Shiro 完整教程及样例demo

Shiro Demo 准备工作

运行前申明

1. 请看完本页面的所有细节，对你掌握这个项目来说很重要，别一上来就搞，你不爽，我也不爽。
2. 本项目需要一定的Java功底，需要对SpringMvc，Mybatis，有基本的了解，其次对Redis有了解和使用更佳。
3. 本项目理论上，只需要一个Redis，然后一个Mysql和一个有Maven环境的开发工具即可运行起来。
4. 对Reids没有了解，请看这里：对Redis的理解，Redis是什么，Redis和Memcache谁快？。

运行步骤

1. 从Github下载源码（不定期更新和修复BUG），导入到Eclipse、MyEclipes、Idea类似开发工具。
2. 解决编译错误，修改JDK为1.7以上（请勿使用工具自带JDK）。
3. 在Mysql数据库中创建一个数据库，库名随便。
4. 从项目/init/sql/下，先执行tables.sql创建表，再运行init.data.sql插入初始化数据。
5. 再修改配置jdbc.properties把数据库链接改成您的。
6. 安装Redis服务，如果您没用过，或者没安装，请看这里==>Redis 安装，以及注意事项都在里面有说明。Redis启动报错请看这里：Please see the documentation included with the binary distributions for more details on the --maxheap flag.
7. 安装完毕后，修改配置：spring-cache.xml，如果是本地，无序修改，启动Redis，如对Redis不了解的同学，建议别设置密码。
8. 运行项目，如果还有错误请参考异常信息，并解决，如果实在不能解决，请加QQ群交流，群需要付费5元，加群请看右侧菜单。
9. 项目帐号和线上Demo一致：管理员帐号：admin，密码：sojson.com 如果密码错误，请用 sojson

线上Demo说明

1. Demo已经部署到线上，地址是：http://shiro.itboy.net
2. 管理员帐号：admin，密码：sojson.com 如果密码错误，请用 sojson
3. 你可以注册自己的帐号，然后用管理员赋权限给你自己的帐号，但是，每20分钟会把数据初始化一次。建议自己下载源码，让Demo跑起来，然后跑的更快，有问题加群解决。

Shiro Demo 源码下载

**Shiro Demo 非Maven项目依赖包下载：**点我下载

Github 0.1版本下载：https://github.com/baichengzhou/SpringMVC-Mybatis-shiro，（请下载0.2版本）

Github 0.2版本下载：https://github.com/baichengzhou/SpringMVC-Mybatis-Shiro-redis-0.2

Shiro Demo 0.2版本介绍：https://www.sojson.com/blog/165.html

Shiro Demo 0.2版本主要解决的问题为0.1版本出现的问题和BUG。

Shiro Demo 0.2版本为Shiro Demo 0.1的升级版本

PS：请选用0.2版本，这样你遇到的问题会比较少。

升级内容：

1. 修复了些许BUG，优化了语法。
2. 0.1版本限制较多，比如要部署到Tomcat Root下才能正常运行，就是用http://localhost:8080方式访问。
3. 0.2版本可以采用目录访问，如：http://localhost:8080/shiro.demo/，默认项目名称为/shiro.demo/

Shiro 简介

Apache?Shiro是?Java??的一个安全框架。我们经常看到它被拿来和?Spring??的?Security??来对比。大部分人认为?Shiro??比?Security??要简单。我的观点赞成一半一半吧。

