(配置文件请看下一个博客)
https://blog.csdn.net/weixin_41716049/article/details/84336669
https://blog.csdn.net/weixin_41716049/article/details/84336696
为了颜色标识注释,前面没有使用代码框,多多担待
《一,认证》
1.先建两个class文件
一个写 AuthRealm (授权与认证方法,并继承) extends AuthorizingRealm
获取其默认方法doGetAuthorizationInfo(授权方法) doGetAuthenticationInfo(认证方法)
一个写PasswordMatcher(密码验证器,并继承) extends SimpleCredentialsMatcher
获取默认方法doCredentialsMatch
2.在Action的登录方法中
@Action("loginAction_login")//重页面跳转过来的路径名
public String login() throws Exception {
//判断用户名是不是为空,如果是说明没有登录,跳转到用户登录页面
if(UtilFuns.isEmpty(username)){
return "login";
}
//1.SecurityUtils:是shiro的一个工具类。通过SecurityUtils获取getSubject 得到一个返回值
Subject subject = SecurityUtils.getSubject();
//3.根据逻辑2。new一个 UsernamePasswordToken,并传上用户名及密码。把返回值传给登入作为条件。
UsernamePasswordToken token = new UsernamePasswordToken(username,password);
try {
//2. subject的返回值里有两个方法logout:登出 login:登入。这里我们使用登录方法,通过方法我们可以看到需要一个返回值:AuthenticationToken的类型,又因为AuthenticationToken 是一个接口,所以我们使用他下面的UsernamePasswordToken 的实现类来写(ps:查看方法:Ctrl+t),
subject.login(token);//当调用subject的登入方法时,会跳转到认证的方法上。。。。。。。。。。
//4.在证方法中subject已经把获取到了用户,所以我们用subject.getPrincipal 可以获取到登录的用户,Principal:他是在认证方法中的principal:主要对象(登录的用户,详情看认证方法return的哪一步注释)
User user = (User) subject.getPrincipal();
//5.把user用户数据通过Session.put放在session值栈中。SysConstant.CURRENT_USER_INFO:是一个返回的值,在jsp页面中可以接收到,也可以直接写一个字符串让页面接收,返回的数据可以在页面做回显等功能
session.put(SysConstant.CURRENT_USER_INFO, user);
return SUCCESS;//以上全部都过了后,让其访问页面数据
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
super.put("errorInfo", "您的用户名或密码错误"); //登录页面的错误信息提示
return "login";
}
}
//退出
@Action("loginAction_logout")
public String logout(){
session.remove(SysConstant.CURRENT_USER_INFO); //删除session
SecurityUtils.getSubject().logout(); //调用登出方法
return "logout";
}
3.在认证方法中的doGetAuthenticationInfo
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
// TODO Auto-generated method stub
System.out.println("调用认证方法");
UsernamePasswordToken token =(UsernamePasswordToken)arg0;//先将arg0强转为UsernamePasswordToken类型
final String username = token.getUsername();//通过token获取到用户名
Specification<User> spec = new Specification<User>() { //把username 设为查询条件,查询数据库是否有这个用户名
@Override
public Predicate toPredicate(Root<User> root, CriteriaQuery<?> query, CriteriaBuilder cb) {
// TODO Auto-generated method stub
return cb.equal(root.get("username").as(String.class),username);
}
};
List<User> find = userServiceimpl.find(spec); //把spec 条件放到 查询中查询数据 查询用户名
if(find!=null&& find.size()>0){ //判断返回的结果不为空,及返回的数不小于0
User user = find.get(0); //通过索引获取到返回值的第一个数中的数据
return new SimpleAuthenticationInfo(user, user.getPassword(), getName()) ;//这里如果上面的都成立后会return到密码校验哪里去
/* SimpleAuthenticationInfo:是doGetAuthenticationInfo的一个实现类,因为doGetAuthenticationInfo 是一个接口不能直接new
把返回值添加到条件中 //principal:主要对象(登录的用户) , credentials:密码 ,realm的名字可以通过getName获取类名作为区分 */
}
return null;
}
4.在密码检验中PasswordMatcher
public class PasswordMatcher extends SimpleCredentialsMatcher { //先实现一个接口SimpleCredentialsMatcher 获取doCredentialsMatch的内部方法
@Override
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
