1、引入依赖

  1. <!-- 权限控制 框架 -->
  2. <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-all</artifactId>
      <version>1.2.2</version>
    </dependency>

2、配置web.xml

  1. <!--
    spring框架提供,整合shiro框架
    
         一定要在Struts拦截器之前配置
    
         DelegatingFilterProxy在创建过程中,依赖一个对象,这个对象必须在applicationContext.xml 文件中间注册,
    
         而且注册的时候声明的ID必须和DelegatingFilterProxy声明的filter-name保持一致
 
    -->
    <filter>
      <filter-name>shiroFilterFactoryBean</filter-name>
      <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
      <filter-name>shiroFilterFactoryBean</filter-name>
      <url-pattern>/*</url-pattern>
    </filter-mapping>

3、配置applicationContext.xml,配置全局权限

  1.      <!-- 初始化shiro框架提供的过滤器 -->
  2.      <bean id="shiroFilterFactoryBean" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
  3.          <!-- 注入安全管理器 -->
  4.          <property name="securityManager" ref="securityManager"/>
  5.          <!-- 权限认证的页面,登录页面 -->
  6.          <property name="loginUrl" value="/login.html"/>
  7.          <!-- 权限认证成功以后要跳转的页面 -->
  8.          <property name="successUrl" value="/index.html"/>
  9.          <!-- 权限认证失败(权限不足)以后要跳转的页面 只对拦截器生效,不对注解起效-->
  10.          <property name="unauthorizedUrl" value="/unauthorizedUrl.html"/>
  11.          <!--指定拦截规则-->
  12.          <property name="filterChainDefinitions" >
  13.              <!--
  14.                  authc:框架提供的过滤器,有权限就放行,没有权限就拦截
  15.                  anon:框架提供的过滤器,可以匿名访问
  16.                  perms:框架提供的过滤器,用户请求资源的时候,会去检查用户是否拥有对应的权限,如果有就放行,没有,跳转到unauthorizedUrl属性指定的页面
  17.                  拦截的规则执行的时候是从上往下执行的,一旦有一个规则匹配成功.后面的规则就不再执行了
  18.                  拦截规则不能折行
  19.              -->
  20.              <value>
  21.                  /webService/** = anon
  22.                  /upload/* = anon
  23.                  /css/* = anon
  24.                  /data/* = anon
  25.                  /images/* = anon
  26.                  /js/** = anon
  27.                  /validatecode.jsp* = anon
  28.                  /userAction_login.action = anon
  29.                  /courierAction_pageQuery.action = perms["courierAction_pageQuery"]
  30.                  /** = authc
  31.              </value>
  32.          </property>
  33.  
  34.      </bean>
  35.      <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
  36.          <!-- 配置realm类 -->
  37.          <property name="realm" ref="userRealm"/>
  38.      </bean>

4、配置applicationContext.xml开启cglib代理,启动shiro权限注解扫描

  1.      <!--
  2.          开启事务注解
  3.          JDK代理
  4.          CGLib代理方式
  5.          proxy-target-class:true 使用cglib代理
  6.          proxy-target-class:false 使用jdk代理
  7.      -->
  8.      <tx:annotation-driven proxy-target-class="true" transaction-manager="transactionManager" />
  9.  
  10.      <!--基于spring的自动代理,创建service层的实现-->
  11.      <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
  12.          <!--开启cglib 代理-->
  13.          <property name="proxyTargetClass" value="true"/>
  14.      </bean>
  15.      <!--配置切面-->
  16.      <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
  17.          <!--注入安全管理器 -->
  18.          <property name="securityManager" ref="securityManager"/>
  19.      </bean>

5、在action层中创建subject,交由Security Manager进行权限校验

  1.      @Action(value = "userAction_login",results = {
  2.              @Result(name = "success",location = "/index.html",type = "redirect"),
  3.              @Result(name = "error",location = "/login.html",type = "redirect")
  4.      })
  5.      public String login(){
  6.          String serverCode = (String) ServletActionContext.getRequest().getSession().getAttribute("key");
  7.  
  8.          if (StringUtils.isNotEmpty(checkCode) && StringUtils.isNotEmpty(serverCode)){
  9.              Subject subject = SecurityUtils.getSubject();
  10.  
  11.              AuthenticationToken token = new UsernamePasswordToken(
  12.                      getModel().getUsername(),getModel().getPassword());
  13.  
  14.              try {
  15.                  subject.login(token);
  16.                  //方法的返回值有Realm中doGetAuthenticationInfo方法定义SimpleAuthenticationInfo对象的时候,第一个参数决定的
  17.                  User user = (User) subject.getPrincipal();
  18.                  ServletActionContext.getRequest().getSession().setAttribute("user",user);
  19.                  return SUCCESS;
  20.              } catch (AuthenticationException e) {
  21.                  e.printStackTrace();
  22.                  System.out.println("用户名或密码错误");
  23.              }
  24.          }
  25.          return ERROR;
  26.      }