首先?Shiro??确实和?Security??是同类型的框架，主要用来做安全，也就是我们俗称的权限校验（控制）。居多人对?Shiro??的定义为好入门。

我选型为?Shiro??，主要的原因扩展太easy了，而且我要的功能它都有。

本教程开发环境

本教程Jar包管理是?Maven??，所以如果是?Maven??项目下载Demo后可以直接使用，如果是普通的Java Web项目，那么请在下面下载所有依赖包。

本教程开发工具是Myecilpse8.5。

本教程编码格式为UTF-8。

本教程JDK为1.7，请勿使用自带工具JDK。

本教程Mysql为5.3版本是以上。

Redis版本随意。

本教程Spring版本为4.2.5。

前端页面采用Bootstrap 3.2。

本教程包含的内容

1. SSM（SpringMVC+Spring+Mybatis）框架的增删改查（含分页），所以如果框架小白也是可以看看的。
2. View层主要是Freemarker，但是为了考虑到好多人还使用的是JSP，也有一个页面是用JSP实现的，并且框架支持Freemarker和JSP双View展示（优先找Freemarker）。
3. Shiro+Redis的集成，也提供Ehcache的依赖Jar。
4. Shiro初始权限动态加载。
5. Shiro自定义权限校验Filter定义，及功能实现。
6. ShiroAjax请求权限不满足，拦截后解决方案。
7. ShiroFreemarker标签使用。
8. ShiroJSP标签使用。
9. Shiro登录后跳转到最后一个访问的页面。
10. 用户禁止登录Demo。
11. 在线显示，在线用户管理（踢出登录）。
12. 登录注册密码加密传输Demo（详细请见下面讲解）。
13. 密码修改。
14. 用户个人中心。
15. 权限的增删改查。
16. 角色的增删改查。
17. 权限->角色->用户之间的关系维护。
18. 管理员权限的自动添加（当有一个权限创建，自动添加到管理员角色下，保证管理员是最大权限）。
19. Spring定时任务数据化数据。
20. 集成多种验证码（包括动态的gif验证码哦）。
21. 一个帐号多处登录限制，踢出用户。
22. 后续会陆陆续续升级… …

一、SSM（SpringMVC + Mybatis）框架的增删改查（含分页）

本教程是SSM（[SpringMVC](https://www.sojson.com/tag_springmvc.html) + [Spring](https://www.sojson.com/tag_springmvc.html) + Mybatis + [Freemarker](https://www.sojson.com/tag_freemarker.html) + JSP）+ Shiro + Redis 做的整体Demo，其他框架需要自己自行解决，所以不做其他框架的讲解，其实是大同小异。

Controller==>Service(事务控制层) ==>Dao==>SqlMapper==>Mysql

二、View层 Freemarker，JSP

通用View层配置在spring-mvc.xml中的以【通用试图解析器】注释标注的区间配置。

三、Shiro + Redis 的集成，也提供Ehcache的依赖Jar。

Redis缓存配置主要在spring-cache.xml中。对应的所有Cache 相关?Java??代码在package：com.sojson.core.shiro.cache中

四、Shiro 初始权限动态加载。

我们一般是这么加载的。在spring-shiro.xml中配置

3. /** = anon
4. /page/login.jsp = anon
5. /page/register/* = anon
6. /page/index.jsp = authc
7. /page/addItem* = authc,roles[数据管理员]
8. /page/file* = authc,roleOR[普通用户,数据管理员]
9. /page/listItems* = authc,roleOR[数据管理员,普通用户]
10. /page/showItem* = authc,roleOR[数据管理员,普通用户]
11. /page/updateItem*=authc,roles[数据管理员]

本教程采用动态加载，你可以从数据库里读取然后拼接成shiro要的数据。

配置文件方式加载详细讲解：https://www.sojson.com/blog/148.html

五、Shiro 自定义权限校验Filter定义，及功能实现。

Shiro Filter在package：com.sojson.core.shiro.filter，具体配置在spring-shiro.xml中。定义了5个拦截器，具体功能看代码以及代码注释。

7. util:map

12. </util:map>

六、Shiro Ajax请求权限不满足，拦截后解决方案。

这里有一个前提，我们知道Ajax不能做页面redirect和forward跳转，所以Ajax请求假如没登录，那么这个请求给用户的感觉就是没有任何反应，而用户又不知道用户已经退出了。解决代码如下：

1. //Java代码，判断如果是Ajax请求，然后并且没登录，那么就给予返回JSON，login_status = 300，message = 当前用户没有登录！