System.out.println("调用了密码对比器");
UsernamePasswordToken utoken = (UsernamePasswordToken) token;
/*[把AuthenticationToken 中的token 装换为AuthenticationToken 中的(ps:查看方法Ctrl+t)
UsernamePasswordToken实现类 因为AuthenticationToken 是接口不能new数据],*/
String pwd = new String(utoken.getPassword());//通过utoken 获取用户密码,并转换成String类型,注意这里的转换不能强转,要用new的方法
//source:要加密的内容 salt:增加复杂度的内容 哈希次数:2
Md5Hash md5Hash = new Md5Hash(pwd, utoken.getUsername(), 2); //调用Md5加密 为输入的数据加密
String credentials = (String)info.getCredentials(); //通过AuthenticationInfo 的info 查询数据库的密码 装换成String类型
return equals(md5Hash.toString(),credentials); //对比用户输入的数据和数据库密码是否一致。return走,返回到Action方法中。
}
}
5.执行流程图解
《二,授权》
1.在授权方法中
-
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) { -
System.out.println("进入授权方法"); -
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); -
-
User user = (User) arg0.getPrimaryPrincipal(); -
//获取用户的角色及角色的模块 -
Set<Role> roles = user.getRoles(); //通过用户查到用户角色 -
for (Role role : roles) {//遍历数据 -
Set<Module> modules = role.getModules();//通过用户查到用户模块 -
for (Module module : modules) { -
info.addStringPermission(module.getCpermission()); -
//通过用户模块查到模块名并添加到info中。也就是说把查到的模块显示到页面中,没有的就代表没授权 -
} -
} -
return info; //返回到jsp页面中 -
}
2.jsp页面
-
<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro" %> -
//要想使用shiro的标签就一点要导数据标签 -
<shiro:hasPermission name="部门管理"> //shiro:hasPermission:拥有权限的资源 name:权限访问的名字,如上:当该用户里有部门管理权限时,才会让其看到部门管理这个按钮 -
<li><a href="${ctx}/sysadmin/deptAction_list" onclick="linkHighlighted(this)" target="main" id="aa_1">部门管理</a></li> -
</shiro:hasPermission>
3.以上方法可以使用户看不到自己没有权限的数据,但是如果用户自己写链接还是能访问到数据的,
解决方法一(推荐):过滤器链的权限配置方式:
-
<value> -
/index.jsp* = anon -
/home* = anon -
/sysadmin/login/login.jsp* = anon -
/sysadmin/login/loginAction_logout* = anon -
/login* = anon -
/logout* = anon -
/components/** = anon -
/css/** = anon -
/img/** = anon -
/js/** = anon -
/plugins/** = anon -
/images/** = anon -
/js/** = anon -
/make/** = anon -
/skin/** = anon -
/stat/** = anon -
/ufiles/** = anon -
/validator/** = anon -
/resource/** = anon -
//在这里进行配置,下面的以上为 /sysadmin/deptAction_*路径下的所有方法都必须要有部门管理权限才可以进入访问,(ps:在写方法时,建议写一个在这里就配置一个,避免混淆了) -
/sysadmin/deptAction_* = perms["部门管理"] -
/** = authc -
/*.* = authc -
</value>
解决方法二(推荐):注解的方式:
-
//这里代表的时要走这个方法模块中就得有角色管理这个模块,没有就拒绝访问 -
@RequiresPermissions(value="角色管理") -
public Page<Role> findPage(Specification<Role> spec, Pageable pageable) { -
// TODO Auto-generated method stub -
return roleDao.findAll(spec, pageable); -
}
shiro:的配置
1.导包:shiro.All 1.2.3
2.配置过滤器:在web.xml中 ,注意这段过滤器要写在struts2的过滤器前面。
-
<filter> -
<filter-name>shiroFilter</filter-name> -
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> -
<init-param> -
<param-name>targetFilterLifecycle</param-name> -
<param-value>true</param-value> -
</init-param> -
</filter> -
<filter-mapping> -
<filter-name>shiroFilter</filter-name> -
<url-pattern>/*</url-pattern> -
</filter-mapping>
3. <!-- 在applicationContext.xml中告诉spring生成shiro代理子类时,采用cglib方式生成 -->
<aop:aspectj-autoproxy proxy-target-class="true" /> 4.写shiro的配置文件:applicationContext-shiro
-
