1.pom的依赖情况如下:
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>3.8.1</version>
<scope>test</scope>
</dependency>
<!-- 添加servlet支持 -->
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>javax.servlet-api</artifactId>
<version>3.1.0</version>
</dependency>
<dependency>
<groupId>javax.servlet.jsp</groupId>
<artifactId>javax.servlet.jsp-api</artifactId>
<version>2.3.1</version>
</dependency>
<!-- 添加jstl支持 -->
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>jstl</artifactId>
<version>1.2</version>
</dependency>
<!-- 添加日志支持 -->
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.2</version>
</dependency>
<!-- 添加shiro支持 -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.4</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>1.2.4</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-api</artifactId>
<version>1.7.12</version>
</dependency>
<!-- 添加数据库的驱动,这里不要用6.X的版本,容易报古怪错误 -->
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>5.1.39</version>
</dependency>
2.web.xml中的配置如下:
<listener>
<listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
</listener>
<!-- 添加shiro支持 -->
<filter>
<filter-name>ShiroFilter</filter-name>
<filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>ShiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<servlet>
<servlet-name>loginServlet</servlet-name>
<servlet-class>com.java1234.servlet.LoginServlet</servlet-class>
</servlet>
<servlet>
<servlet-name>adminServlet</servlet-name>
<servlet-class>com.java1234.servlet.AdminServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>loginServlet</servlet-name>
<url-pattern>/login</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>adminServlet</servlet-name>
<url-pattern>/admin</url-pattern>
</servlet-mapping>
3.Shiro的配置文件shiro.ini放在与web.xml同一目录WEB-INF下,配置如下:
[main]
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized.jsp
perms.unauthorizedUrl=/unauthorized.jsp
myRealm=com.java1234.realm.MyRealm
securityManager.realms=$myRealm
[urls]
/login=anon
/admin*/**=authc
/student=roles[teacher]
/teacher=perms["user:create"]
注解:[main]
[users]
java=123456,admin
表示用户名为java,密码为123456,当前java这个用户拥有admin角色的权限
[urls]
/login=anon
请求/login地址时候,anon表示任何用户(游客)都可以访问
/admin?=authc
请求/admin?地址时,authc表示用户需要进行身份和权限认证之后才能访问
这里的?是通配符,
1.一个?会匹配任一个字符,这里请求/admin或者/admin1或者/admin2等等形式都会要求用户做身份认证
2.*则可以匹配0个或多个字符,但只能在同一路径下,如请求/admin12或者/admin或者/admingsdfds都是可以匹配的,但/admin123/sdf就不能匹配了
3./**则表示可匹配任意任意多路径,即可以匹配/admin的形式,也可以匹配/admin123的形式,也可以匹配/adminasd/hgsad的多路径形式
4.在Shiro支持下,只要用户请求地址(每一次请求)时,Shiro总是会对用户先进行身份认证,再进行角色认证
5.在jsp中shiro的标签:必须先引入shiro的标签:
1.内容表示只有用户具有“XX”角色才能看到该标签下的内容;
2.内容表示用户具有“XX”权限才能看到该标签下的内容
3..标签则表示显示当前用户的主体,不需要放任何内容,即可显示用户名
当如用户登录了,可以直接显示用户名
4.拓展:在后台存放在session中的数据可以在前台通过EI表达式来方便获取,如:后台session.setAttribute(“Info”, “测试Session的存放功能”);
前台:${Info}即可获取存放在Info中的数据
5.将一个对象初始化为null和将其初始化为改对象是不一样的,即User test = null;和User test = new User()是不一样的,前者是没有User对象里的属性的,即test这个对象就是空,但是后者的test是具有完整的User对象里的个属性的,只是他们在未设值之前都为空 ,详见Eclipse中的ShiroWeb项目
4.自定义Realm:
import java.sql.Connection;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import com.java1234.dao.UserDao;
import com.java1234.entity.User;
import com.java1234.util.DBUtil;
/**
* 自定义的Realm(用户进行每次请求时Shiro都会进入Realm对当前用户进行身份和权限的验证才允许访问)
* 注意是先验证用户的登录信息,再为登录用户赋予权限
* @author Weiguo Liu
*
*/
public class MyRealm extends AuthorizingRealm {
private UserDao userDao = new UserDao();
private DBUtil dbUtil = new DBUtil();
/**
* 第二步:为当前登录成功的用户赋予角色和权限,是在用户登录成功之后的事情
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
// 获取用户名
String userName = (String) principals.getPrimaryPrincipal();
SimpleAuthorizationInfo authorizationinfo = new SimpleAuthorizationInfo();
Connection conn = null;
try {
conn = dbUtil.getConnection();
//为当前用户赋角色
authorizationinfo.setRoles(userDao.getRoles(conn, userName));
authorizationinfo.setStringPermissions(userDao.getPermession(conn, userName));
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}finally{
dbUtil.closeConnection(conn);
}
return authorizationinfo;
}
/**
* 第一步,先验证当前登录用户,doGetAuthenticationInfo可以获取表单提交的认证信息,全部封装在AuthenticationToken token这个变量中
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//获取用户名(这里不获取密码,shiro的流程就是这样的,先获取用户名,然后去数据库查找对应的用户名和密码,在和页面提交的信息对比)
String userName = (String) token.getPrincipal();//获取用户名
Connection conn = null;
try {
conn = dbUtil.getConnection();
User user = userDao.getByUserName(conn, userName);
if(user!=null){
//第三个参数是realmname,随笔写
AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(), "XX");
return authcInfo;//返回验证信息,它内部自己回去比对两者的信息
}else{
return null;
}
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}finally{
dbUtil.closeConnection(conn);
}
return null;
}
}
5.Shiro的加密、解密
import org.apache.shiro.codec.Base64;
import org.apache.shiro.crypto.hash.Md5Hash;
/**
* Cryptography是加密工具类
*
* @author Weiguo Liu
*
*/
public class CryptographyUtil {
/*
* 以Base64编码的方式对str进行加密,返回String类型
*/
public static String encBase64(String str){
//进行加密
String resultStr = Base64.encodeToString(str.getBytes());
return resultStr;
}
/*
* 以Base64编码的方式对str进行解密
*/
public static String decBase64(String str){
String resultStr = Base64.decodeToString(str);
return resultStr;
}
/*
* md5方式加密,这里不一样,传入两个参数,对str进行加密,salt作为辅助类加入,提交加密的安全性,md5加密是不可逆的
* 当然不加salt也可以,只是不太安全
*/
public static String encMD5(String str,String salt){
return new Md5Hash(str, salt).toString();
}
public static void main(String[] args){
String password = "123456";
String encPassword = encBase64(password);
System.out.println("Base64加密后:" + encPassword);
System.out.println("Base64解密后:" + decBase64(encBase64(password)));
//md5的加密所加的辅助参数,最好放在配置文件,然后从中读取,不要像这样直接用“java”这样的形式传入
System.out.println("MD5加密后:" + encMD5(password, "java"));
}
}