2. if (ShiroFilterUtils.isAjax(request)) {// ajax请求

3. Map<String,String> resultMap = new HashMap<String, String>();

4. LoggerUtils.debug(getClass(), “当前用户没有登录，并且是Ajax请求！”);

5. resultMap.put(“login_status”, “300”);

6. resultMap.put(“message”, “当前用户没有登录！”);//当前用户没有登录！

7. ShiroFilterUtils.out(response, resultMap);

8. }

9. //前端代码

10. if(result.login_status == 300){

11. layer.msg(result.message);//当前用户没有登录！

12. }

七、Shiro Freemarker标签使用。

Freemarker使用Shiro 标签的介绍：https://www.sojson.com/blog/143.html

八、Shiro JSP标签使用。

JSP使用Shiro 标签的介绍：https://www.sojson.com/blog/144.html

九、Shiro 登录后跳转到最后一个访问的页面。

在?Java??中就可以这样获取上一个地址：

1. //上一个浏览的非Ajax的地址，在登录后，取得地址，如果不为null，那么就跳转过去。
2. String url = (String) request.getAttribute(WebUtils.FORWARD_REQUEST_URI_ATTRIBUTE);
3. //shiro也有他的方法。详细看下面。

如果需要保存登录之前的Request信息，那么需要在Login拦截的Filter中先保存：

1. @Override
2. protected boolean onAccessDenied(ServletRequest request, ServletResponse response)
3. throws Exception {
4. //保存Request和Response，登录后可以取到
5. saveRequestAndRedirectToLogin(request, response);
6. return Boolean.FALSE ;
7. }
8. //登录后，取到之前的Request中的一些信息。
9. SavedRequest saveRequest = WebUtils.getSavedRequest(request);
10. saveRequest.getMethod();//之前的请求方法
11. saveRequest.getQueryString();//之前请求的条件
12. saveRequest.getRequestURI();//之前请求的路径
13. saveRequest.getRequestUrl();//之前请求的全路径

十、用户禁止登录Demo

这个功能其实是一个改变用户数据库表里的一个字段，本Demo中：1:有效，0:禁止登录

然后踢出用户登录状态。代码详细请查看CustomSessionManager.java类的forbidUserById(Long id, Long status)方法。

而再次登录的话，需要再登录，而登录的地方限制了用户状态为（0:禁止登录）的用户登录。

1. /**
2. * 查询要禁用的用户是否在线。
3. * @param id 用户ID
4. * @param status 用户状态
5. */
6. public void forbidUserById(Long id, Long status) {
7. //获取所有在线用户
8. for(UserOnlineBo bo : getAllUser()){
9. Long userId = bo.getId();
10. //匹配用户ID
11. if(userId.equals(id)){
12. //获取用户Session
13. Session session = shiroSessionRepository.getSession(bo.getSessionId());
14. //标记用户Session
15. SessionStatus sessionStatus = (SessionStatus) session.getAttribute(SESSION_STATUS);
16. //是否踢出 true:有效，false：踢出。
17. sessionStatus.setOnlineStatus(status.intValue() == 1);
18. //更新Session
19. customShiroSessionDAO.update(session);
20. }
21. }
22. }

十一、在线显示，在线用户管理（踢出登录）

上面的功能依赖这个功能。从Redis中获取所有有效的Session

1. /**

2. * 获取所有的有效Session用户

3. * @return

4. */

5. public List getAllUser() {

6. //获取所有session

7. Collection sessions = customShiroSessionDAO.getActiveSessions();

8. List list = new ArrayList();

9. for (Session session : sessions) {

10. UserOnlineBo bo = getSessionBo(session);

11. if(null != bo){

12. list.add(bo);

13. }

14. }

15. return list;

16. }

踢出后，不能直接退出，要不然用户感觉莫名其妙。所有增加了一个Filter。SimpleAuthFilter.java如果标记为踢出，会提示用户。具体查看源码以及配合项目的使用。

