基于SpringMVC的配置
目录
一、核心组件
首先我们应该清楚shiro中的核心组件有哪些:
1、UsernamePasswordToken,Shiro用来封装用户登录信息,使用用户的登录信息来创建令牌Token.
2、SecurityManager,Shiro的核心部分,负责安全认证和授权。
3、Suject,Shiro的一个抽象概念,包含了用户信息。
4、Realm,开发者自定义的模块,根据项目的需求,验证和授权的逻辑全部写在Realm 中。
5、AuthenticationInfo,用户的角色信息集合,认证时使用。
6、AuthorzationInfo,角色的权限信息集合,授权时使用。
7、DefaultWebSecurityManager,安全管理器,开发者自定义的Realm 需要注入到DefaultWebSecurityManager进行管理才能生效
8、ShiroFilterFactoryBean,过滤器工厂,Shiro的基本运行机制是开发者定制规则,Shiro去执行,具体的执行操作就是由ShiroFilterFactoryBean创建的一个个 Filter对象来完成。
二、配置
1.web.xml配置
<!--shiro过滤器-->
<!-- org.springframework.web.filter.DelegatingFilterProxy-->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
2.核心配置:springShiro.xml
- 注入bean
- 将bean注入进DefaultWebSecurityManager,安全管理器
- 将安全管理器注入ShiroFilterFactoryBean,过滤器工厂
- 在过滤器工厂进行过滤配置
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
<!--注入bean-->
<bean id="userRealm" class="com.qq.realm.UserRealm"/>
<!--将bean注入进安全管理器-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="userRealm"/>
</bean>
<!--将安全管理器注入进过滤器工厂-->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<!-- 登录页的url
未认证的用户就会重定向到这里
-->
<property name="loginUrl" value="/pages/login/login.jsp"/>
<!-- 未授权的url
一但未授权的用户访问需要授权的页面,就会重定向到这里
-->
<property name="unauthorizedUrl" value="/pages/error.jsp"/>
<!-- 登录成功就跳到这个路径(后台)-->
<property name="successUrl" value="/pages/book/index.jsp"/>
<!-- 路径过滤
用得最多的是 anon(匿名可访问),authc(认证后可访问),
logout(注销时用)(会清除所有session和一些cookie)(会默认跳往根目录)
-->
<property name="filterChainDefinitions">
<value>
<!--/pages/book/add.jsp = perms[user]-->
/pages/book/add.jsp = roles[admin]
/book/logout.do = logout
/book/*.do = authc
/pages/book/** = authc
</value>
</property>
</bean>
</beans>
3.引入shiro配置文件
我们shiro的配置文件配置好过后,需要交给spring进行管理。直接在spring的配置文件中引入就行了。
<!--引入shiro.xml的配置-->
<import resource="springshiro.xml"/>
三、Realm自定义模块
自定义模块需要继承 AuthorizingRealm,然后重写两个方法:
1.doGetAuthorizationInfo:用户授权
2.doGetAuthenticationInfo:用户认证
主要使用两个组件:
1.AuthenticationInfo,用户的角色信息集合,认证时使用。
2.AuthorzationInfo,角色的权限信息集合,授权时使用。
package com.qq.realm;
import com.qq.pojo.User;
import com.qq.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.Hash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.support.SimpleAutowireCandidateResolver;
import java.util.HashSet;
import java.util.Set;
//@Component
public class UserRealm extends AuthorizingRealm {
@Autowired
private UserService userService;
/*
授权
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//1.获取当前的登录信息
Subject subject = SecurityUtils.getSubject();
User user = (User) subject.getPrincipal();
//2.将当前用户的角色添加到set集合中
/*
为什么是set集合?
(1)set集合没重复值
(2)因为如果用户有多个角色的话,可以一次型添加
(3)SimpleAuthorizationInfo中的源码是用set集合来接收多个角色
*/
Set<String> roles = new HashSet<>();
roles.add(user.getRole());
//3.创建SimpleAuthorizationInfo用户权限集合
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//4.添加用户的角色
info.addRoles(roles);
//5.添加用户的权限
info.addStringPermission(user.getPermission());
//6.返回
return info;
}
/*
认证
登录
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
/*
一、
客户端传过来的账号密码在AuthenticationToken authenticationToken里面,
我们需要把authenticationToken转换为UsernamePasswordToken类型的数据
就是如下这一句:
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
*/
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
/*
二、
我们需要通过业务层去查找我们的用户
通过username去查找这个用户
token.getUsername()可以获取到我们传过来的username
*/
User user = userService.findUser(token.getUsername());
/*
三、
先判断我们有没有找到这个用户,然后在判断密码。
*/
if (user != null) {
/*
4.1
账户存在则判断密码是否正确,我们只需要把
user这个对象
查询出来的密码
realm名称 this.getName()
放进SimpleAuthenticationInfo方法就能自动判断密码是否正确
如果正确就通过,如果不正确就会抛一个密码错误的异常
*/
return new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
}
//4.2如果账户不存在会自动抛出一个账户不存在的异常
return null;
}
}
四、如何调用Realm
1.首先得到Subject对象
2.将登录的用户名和密码封装进令牌
3.subject.login(令牌):这里就会进入到我们进行登录认证的地方
4.捕获异常:
1)UnknownAccountException:用户名不存在异常
2)IncorrectCredentialsException:密码错误异常
5.如果没有发生异常就代表登录成功,会跳转到我们在shrio中配置的登录成功页面
@RequestMapping("/login.do")
public ModelAndView login(User user,HttpSession see){
ModelAndView mv = new ModelAndView();
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword());
try {
//我们需要对subject.login(token)进行异常捕获
subject.login(token);
mv.setViewName("/book/index");
see.setAttribute("username",user.getUsername());
}catch (UnknownAccountException e){
//UnknownAccountException:用户名不存在异常
mv.addObject("msg","账户不存在");
mv.setViewName("/login/login");
}catch (IncorrectCredentialsException e){
//IncorrectCredentialsException:密码错误异常
mv.addObject("msg","密码错误");
mv.setViewName("/login/login");
}
return mv;
}