Spring shiro 初次使用小结
首先引入一段关于shiro的介绍:
开发系统中,少不了权限,目前java里的权限框架有SpringSecurity和Shiro(以前叫做jsecurity),对于SpringSecurity:功能太过强大以至于功能比较分散,使用起来也比较复杂,跟Spring结合的比较好。对于初学Spring Security者来说,曲线还是较大,需要深入学习其源码和框架,配置起来也需要费比较大的力气,扩展性也不是特别强。
对于新秀Shiro来说,好评还是比较多的,使用起来比较简单,功能也足够强大,扩展性也较好。听说连Spring的官方都不用Spring Security,用的是Shiro,足见Shiro的优秀。网上找到两篇介绍:http://www.infoq.com/cn/articles/apache-shiro http://www.ibm.com/developerworks/cn/opensource/os-cn-shiro/,http://itindex.net/detail/50410-apache-shiro-%E4%BD%BF%E7%94%A8%E6%89%8B%E5%86%8C,官网http://shiro.apache.org/ ,使用和配置起来还是比较简单。
下面只是简单介绍下我们是如何配置和使用Shiro的。
pom.xml引入相关jar包
<!-- spring结合 -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>
<!--缓存包-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-ehcache</artifactId>
<version>1.4.0</version>
</dependency>
<!--核心包-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.0</version>
</dependency>
web.xml增加过滤
<!-- shiro 权限控制的过滤器 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter> <filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
增加一个shiro.xml的配置文件
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:jee="http://www.springframework.org/schema/jee"
xmlns:tx="http://www.springframework.org/schema/tx" xmlns:context="http://www.springframework.org/schema/context"
xmlns:util="http://www.springframework.org/schema/util"
xsi:schemaLocation="
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-3.0.xsd
http://www.springframework.org/schema/jee http://www.springframework.org/schema/jee/spring-jee-3.0.xsd
http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.0.xsd
http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util.xsd"
default-lazy-init="false"> <!-- 缓存管理器 使用memory实现 --> <!--rememberMe 30天 -->
<bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
<constructor-arg value="COOKIE_NAME" />
<property name="httpOnly" value="true" />
<property name="maxAge" value="2592000" /> </bean> <!-- rememberMe管理器 -->
<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
<property name="cipherKey" value="#{T(org.apache.shiro.codec.Base64).decode('4AvVhmFLUs0KTA3Kprsdag==')}" />
<property name="cookie" ref="rememberMeCookie" />
</bean> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 继承AuthorizingRealm的类-->
<property name="realm" ref="userRealm" />
<property name="rememberMeManager" ref="rememberMeManager" />
</bean> <!-- Shiro Filter -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" />
<property name="loginUrl" value="/openid" />
<property name="successUrl" value="/manage" />
<property name="unauthorizedUrl" value="/openid" />
<property name="filterChainDefinitions">
<value>
/api/**=anon
/res/**=anon
/src/**=anon
/health/**=anon
/logout=authc
/openid=anon
/callback=anon
/=authc
/**=anon
</value>
</property>
</bean> <!-- Shiro生命周期处理器 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" /> </beans>
对bean的扫描配置
<!-- shiro相关的配置文件和路径扫描的配置必须要放在项目的mvc的配置文件(即xxx-servlet.xml)里 -->
<aop:config proxy-target-class="true" /> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager" />
</bean>
UserRealm
@Component
public class UserRealm extends AuthorizingRealm { private Logger logger = org.slf4j.LoggerFactory.getLogger(UserRealm.class); public final static String CREDENTIALS = "openid"; @Autowired
private SessionService sessionService;
@Autowired
private PermissionService permissionService; // 记录是否已经设置过PemissionResover
private boolean hasSetPemissionResover = false; @Override
public PermissionResolver getPermissionResolver() {