十二、登录注册密码加密传输

这个地方好多人纠结的。比如密码过于简单，即使加密后也能破解。如我们把密码：123456，加密后就是：e10adc3949ba59abbe56e057f20f883e

这个很容易被识别，导致不安全，现在市面上的MD5破解其实就是把常用的数字，字母进行先加密，然后对比，美其名曰破解MD5。

那怎么能让用户即使使用很简单的密码，也发现不了？

本Demo的实现方式是：MD5(登录帐号 + “固定值” + 密码)，把这个作为密码，这样，基本是不可能猜的出来。

1. //Java代码。UserManager.md5Pswd(UUser user);

2. /**

3. * 加工密码，和登录一致。

4. * @param user

5. * @return

6. */

7. public static UUser md5Pswd(UUser user){

8. //密码为 email + ‘#’ + pswd，然后MD5

9. user.setPswd(md5Pswd(user.getEmail(),user.getPswd()));

10. return user;

11. }

12. /**

13. * 字符串返回值

14. * @param email

15. * @param pswd

16. * @return

17. */

18. public static String md5Pswd(String email ,String pswd){

19. pswd = String.format(“%s#%s”, email,pswd);

20. pswd = MathUtil.getMD5(pswd);

21. return pswd;

22. }

23. //JS代码

24. var pswd = MD5(username +“#” + password);

十三、密码修改

不讲了，和上面原理一致，然后具体看Demo。

十四、用户个人中心

包含的功能有[个人资料,资料修改,密码修改,我的权限]，具体看Demo。

十五、权限的增删改查。

本Demo的设计是遵循RBAC3的思想。https://www.sojson.com/blog/142.html

RBAC个人理解介绍：https://www.sojson.com/blog/141.html

具体实现看Demo。

十六、角色的增删改查

十七、权限->角色->用户之间的关系维护

把权限赋给角色。

把角色赋给用户。

十八、管理员权限的自动添加

这里每次添加一个权限，都会添加到“管理员”角色下，保证“管理员”角色拥有最大权限。

十九、Spring定时任务数据初始化

这个Demo因为是开放的，所以创建了一个定时任务。每20分钟执行一次，用Mysql存储过程重新创建表，重新插入初始化数据。

具体数据看项目中的init/sql下的tables.sql(初始化表)，init.data.sql(初始化数据)。

1. //定时任务配置文件spring-timer.xml
2. <task:executor id=“executor” pool-size=“5” />
3. <task:scheduler id=“scheduler” pool-size=“10” />
4. <task:annotation-driven executor=“executor” scheduler=“scheduler” />
5. //Java 代码 RoleServiceImpl.java
6. /**
7. * 每20分钟执行一次
8. */
9. @Override
10. @Scheduled(cron = "0 0/20 * * * ")
11. public void initData() {
12. roleMapper.initData();
13. }

二十、集成验证码

项目中package：com.sojson.common.utils.vcode包是验证码的封装包。

并且提供了一个VerifyCodeUtils.java 的验证码工具类。

使用方法参见：CommonController.java类中的getVCode()方法和getGifCode()方法。

验证码详细介绍、
Java生成验证码合集（一）简单版?、
Java生成验证码合集（二）GJF版?。

二十一、一个帐号多处登录限制，踢出用户。

项目中我们会用到单点登录，还有用到单个账号怎么限制同时只能一个人在线？

Shiro教程（十一）Shiro 控制并发登录人数限制实现，登录踢出实现:https://www.sojson.com/blog/158.html

如果不是Maven项目，下载依赖包。

依赖Jar包下载：

项目依赖Jar包，或者请加QQ群：259217951（群文件内有，有问题可以交流。）。

备注：点击文件名下载，附件源来自云端，只能在本站下载。复制下载链接无效。

Shiro + SSM框架 Demo 源码下载。

源码下载

Shiro_SSM_0.1版本下载(求你了，别下。)

Shiro_SSM_0.2版本下载(最后更新时间，2017年5月9日 )

备注：点击文件名下载，附件源来自云端，只能在本站下载。复制下载链接无效。