一、项目说明
项目环境:jdk1.7+tomcat7+idea2018+maven+shiro1.3.2
源代码github地址:https://github.com/tmAlj/shiro/tree/master/ssms
实现目标:完成从前台到控制器,以及自定义授权realm等实现整个认证过程
综合实例:基于shiro的按钮级别的权限管理系统
二、认证流程
说明:认证的realm需要继承AuthenticatingRealm,授权需要实现继承AuthorizingRealm,AuthorizingRealm是AuthenticatingRealm的子类。但是AuthenticatingRealm没有实现AuthenticatingRealm中的doGetAuthenticationInfo,所以认证和授权只需要继承AuthorizingRealm就可以了,同时实现他的两个抽象方法doGetAuthorizationInfo(授权)、doGetAuthenticationInfo(认证)
三、认证流程实现
注:本节的所有实例基于shiro学习笔记八:shiro多Realm认证
(1)创建认证授权Realm,名称为AuthRealm
package com.wsd.shiro;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import java.util.HashSet;
import java.util.Set;
/**
* Created by tm on 2018/8/18.
* 自定义认证授权realm
*/
public class AuthRealm extends AuthorizingRealm {
//授权方法
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
// 首先 principals中获取登录信息,在多realm的场景中获取getPrimaryPrincipal的时候,是有顺序的,跟我们之前的配置相关,
Object principal = principalCollection.getPrimaryPrincipal();
// 根据登录信息来获取角色或权限
// TODO 由于没有从注册流程做起,账户的账号/密码没有存在数据库中,这里模拟从数据库读取登录用户的角色权限数据,
// TODO 如果是用户名称为admin则设置user、admin角色,其他用户设置user角色
Set<String> roles = new HashSet<String>();
roles.add("user");
if ("admin".equals(principal)) {
roles.add("admin");
}
return new SimpleAuthorizationInfo(roles);
}
//认证方法
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//token类型转化
UsernamePasswordToken upToken = (UsernamePasswordToken)authenticationToken;
//获取前台用户信息
String username = upToken.getUsername();
// TODO 从数据库中获取用户信息,这里先模拟从数据库获取数据
Object principal = username; //从数据中获取用户名称
Object credentials = "123456"; //从数据中获取用户密码
String realmName = getName(); //自定义
return new SimpleAuthenticationInfo(principal, credentials, realmName);
}
}
(2)配置AuthRealm
注:在spring-shiro-config.xml中配置自定义AuthRealm以及过滤器
<!-- 配置认证授权Realm -->
<bean id="authRealm" class="com.wsd.shiro.AuthRealm">
</bean>
<!-- 配置shiro的核心securityManager -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="cacheManager" ref="cacheManager"/>
<!--<property name="sessionMode" value="native"/>-->
<!-- <property name="realm" ref="jdbcRealm"/>-->
<!-- <property name="realm" ref="encrRealm"/>-->
<!-- <property name="realm" ref="saltRealm"/>-->
<property name="authenticator" ref="authenticator"></property>
<!-- 配置多Realm -->
<!-- <property name="realms">
<list>
<ref bean="md5Realm"/>
<ref bean="sha1Realm"/>
</list>
</property>-->
<property name="realm" ref="authRealm"/>
</bean>
<!-- 访问未授权页面跳转的页面 -->
<property name="unauthorizedUrl" value="unauthor.jsp"/>
<property name="filterChainDefinitions">
<!-- 静态资源需要设置为anon,否则找不到 -->
<value>
<!-- 静态资源所有都能访问 -->
/statics/** = anon
<!-- 登录页面所有都能访问 -->
/login.jsp = anon
<!-- 登录成功界面需要通过登录认证或记住我访问 -->
/welcom.jsp = user
<!-- 退出登录 -->
/logout = logout
<!-- 拥有user角色可以访问 -->
/user.jsp = roles[user]
<!-- 拥有admin角色可以访问 -->
/admin.jsp = roles[admin]
</value>
</property>
(3)创建资源
四、测试示例
注:输入1/123456时可以进入登录成功页面,可以访问进入user,访问进入admin时跳转到没有权限访问页面,输入admin/123456时可以进入登录成功页面,可以访问进入user,可以访问进入admin
(1)登录/login.jsp
(2)登录成功/welcom.jsp
(3)进入admin/admin.jsp
(4)进入user/user.jsp
(5)没有授权unauthor.jsp