<?xml version="1.0" encoding="UTF-8"?> -
<beans xmlns="http://www.springframework.org/schema/beans" -
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p" -
xmlns:context="http://www.springframework.org/schema/context" xmlns:tx="http://www.springframework.org/schema/tx" -
xmlns:aop="http://www.springframework.org/schema/aop" -
xsi:schemaLocation="http://www.springframework.org/schema/beans -
http://www.springframework.org/schema/beans/spring-beans.xsd -
http://www.springframework.org/schema/aop -
http://www.springframework.org/schema/aop/spring-aop.xsd -
http://www.springframework.org/schema/tx -
http://www.springframework.org/schema/tx/spring-tx.xsd -
http://www.springframework.org/schema/context -
http://www.springframework.org/schema/context/spring-context.xsd"> -
<!-- 配置Spring整合shiro --> -
<!-- 密码比较器类 --> -
<bean id="passwordMatcher" class="cn.itcast.web.action.shiro.PasswordMatcher" /> -
<!-- 编写realm类 --> -
<bean id="authRealm" class="cn.itcast.web.action.shiro.AuthRealm"> -
<!-- 注入密码比较器对象 --> -
<property name="credentialsMatcher" ref="passwordMatcher" /> -
</bean> -
<!-- 配置安全管理器 --> -
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> -
<!-- 自己编写一个realm域对象 --> -
<property name="realm" ref="authRealm" /> -
</bean> -
<!-- Spring框架需要整合shiro安全框架 --> -
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> -
<!-- 注入安全管理器 --> -
<property name="securityManager" ref="securityManager" /> -
<!-- 登录页面 --> -
<property name="loginUrl" value="/index.jsp" /> -
<!-- 认证成功了,跳转的页面 <property name="successUrl" value=""/> --> -
<!-- 没有权限的跳转页面 --> -
<property name="unauthorizedUrl" value="/index2.jsp" /> -
<!-- 定义访问的规则 --> -
<property name="filterChainDefinitions"> -
<!-- /**代表下面的多级目录也过滤 注意:下面的过滤一定要遵循从小到大原则 ,并且不要写标点符号在后方,每条数据单独写一行,不要换行,尽量不要使用自动调整格式,会造成格式错误。 -
anon, authc :权限拦截器 ,anon:代表可以访问的路径,authc :代表不可以访问的路径。 -
--> -
<value> -
/index.jsp* = anon -
/home* = anon -
/sysadmin/login/login.jsp* = anon -
/sysadmin/login/loginAction_logout* = anon -
/login* = anon -
/logout* = anon -
/components/** = anon -
/css/** = anon -
/img/** = anon -
/js/** = anon -
/plugins/** = anon -
/images/** = anon -
/js/** = anon -
/make/** = anon -
/skin/** = anon -
/stat/** = anon -
/ufiles/** = anon -
/validator/** = anon -
/resource/** = anon -
/** = authc -
/*.* = authc -
</value> -
</property> -
</bean> -
<!-- 保证实现了Shiro内部lifecycle函数的bean执行 --> -
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" /> -
<!-- 生成代理,通过代理进行控制 --> -
<bean -
class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" -
depends-on="lifecycleBeanPostProcessor"> -
<property name="proxyTargetClass" value="true" /> -
</bean> -
<!-- 安全管理器 --> -
<bean -
class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> -
<property name="securityManager" ref="securityManager" /> -
</bean> -
</beans>
5. 在applicationContext.xml 中加载shiro文件
<import resource="classpath:applicationContext-shiro.xml"/>----------------------------------------------------------------------------------
二 shiro的使用方法流程。
1.shiro执行流程图解:
2.shiro登录的过程图解:
565
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
