安全操作保持快速高效。
并发:Apache Shiro支持具有并发功能的多线程应用程序。
测试:存在测试支持以帮助您编写单元和集成测试,并确保您的代码按预期受到保护。
“运行方式”:允许用户假定其他用户的身份(如果允许)的功能,有时在管理方案中很有用。
“记住我”:记住用户在会话中的身份,这样他们只需要在强制要求时登录。