if (!hasSetPemissionResover) {
setPermissionResolver(new WildcardExtPermissionResolver());
hasSetPemissionResover = true;
}
return super.getPermissionResolver();
} /**
* 获取授权信息
*
* @param principals
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
try {
Iterator<String> iter = principals.fromRealm(getName()).iterator();
if (!iter.hasNext()) {
logger.info("shiro 验证 无权限");
return null;
}
String email = iter.next();
if (!Strings.isNullOrEmpty(email)) {
// set session
SessionObject so = sessionService.getSession(email);
if (so == null) {
logger.info("so 缓存为空");
return null;
}
SessionUtils.setSo(so); // set auth
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermissions(permissionService.getPermsForUser(so.getRoleId()));
return info;
}
logger.info("邮箱为空");
return null;
} catch (Exception e) {
logger.error("shiro 权限获取异常:", e);
return null;
}
} /**
* 获取身份验证相关信息:
*
* @param authcToken
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
try {
UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
String email = token.getUsername();
String password = new String(token.getPassword());
if (!StringUtils.isEmpty(email) && CREDENTIALS.equals(password)) {
SessionObject so = SessionUtils.getSo();
sessionService.addOrUpdateSession(so);
return new SimpleAuthenticationInfo(email, CREDENTIALS, getName());
}
logger.info("登录验证失败,shiro 不添加权限信息");
return null;
} catch (Exception e) {
logger.error("shiro 身份验证异常:", e);
return null;
}
} }
登录调用
UsernamePasswordToken token = new UsernamePasswordToken(
"username", "password", true); SecurityUtils.getSubject().login(token);
退出调用
SecurityUtils.getSubject().logout();
权限注解
@RequiresPermissions(value = {"ROLE_KEY"})
以上的配置走完以后就可以用,下面讲讲个人需求,以及踩过的坑:
1、如何修改cookie的名称,默认名称“rememberMe”太丑了有木有?
首先丢一篇文章,关于该cookie的:http://blog.csdn.net/lhacker/article/details/19341735
我的理解是Shiro 的 SimpleCookie 其实提供了修改cookie名称的方法,方法有两个:
一是直接通过构造函数的方法修改cookie的名称,就像我展示的配置文件shiro的中一样:
<constructor-arg value="COOKIE_NAME" />
其实调用的是SimpleCookie这个方法:
public SimpleCookie(String name) {
this();
this.name = name;
}
SimpleCookie 其实还提供了其它构造方法可以使用,详见源码。
第二个方法则是通过给SimpleCookie的name字段赋值的方法,这个方法就和我给的链接中的方法一样:
<property name="name" value="COOKIE_NAME" />
除此之外,还可以配置SimpleCookie的其它字段,源码中给出的可以配置字段如下:
private String name;
private String value;
private String comment;
private String domain;
private String path;
private int maxAge;
private int version;
private boolean secure;
private boolean httpOnly;
2、明明配置了权限注解,为什么没有调用doGetAuthorizationInfo获取授权信息的方法?
注解生效需要在servlet.xml中配置如下:
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager" />
</bean>
3、一个接口可以被不同的页面调用,但这个页面分别属于不同的权限?
我们在使用权限注解时,往往会遇到这样的问题,接口可以重复使用,权限却要分开,怎么办呢?
首先看看@RequiresPermissions注解的源码:
@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiresPermissions { /**
* The permission string which will be passed to {@link org.apache.shiro.subject.Subject#isPermitted(String)}
* to determine if the user is allowed to invoke the code protected by this annotation.
*/
String[] value(); /**
* The logical operation for the permission checks in case multiple roles are specified. AND is the default
* @since 1.1.0
*/
Logical logical() default Logical.AND; }
源码很简单,不难发现,注解中权限的key存放在value数组中,另外还有一个Logical用来存放多个权限之间关系,所以当我们一个方法需要满足多个权限时,可以这样:
@RequiresPermissions(value = { "key1", "key2" }, logical = Logical.AND)
当一个方法满足任意权限key时,可以这样
@RequiresPermissions(value = { "key1", "key2" }, logical = Logical.OR)
4、采用非用户密码的方式登录怎么办?
遇到这个问题,我的处理办法是验证方式我们事先处理掉,然后再调用subject的login,大致流程如下:
// 处理登录逻辑
验证手机验证码等......
