SSM+Shiro+用户登录授权

最新推荐文章于 2020-09-24 09:58:16 发布

liu__jiang

最新推荐文章于 2020-09-24 09:58:16 发布

阅读量2.9k

点赞数 5

分类专栏： shiro学习记录文章标签： shiro shiro登录认证 shiro权限管理

本文链接：https://blog.csdn.net/liu__jiang/article/details/93201024

版权

shiro学习记录专栏收录该内容

7 篇文章 0 订阅

订阅专栏

SSM与整合Shiro进行整合实现用户登录验证及权限分配

在前面的学习过程中，已经学习了 Shiro的一些基本组件以及如何利用Shiro进行权限控制。下面学习用目前比较主流的SSM框架来整合Shiro框架，将我们前面学习的一些基本知识运用到实际项目之中。由于本人初学，内容可能比较粗浅，后期进行深入理解后会细化，SSM项目的搭建过程这里不再叙述，可查阅其他人教程学习，可能有时间也会进行回顾记录。

为方便对下述内容进行理解，先画了一个流程图进行辅助

第一步项目配置文件(项目常规操作)

1.spring-config.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:aop="http://www.springframework.org/schema/aop"
       xmlns:tx="http://www.springframework.org/schema/tx"
       xmlns:context="http://www.springframework.org/schema/context"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
    http://www.springframework.org/schema/aop
    http://www.springframework.org/schema/aop/spring-aop-3.0.xsd
    http://www.springframework.org/schema/tx
    http://www.springframework.org/schema/tx/spring-tx-3.0.xsd
    http://www.springframework.org/schema/context
    http://www.springframework.org/schema/context/spring-context-4.2.xsd">
    <!-- 让spring为我们自动生成bean -->
    <context:component-scan base-package="com.shiro.test.mvc">
        <context:exclude-filter type="annotation" expression="org.springframework.stereotype.Controller"/>
    </context:component-scan>

   <!--  <bean id="iniRealm" class="org.apache.shiro.realm.text.IniRealm">
        <constructor-arg name="resourcePath" value="classpath:shiro-web.ini"/>
    </bean> -->
      <!--   加载数据库连接信息的配置文件 -->
    <context:property-placeholder location="classpath:jdbc.properties"/>
    
         <!--   配置数据源 -->
    <bean name="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
       <property name="driverClassName" value="${jdbc.driver}"/>
       <property name="url" value="${jdbc.url}"/>
       <property name="username" value="${jdbc.username}"/>
       <property name="password" value="${jdbc.password}"/>
    </bean>
    
        <!--配置spring和mybatis整合的SqlSessionFactoryBean -->
        
        <bean name="sqlSessionFactoryBean" class="org.mybatis.spring.SqlSessionFactoryBean">
          <!--  注入数据源 -->
          <property name="dataSource" ref="dataSource"/>
          <!--  实体类和mapper文件进行映射 -->
          <property name="typeAliasesPackage" value="com.shiro.test.mvc.pojo"/>
          <property name="mapperLocations" value="classpath:com/shiro/test/mvc/dao/*.xml"/>
        </bean>
        <!-- 声明事物管理器 -->
        <bean id="txManager" class="org.springframework.jdbc.datasource.DataSourceTransactionManager">
        <property name="dataSource" ref="dataSource"/>
    </bean>
     <!--声明事务的增强 ， 添加，删除失败回滚，get只读，其他的不支持事务-->
    <tx:advice id="txAdvice" transaction-manager="txManager">
        <tx:attributes>
            <tx:method name="add*"
                       isolation="REPEATABLE_READ" rollback-for="Exception"/>
            <tx:method name="update*"
                       isolation="REPEATABLE_READ" rollback-for="Exception"/>
            <tx:method name="delete*"
                       isolation="REPEATABLE_READ" rollback-for="Exception"/>
            <tx:method name="get*"
                       isolation="REPEATABLE_READ" read-only="true"/>
            <tx:method name="*"
                       isolation="REPEATABLE_READ" propagation="NOT_SUPPORTED"/>
        </tx:attributes>
    </tx:advice>

    <!--切入点-->
    <aop:config>
        <aop:pointcut
                expression="execution(* com.shiro.test.mvc.service..*(..))" id="point"/>
        <aop:advisor advice-ref="txAdvice" pointcut-ref="point"/>
    </aop:config>
          <!--  动态的 实现生成类 -->
    <bean class="org.mybatis.spring.mapper.MapperScannerConfigurer">
    <property name="basePackage" value="com.shiro.test.mvc.dao"/>
    </bean>
     <!-- 申明自定义数据源给shiro管理器注入 -->   
    <bean id="myShiroRealm" class="com.shiro.test.mvc.filter.MyShiroRealm"/>
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!-- <property name="realm" ref="iniRealm"/> -->
       <property name="realm" ref="myShiroRealm"/> 
    </bean>
    
