shiro作为Apache的一款安全产品,Shiro包括四大模块:
Shiro内部调用流程:
从图中可以看出,要是我们想进行安全管理,就必须先经过subject,到达安全管理后,使用Realm获取真实的信息与用户输入的进行比对。
授权管理主要分为两部分,首先肯定用户得登录成功;然后才能继续谈及授权
-
登录部分
(1)必须先经过Subject,然后才能进入到securityMangger,在其内部调用用subject.login()进行登录,值得注意的是登录的过程不需要我们操心,因为shiro已经帮我们做好了,只需要调用该方法即可;登录是否成功,shiro写了一个异常AuthenticationException的方式进行,非常有趣。
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
try {
subject.login(token);
//证明用户名和密码正确
return "返回到首页";
} catch (AuthenticationException e) {
//证明用户名和密码错误
return "返回到登录页面继续进行登录";
}
(2)最终真正是否登录成功还需要使用Realm获取真正的用户名和密码,与用户输入的用户名和密码进行对比,如果相同就成功,如果不同就失败。Realm需要继承一下AuthorizingRealm,就会重写两个方法:一个是授权(doGetAuthorizationInfo),一个是获取真正用户名和密码用的(doGetAuthenticationInfo),我们这里需要的是在doGetAuthenticationInfo书写代码以获取真实信息。
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
UsernamePasswordToken loginToken = (UsernamePasswordToken) token;
String username = loginToken.getUsername();
//调用mybatis的后台通过用户名获取真实的用户密码
User user = userService.findUserByUserName(username);
AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
return info;
}
-
授权部分
(1)在需要授权的jsp页面引入shiro
<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro"%>
(2)在此jsp页面需要授权的部分用shiro的标签</shiro:hasPermission>包裹起来
<shiro:hasPermission name="需要管理的名字">
需要管理的标签内容,比如<span></span>
</shiro:hasPermission>
(3)在继承过AuthorizingRealm的类里的doGetAuthorizationInfo方法里添加需要进行授权的内容,若返回的信息有哪一些模块,则会显示出这一部分模块进行授权,没有的部分就不会授权也就不会在页面进行显示了。
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
Subject subject = SecurityUtils.getSubject();
User user = (User) subject.getPrincipal();
String userId = user.getUserId();
List<String> pList = userService.findModuleNameList(userId);
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermissions(pList);
return info;
}