// 调用subject login
UsernamePasswordToken token = new UsernamePasswordToken(
email, "openid", true);
// username 字段可以放id/账号/手机号/邮箱等唯一值
// password 则存放一个当前账号必带的一个信息,若有在验证过程中有密码则可以存放密码,可以直接存放任意string,这个都没关系,这里就存放了一个string字符"openid"
SecurityUtils.getSubject().login(token);
subject 的 login方法会间接调用到doGetAuthenticationInfo获取验证相关信息的方法,上面给出了一个方法的源码
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
try {
UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
String email = token.getUsername();
String password = new String(token.getPassword());
if (!StringUtils.isEmpty(email) && "openid".equals(password)) {
// 这里做简单的判断,username不为空,且 password 为我们给定的字符串
// 如果是则可以进行权限验证,否则失败
// 这里除了放username 还可以放其它内容,也可以将整个user的信息从数据库取出来,放入SimpleAuthenticationInfo的principal字段中
return new SimpleAuthenticationInfo("希望存入cookie的内容","openid", getName());
}
logger.info("登录验证失败,shiro 不添加权限信息");
return null;
} catch (Exception e) {
logger.error("shiro 身份验证异常:", e);
return null;
}
}
5、存入cookie的数据无法序列化?
放入放入SimpleAuthenticationInfo的principal字段常常遇到序列化的问题,这是由于我们平时写的model都没有实现Serializable,所以我们只要让对应的model实现一下即可,如:
public class User implements Serializable{
......
}
6、shiro.xml中配置和注解分别做啥用?
注解和shiro.xml中配置的filter是shiro提供的两套权限验证流程,他们的调用并不一样
这篇文档对filter中的相关注解错了比较详细的介绍:http://blog.csdn.net/clj198606061111/article/details/24185023
我截取一段关于shiro.xml中关于ShiroFilterFactoryBean配置的说明,如下:
securityManager:这个属性是必须的。
loginUrl:没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。
successUrl:登录成功默认跳转页面,不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面,则在登录自动跳转到那个需要登录的页面。不跳转到此。
unauthorizedUrl:没有权限默认跳转的页面。
过滤器简称 |
对应的java类 |
anon |
org.apache.shiro.web.filter.authc.AnonymousFilter |
authc |
org.apache.shiro.web.filter.authc.FormAuthenticationFilter |
authcBasic |
org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter |
perms |
org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter |
port |
org.apache.shiro.web.filter.authz.PortFilter |
rest |
org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter |
roles |
org.apache.shiro.web.filter.authz.RolesAuthorizationFilter |
ssl |
org.apache.shiro.web.filter.authz.SslFilter |
user |
org.apache.shiro.web.filter.authc.UserFilter |
logout |
org.apache.shiro.web.filter.authc.LogoutFilter |
anon:例子/admins/**=anon 没有参数,表示可以匿名使用。
authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数
roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。
perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。
rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。
port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString
是你访问的url里的?后面的参数。
authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证
ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查
注:anon,authcBasic,auchc,user是认证过滤器,
perms,roles,ssl,rest,port是授权过滤器
注解中的权限信息,则是通过获取授权信息方法实现:
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
try {
Iterator<String> iter = principals.fromRealm(getName()).iterator();
if (!iter.hasNext()) {
logger.info("shiro 验证 无权限");
return null;
}
String email = iter.next();
if (!Strings.isNullOrEmpty(email)) {
// 通过email可以实时获取权限信息,当然也可以在iter中本身就带有权限信息,不在进行数据库或者redis的查询
// set auth
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermissions(new ArrayList<String>("权限集合"));
return info;
}
logger.info("邮箱为空");
return null;
} catch (Exception e) {
logger.error("shiro 权限获取异常:", e);
return null;
}
}
总结:
第一次使用shiro做权限验证,个人感觉shiro的权限验证比较灵活易懂,且比较适合新手接入,权限的控制也比较简单。上面提出的几个问题,即是本人在随着项目的所遇到的问题,只是给出了个人的解决方法,若有更适合的方法还请指出,多谢。
Spring shiro 初次使用小结的更多相关文章
- Spring+shiro配置JSP权限标签+角色标签+缓存
Spring+shiro,让shiro管理所有权限,特别是实现jsp页面中的权限点标签,每次打开页面需要读取数据库看权限,这样的方式对数据库压力太大,使用缓存就能极大减少数据库访问量. 下面记录下sh ...