6、创建realm进行授权认证等

  1.  @Component
  2.  public class UserRealm extends AuthorizingRealm{
  3.  
  4.      @Autowired
  5.      private UserRepository userRepository;
  6.  
  7.      @Autowired
  8.      private RoleRepository roleRepository;
  9.  
  10.      @Autowired
  11.      private PermissionRepository permissionRepository;
  12.  
  13.      //授权的方法
  14.      @Override
  15.      protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
  16.          SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
  17.          //根据当前用户的用户名去查询对应的权限和角色
  18.          Subject subject = SecurityUtils.getSubject();
  19.          User user = (User) subject.getPrincipal();
  20.          if ("admin".equals(user.getUsername())){
  21.              List<Role> list = roleRepository.findAll();
  22.              for (Role role : list) {
  23.                  info.addRole(role.getKeyword());
  24.              }
  25.  
  26.              List<Permission> permissions = permissionRepository.findAll();
  27.              for (Permission permission : permissions) {
  28.                  info.addStringPermission(permission.getKeyword());
  29.              }
  30.          }else {
  31.             List<Role> roles =roleRepository.findbyUid(user.getId());
  32.              for (Role role : roles) {
  33.                  info.addRole(role.getKeyword());
  34.              }
  35.              List<Permission> permissions = permissionRepository.findbyUid(user.getId());
  36.              for (Permission permission : permissions) {
  37.                  info.addStringPermission(permission.getKeyword());
  38.              }
  39.          }
  40.  
  41.          return info;
  42.      }
  43.      //认证的方法
  44.      @Override
  45.      protected AuthenticationInfo doGetAuthenticationInfo(
  46.              AuthenticationToken authenticationToken) throws AuthenticationException {
  47.  
  48.          UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) authenticationToken;
  49.          String username = usernamePasswordToken.getUsername();
  50.          //根据用户名查找用户
  51.          User user = userRepository.findByUsername(username);
  52.          if (user != null){
  53.  
  54.      /*@param principal   当事人,主体,通常是从数据库中查询到的用户
  55.       * @param credentials 凭证,密码,是从数据库中查询出来的密码
  56.       * @param realmName   the realm from where the principal and credentials were acquired.*/
  57.              //找到 -> 对比密码
  58.              AuthenticationInfo info =  new SimpleAuthenticationInfo(user,user.getPassword(),getName());
  59.              //      比对成功-> 执行后续的逻辑
  60.              //      比对失败-> 抛异常
  61.              return info;
  62.          }
  63.          //找不到 -> 抛异常
  64.          return null;
  65.      }
  66.  }

7、给对应的方法添加权限注解(一般在service层)

  1.      @RequiresPermissions("batchDel")
  2.      //在调用方法时,框架就会检查当前用户是否有对应的权限,如果有就放行,没有就抛异常,启用权限注解必须开启CGLib
  3.      @Override
  4.      public void batchDel(String ids) {
  5.          if(StringUtils.isNotEmpty(ids)){
  6.              String[] strings = ids.split(",");
  7.              for (String string : strings) {
  8.                  courierRepository.updateDelTagsById(Long.parseLong(string));
  9.              }
  10.          }
  11.      }

8、给对应的jsp页面添加权限标签进行显示隐藏

  1.  <shiro:hasPermission name="courierAction_pageQuery">
  2.  {
  3.     id : 'button-delete',
  4.     text : '作废',
  5.     iconCls : 'icon-cancel',
  6.     handler : doDelete
  7.  }
  8.  </shiro:hasPermission>

9、一般页面的显示的逻辑是:根据用户所有拥有的角色和权限进行动态生成菜单,从而只显示用户可操作的页面。

SSH下shiro的基本使用的更多相关文章

  1. ssh下常用操作汇总(good)

    1. 安装git,从程序目录打开 "Git Bash"  2. 键入命令:ssh-keygen -t rsa -C "email@email.com"   &q ...

