java权限管理框架Shiro(最近学习整理)

置顶：https://github.com/java-aodeng/hope 老铁，来个star

邮箱投稿java@aodeng.cc微信公众号搜索：低调小熊猫; 关注看更多学习资源最炫求职简历.BAT的offer助攻简历http://120.79.185.110/index.html

qq扫描需下载微信，建议直接微信公众号搜索哦

 

根据的我了解，现在整个行业的权限管理基本如此：

一、Shiro框架简单介绍

Apache Shiro是Java的一个安全框架，旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证，授权，企业会话管理和加密等。Shiro的具体功能点如下：

（1）身份认证/登录，验证用户是不是拥有相应的身份； 
（2）授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能做事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限； 
（3）会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通JavaSE环境的，也可以是如Web环境的； 
（4）加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储； 
（5）Web支持，可以非常容易的集成到Web环境； 
Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率； 
（6）shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去； 
（7）提供测试支持； 
（8）允许一个用户假装为另一个用户（如果他们允许）的身份进行访问； 
（9）记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了。

二、Shiro实例详细说明

1.引人maven仓库所需的jar包

maven依赖如下：

<!-- shiro version -->

<properties>

    <shiro.version>1.2.2</shiro.version>

</properties>

 

 

<!-- security begin -->

  <dependency>
   <groupId>org.apache.shiro</groupId>
   <artifactId>shiro-spring</artifactId>
   <version>${shiro.version}</version>
   <exclusions>
       <exclusion>
       <artifactId>slf4j-api</artifactId>
       <groupId>org.slf4j</groupId>
       </exclusion>
  </exclusions>
  </dependency>

  <dependency>
   <groupId>org.apache.shiro</groupId>
   <artifactId>shiro-core</artifactId>
   <version>${shiro.version}</version>
  </dependency>
  <dependency>
   <groupId>org.apache.shiro</groupId>
   <artifactId>shiro-ehcache</artifactId>
   <version>${shiro.version}</version>
  </dependency>
  <dependency>
   <groupId>org.apache.shiro</groupId>
   <artifactId>shiro-web</artifactId>
   <version>${shiro.version}</version>
  </dependency>
  <dependency>
   <groupId>org.apache.shiro</groupId>
   <artifactId>shiro-quartz</artifactId>
   <version>${shiro.version}</version>
  </dependency>

  <dependency>
   <groupId>org.crazycake</groupId>
   <artifactId>shiro-redis</artifactId>
   <version>2.4.2.1-RELEASE</version>
  </dependency>

 

2.定义shiro拦截器

对url进行拦截，如果没有验证成功的需要验证，然后额外给用户赋予角色和权限。具体代码如下：

package com.account.web.shiro;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class ShiroRealm extends AuthorizingRealm {

 /*
  * 登录信息和用户验证信息验证(non-Javadoc)
  * @see
  * org.apache.shiro.realm.AuthenticatingRealm#doGetAuthenticationInfo(org.
  * apache.shiro.authc.AuthenticationToken)
  */
 @Override
 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

  String username = (String) token.getPrincipal(); //得到用户名
  String password = new String((char[]) token.getCredentials()); //得到密码

  if (null != username && null != password) {
   return new SimpleAuthenticationInfo(username, password, getName());
  } else {
   return null;
  }
 }

 /*
  * 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用,负责在应用程序中决定用户的访问控制的方法(non-Javadoc)
  * @see
  * org.apache.shiro.realm.AuthorizingRealm#doGetAuthorizationInfo(org.apache
  * .shiro.subject.PrincipalCollection)
  */
 @Override
 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc) {
  return null;
 }

}

3.spring-shiro.xml配置文件如下:

 

<?xml version="1.1" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context"
 xsi:schemaLocation="
  http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
  http://www.springframework.org/schema/context  http://www.springframework.org/schema/context/spring-context-3.2.xsd"
 default-lazy-init="true">

 <!-- 可用于身份验证和授权的框架 ===== Shiro start ================ -->
 <!-- Shiro对象的配置 -->
 <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
  <property name="realm" ref="shiroRealm" />
 </bean>

 <!-- 項目自定义的Realm -->
 <bean id="shiroRealm" class="com.account.web.shiro.ShiroRealm"></bean>

 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
  <property name="securityManager" ref="securityManager" />
  <property name="loginUrl" value="${backend.loginUrl}" />
  <property name="successUrl" value="${backend.successUrl}" />
  <property name="unauthorizedUrl" value="${backend.unauthorizedUrl}" />
  <property name="filterChainDefinitions">
   <value>
    /static/** = anon
    /resource/** = anon
    /app**/** = anon
    /weixin/** = anon
    /code.do = anon
    /syslogin = anon
    /rest/* = anon
    /** = authc
   </value>
  </property>
 </bean>

 <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
 <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

 <!-- AOP式方法级权限检查 -->
 <bean
  class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
  depends-on="lifecycleBeanPostProcessor">
  <property name="proxyTargetClass" value="true" />
 </bean>

 <bean
  class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
  <property name="securityManager" ref="securityManager" />
 </bean>

</beans>

4.web.xml配置引入对应的配置文件和过滤器

 <!-- Shiro filter start -->
 <filter>
  <filter-name>shiroFilter</filter-name>
  <filter-class>
   org.springframework.web.filter.DelegatingFilterProxy
  </filter-class>
  <init-param>
   <param-name>targetFilterLifecycle</param-name>
   <param-value>true</param-value>
  </init-param>
 </filter>
 <filter-mapping>
  <filter-name>shiroFilter</filter-name>
  <url-pattern>/*</url-pattern>
 </filter-mapping>

5.整个shiro权限框架配置如上.公司实际开发项目.纯手工制造.努力吧.少年