- Spring+Shiro搭建基于Redis的分布式权限系统(有实例)
摘要: 简单介绍使用Spring+Shiro搭建基于Redis的分布式权限系统. 这篇主要介绍Shiro如何与redis结合搭建分布式权限系统,至于如何使用和配置Shiro就不多说了.完整实例下载地址 ...
- Spring Cloud学习笔记--Spring Boot初次搭建
1. Spring Boot简介 初次接触Spring的时候,我感觉这是一个很难接触的框架,因为其庞杂的配置文件,我最不喜欢的就是xml文件,这种文件的可读性很不好.所以很久以来我的Spring学习都 ...
- Spring shiro使用
maven依赖: <dependency> <groupId>commons-collections</groupId> <artifactId>com ...
- spring + shiro + cas 实现sso单点登录
sso-shiro-cas spring下使用shiro+cas配置单点登录,多个系统之间的访问,每次只需要登录一次,项目源码 系统模块说明 cas: 单点登录模块,这里直接拿的是cas的项目改了点样 ...
- Spring+Shiro的踩坑
今天想给某个Service的某些方法添加Cache,这个记为A,用的springboot,照常在方法上加上Cacheable注解,测试缓存生效,搞定.然后再在第二个Service,记为B,添加Cach ...
- spring+shiro+ehcache整合
1.导入jar包(pom.xml文件) <!-- ehcache缓存框架 --> <dependency> <groupId>net.sf.ehcache</ ...
- spring+shiro+springmvc+maven权限卡控示例
项目结构 UserController , 主要负责用户登入和注销. LinewellController, 主要负责请求受权限卡控的数据. MyRealm,自定义realm. Authorizati ...
- spring shiro 集成
1.向spring项目中添加shiro相关的依赖 <dependency> <groupId>commons-logging</groupId> <artif ...
随机推荐
- soj3129: windy和水星 -- 水星数学家 2
注意int的范围:-2147483648-2147483647 如果输入会出现溢出,这题应该就是卡的这里.其使用long long就不用考虑这个. 加深:如果输入的数是很多位,直接当做字符串处理即可. ...
- docker-compose 完整打包发布, 多服务,多节点SPRING CLOUD ,EUREKA 集群
这里不再使用 端口映射的方式,因为不同主机上,Feign 根据 docker hostname访问会有问题. 把打包的好jar copy到docker镜像里 有几个服务,就复制几个dockerfile ...
- com.alibaba.druid.sql.parser.ParserException: syntax error, QUES %, pos 80 like报错解决
最近,把各应用的jdbc连接池统一从dbcp2改成了druid,运行时druid报sql解析错误,如下: select * from test where 1=1 &l ...
- NLP+词法系列(一)︱中文分词技术小结、几大分词引擎的介绍与比较
笔者想说:觉得英文与中文分词有很大的区别,毕竟中文的表达方式跟英语有很大区别,而且语言组合形式丰富,如果把国外的内容强行搬过来用,不一样是最好的.所以这边看到有几家大牛都在中文分词以及NLP上越走越远 ...
- OkHttp使用教程——网络操作之OkHttp, Volley以及Gson
写这篇文章的动机 在安卓项目中有一个问题可能无法避免:网络.不管你是加载图片,请求API数据还是从因特网上获得一个字节,你都是在使用网络. 鉴于网络在安卓中的重要性与基础性,当今安卓开发者面临的问题之 ...
- 【php】windows安装PHP5.5+Apache2.4
php5.5和apache2.4的整合 看到php的版本升级了,就想试下新的特性 一.准备下载的文件 apache2.4.9 http://www.apachelounge.com/download/
- MyEclipse弹出提示窗口
MyEclipse弹出提示窗口 1.弹窗如下
- Java获取某年某月的第一天
Java获取某年某月的第一天 1.设计源码 FisrtDayOfMonth.java: /** * @Title:FisrtDayOfMonth.java * @Package:com.you.fre ...
- Java Web项目缺少jsp、servlet jar包
1.错误描述 Caused by:java.lang.ClassNotFoundException:javax.servlet.jsp.PageContent 2.错误原因 缺少有关的js ...
- directX根据设备类GUID查询所属的filter
hr = m_pSysDevEnum->CreateClassEnumerator(*clsid, &pEnumCat, 0); ASSERT(SUCCEEDED(hr)); ...