  2. SSH下authorized_keys, id_rsa, id_rsa.pub, known_hosts作用

    一.known_hsots ssh会把你每个你访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts.当下次访问相同计算机时,OpenSSH会核对公钥.如果公钥不同,O ...

  3. Java环境下shiro的测试-认证与授权

    Java环境下shiro的测试 1.导入依赖的核心jar包 <dependency> <groupId>org.apache.shiro</groupId> < ...

  4. CentOS在ssh下远程重装系统

    CentOS在ssh下远程重装系统 http://www.zxsdw.com/index.php/archives/913/ 国外VPS服务器一般都有控制面板,有很多种系统可自行安装,但国内有些IDC ...

  5. ssh下:系统初始化实现ServletContextListener接口时,获取spring中数据层对象无效的问题

    想要实现的功能:SSH环境下,数据层都交由Spring管理:在服务启动时,将数据库中的一些数据加载到ServletContext中缓存起来. 系统初始化类需要实现两个接口: ServletContex ...

  6. Linux SSH下安装Java并设置环境

    我是用Xshell进行远程连接阿里云服务器的,所以jdk不好下载. 我使用的是Winscp远程软件,在window上下载了jdk然后再上传到Linux服务器上 下面是安装的步骤 1.下载jdk8 登录 ...

  7. Linux ssh下实现免密码登录

    1.Linux 生成密钥 ssh-keygen -t rsa 进入“.ssh”会生成以下几个文件 id_rsa : 生成的私钥文件 id_rsa.pub : 生成的公钥文件 know_hosts : ...

  8. Xshell和SecureCRT等SSH下使用Tmux及Byobu(解决Byobu被statusline信息面板刷屏问题)

    Vim的vsplit用得爽吧!多命令行模式,同样让你爽得不蛋疼! 下面介绍一下两个终端多控制台软件:Tmux 和 Byobu!本文还是以Xshell为主进行介绍! --------------Tmux ...

  9. LINUX的SSH下FTP到远程服务器Entering Passive Mode失败解决

    LINUX 系统FTP连接远程服务器经常出现在传输文件或者发出 ls命令时候出现 "Entering Passive Mode "然后就再也无法运作了.该工作主要是因为LINUX的 ...

随机推荐

  1. matplotlib实现三维柱状图

    matplotlib实现三维柱状图 import cv2 img = cv2.imread("1.png", 0) #特征点在图片中的坐标位置 m = 448 n = 392 im ...

  2. Good Bye 2017 G. New Year and Original Order

    G. New Year and Original Order time limit per test 2 seconds memory limit per test 256 megabytes inp ...

  3. 创建一个vue项目,vue-cli,webpack

    ,换成淘宝源: npm config set registry https://registry.npm.taobao.org/ 检查是否修改成功 npm config get registry ,安 ...

  4. js获取url地址的参数的方法

    js获取url参数值 今天说一下如何获取url参数值. 思路 通过location的search就可以获取到url中问号后面的值. 字符串过滤到问号 通过split方法分割参数集合 循环赋值 匹配对应 ...

  5. java.lang.IllegalStateException: The content of the adapter has changed but ListView did not receive a notification

    ListView UI重绘时触发layoutChildren, 此时会校验listView的mItemCount与其Adapter.getCount是否相同,不同报错. ListView.layout ...

  6. Java之集合(十六)ArrayBlockingQueue

    转载请注明源出处:http://www.cnblogs.com/lighten/p/7427763.html 1.前言 JDK5是一个重要的更新版本,其提供了大量的并发类.之前的介绍都是一些util下 ...

  7. 通过Groovy来消除代码噪声

    通过Groovy来消除代码噪声 Java是在JVM上运行的最广泛使用的编程语言.不过,还有很多其他基于JVM的语言,比如Groovy,Scala,JRuby,Jython,Kotlin等等.其中,Gr ...

  8. rails中 flash 和 flash.now的区别

    Flash[:notice]’s message will persist to the next action and should be used when redirecting to anot ...

  9. 【树】Construct Binary Tree from Inorder and Postorder Traversal

    题目: Given inorder and postorder traversal of a tree, construct the binary tree. 思路: 后序序列的最后一个元素就是树根, ...

  10. SPSS学习系列之SPSS Modeler Server是什么?

    不多说,直接上干货! SPSS Modeler 使用客户端/服务器体系结构将资源集约型操作的请求分发给功能强大的服务器软件,因而使大数据集的传输速度大大加快.除了此处所列的产品和更新,也可能还有其他可 ...