    
    <!-- 基于注解的时候配置 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>
    <!-- Shiro连接约束配置,即过滤链的定义 -->
	<!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 -->
	<!-- anon：它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 -->
	<!-- authc：该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter -->
    <bean id="shiroFilter" class="com.shiro.test.mvc.filter.MyShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/gologin"/>
        <property name="successUrl" value="/index"/>
        <property name="unauthorizedUrl" value="/error"/>
        <property name="filterChainDefinitions">
            <value>
                /login=anon
                /gologin=anon
                /index = authc
                /role=authc,roles[admin]
                /menu/** = authc,roles[admin,test]
            </value>
        </property>
        <property name="filters">
           <map>
             <entry key="roles">
               <bean class="com.shiro.test.mvc.filter.MyShiroFilter"/>
             </entry>
           </map>
        </property>
    </bean>
</beans>

<bean id="myShiroRealm" class="com.shiro.test.mvc.filter.MyShiroRealm"/>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

<property name="realm" ref="myShiroRealm"/>
</bean>

申明自定的数据源，在进行登录验证的时候将会从自定义的数据源里进行查找

2. 从Controller从前台接受到邮箱和密码调用Service

2.Service对Controller传过来的请求进行处理

自定义MyShiroRealm继承AuthorizingRealm（用户认证及授权）

此图借用他人的，若侵权联系删

好了，到这里就已经完成了一个shiro框架对用户信息登录认证的过程。

接下来来看看授权的过程

在授权发方法中

@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		System.out.println("进入授权方法，进行授权");
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		User user = (User) principals.getPrimaryPrincipal();
        //获取用户的角色及角色的模块
        Set<Role> roles = user.getRoles();//通过用户查到用户角色
        for (Role role : roles) {//遍历数据
        Set<Module> modules = role.getModules();//通过用户查到用户模块
        for (Module module : modules) {
        info.addStringPermission(module.getCpermission());
     //通过用户模块查到模块名并添加到info中。也就是说把查到的模块显示到页面中，没有的就代表没授权
    }
    return list;
}

前台页面会通过shiro标签进行判断是否有相应权限并进行显示

<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro" %>

//要想使用shiro的标签就一点要导数据标签

举例：

<shiro:hasPermission name="menu:list">

//shiro:hasPermission：拥有权限的资源 name：权限访问的名字，如上:当该用户里有部门管理权限时，才会让其看到部门管理这个按钮

<li><a href="${ctx}/sysadmin/deptAction_list" οnclick="linkHighlighted(this)" target="main" id="aa_1">menu底下的菜单</a></li></shiro:hasPermission>

注意：以上方法可以使用户看不到自己没有权限的数据，但是如果用户自己写链接还是能访问到数据的

1.配置过滤器

<bean id="shiroFilter" class="com.shiro.test.mvc.filter.MyShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/gologin"/>
<property name="successUrl" value="/index"/>
<property name="unauthorizedUrl" value="/error"/>
<property name="filterChainDefinitions">
<value>
/login=anon
/gologin=anon
/index = authc
/role=authc,roles[admin]
/menu/** = authc,roles[admin,test]
</value>
</property>
<property name="filters">
<map>
<entry key="roles">
<bean class="com.shiro.test.mvc.filter.MyShiroFilter"/>
</entry>
</map>
</property>
</bean>

此处，我是使用的自定义的过滤器，如没有必要自定义的话使用org.apache.shiro.web.filter.authc.FormAuthenticationFilter可查阅文档，看如何实现，不再陈述。

2.使用注解方式（别忘了配置文件配置，上面配置文件中有有注解）

//这里代表的时要走这个方法模块中就得有角色管理这个模块，没有就拒绝访问

@RequiresPermissions(value="menu:list")

    public Page<Role> findPage(Specification<Role> spec, Pageable pageable) {

        // TODO Auto-generated method stub

        return roleDao.findAll(spec, pageable);

    }

到这里就完成了授权的过程，希望对你有所帮助，如有错误欢迎指出。

liu__jiang

关注

5
点赞
踩
18

收藏

觉得还不错? 一键收藏
0
评论
SSM+Shiro+用户登录授权

SSM与整合Shiro进行整合实现用户登录验证及权限分配在前面的学习过程中，已经学习了 Shiro的一些基本组件以及如何利用Shiro进行权限控制。下面学习用目前比较主流的SSM框架来整合Shiro框架，将我们前面学习的一些基本知识运用到实际项目之中。由于本人初学，内容可能比较粗浅，后期进行深入理解后会细化，SSM项目的搭建过程这里不再叙述，可查阅其他人教程学习，可能有时间也会进行回顾记录。...
复制链接

扫一扫