源:http://blog.csdn.net/boonya/article/details/8233435

第一部分 Shiro简介及项目目录结构

最新官方示例下载:http://shiro.apache.org/

  • Shiro是Apache从JSecret项目演变而来的,该框架实现了:用户登录、认证、授权和权限管理操作的完整控制流程。Shiro最早的名字是JSecurity,后来更名为Shiro并成为Apache的孵化项目。这次改名也同样影响了Grails Shiro Plugin。它最早在Shiro还未改名之前就已经存在了,后来因为Shiro的名字变更,也就一道跟着“改名换姓”。由于Grails Shiro Plugin中已经包含了Shiro相关的Jar,因此对于插件的使用者而言,不必专门下载Shiro。JSecurity是一个强大,灵活的java安全框架。用于简洁地处理身份验证,授权,企业多个系统会话管理,加密服务等。
  • Shiro主要对用户的权限和Session进行特别的封装,并且支持跨平台的登录权限认证,EJB等项目中也可以实现Session的共享。
  • Shiro主要使用对象

Subject      当前操作的程序的对象相当于用户User,对应操作视图

SecurityManager  Shiro框架的心脏,确保框架正常运行。

Authenticator    执行身份验证(登录)尝试负责组件。

AuthenticationStrategy   协调Realm用户数据访问策略

Authorizer       负责应用程序中决定用户访问控制的组件。

SessionManager   如何创建及管理用户的session生命周期,提供良好的session体验。

SessionDAO      支持Session CRUD数据操作。

CacheManager    创建并管理Shiro组件执行的Cache实例的生命周期。

Cryptography     Shiro企业安全组件的补充。

Realms             担当Shiro与应用程序安全数据的"桥梁"或"连接器"。

  • 框架关系图如下所示:

  • Shiro配置:{以Spring-Hibernate 项目为例}

Shiro.ini初始化文件,可以将用户登录的权限设置在这里

[users]   users=user:*

[roles]   roles=role:*等等,shiro.ini在实际项目中可以不要,它仅仅是一种数据访问配置的手段

ehcache.xml  文件配置对象缓存示例的个数等

log4j.properties   日志配置文件

hibernate.cfg.xml  配置实体隐射关系[Hibernate整合]

applicationContext.xml  配置Spring 数据源访问和对象注入

applicationContext-shiro.xml  Shiro配置文件

Sprhib-servlet.xml      servlet控制页面跳转路径的配置

配置文件目录如下:

  • 创建规范的项目目录结构如下:

注:具体文件配置官方示例有。

第二部分   Shiro与Hibernate的使用配置

web.xml中的配置:

<!-- Shiro Filter is defined in the spring application context: -->

<filter>

<filter-name>shiroFilter</filter-name>

<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

</filter>

<filter-mapping>

<filter-name>shiroFilter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

applicationContext-shiro.xml配置:实现认证和授权

<!-- shiro start -->

<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">

<property name="cacheManagerConfigFile"value="classpath:ehcache.xml" />

</bean>

<bean id="credentialsMatcher"class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

<property name="hashAlgorithmName" value="SHA-256" />

</bean>

<bean id="iniRealm" class="com.boonya.shiro.security.CurrentIniRealm">

<constructor-arg type="java.lang.String" value="classpath:shiro.ini" />

<property name="credentialsMatcher" ref="credentialsMatcher" />

</bean>

<bean id="userRealm" class="com.boonya.shiro.security.UserRealm" />

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

<property name="realms">

<list>

<ref bean="iniRealm" />

<ref bean="userRealm" />

</list>

</property>

<property name="cacheManager" ref="cacheManager" />

</bean>

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

<property name="securityManager" ref="securityManager" />

<property name="loginUrl" value="/login" />

<property name="successUrl" value="/maps/main.html"></property>

<property name="unauthorizedUrl" value="/unauthorized"></property>

<property name="filters">

<util:map>

<entry key="anAlias">

<beanclass="org.apache.shiro.web.filter.authc.PassThruAuthenticationFilter" />

</entry>

</util:map>

</property>

<property name="filterChainDefinitions">

<value><!-- 权限字符过滤 -->

/unauthorized=anon

/validate/code*=anon

/login/**=anon

/image/**=anon

/js/**=anon

/css/**=anon

/common/**=anon

/index.htm* = anon

/maps/**=authc

</value>

</property>

</bean>

<!-- shiro end -->

有关必要说明:

securityManager:这个属性是必须的。

loginUrl :没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。

successUrl :登录成功默认跳转页面,不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面,则在登录自动跳转到那个需要登录的页面。不跳转到此。

unauthorizedUrl :没有权限默认跳转的页面。

其权限过滤器及配置释义:

anon   org.apache.shiro.web.filter.authc.AnonymousFilter

authc  org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic   org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

perms   org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

port    org.apache.shiro.web.filter.authz.PortFilter

rest    org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

roles   org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

ssl     org.apache.shiro.web.filter.authz.SslFilter

user    org.apache.shiro.web.filter.authc.UserFilter

logout  org.apache.shiro.web.filter.authc.LogoutFilter

anon:例子/admins/**=anon 没有参数,表示可以匿名使用。

authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数

roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。

perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。

rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。

port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString

是你访问的url里的?后面的参数。

authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证

ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https

user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查

注:anon,authcBasic,auchc,user是认证过滤器,

perms,roles,ssl,rest,port是授权过滤器

第三部分  Shiro代码分析

  • 利用分层思想创建清晰的项目目录结构

---dao                        
数据访问层

---model                   
业务实体

---service                  
业务层

---security/realm      
数据桥接,决定访问那个数据源

---web/controller       控制层/视图展现层

  • 代码分析阶段

[略] dao和model是我们所熟悉的因此这里没有必要再讲述。

[述]

service  让接口决定业务实现

我们可以编写业务类的接口并作实现,不需要对外提供的方法不必在接口中定义。

好处:功能明确,结构清晰,使目有全牛,而不是盲目的开始编码。

一个接口对应一个实现。

Java代码:

接口:

public interface UserService {

User getCurrentUser();

void createUser(String username, String email, String password);

List<User> getAllUsers();

User getUser(Long userId);

void deleteUser(Long userId);

void updateUser(User user);

}

实现:

@Service("userService")

public class DefaultUserService implements UserService {

private UserDAO userDAO;

@Autowired

public void setUserDAO(UserDAO userDAO) {

this.userDAO = userDAO;

}

public User getCurrentUser() {

final Long currentUserId = (Long) SecurityUtils.getSubject().getPrincipal();

if( currentUserId != null ) {

return getUser(currentUserId);

} else {

return null;

}

}

.....................

}

security 衔接程序与数据源的中间组件realm

一般只提供登录验证的realm即可,当用户进入系统之后还是跟以前的实现模式一样,只是登录的时候必须做安全验证。如果不登录系统,就不能看到具有安全保护的数据页面展示,如果没有普通guest(来宾)访问页面,以致只能看到登录界面<都是通过配置过滤器来实现>。、

实现一个用户自定义的realm必须继承自AuthorizingRealm 。

Java代码:

@Component

public class SampleRealm extends AuthorizingRealm {

protected UserDAO userDAO = null;

@SuppressWarnings("deprecation")

public SampleRealm() {

setName("SampleRealm"); //This name must match the name in the User class's getPrincipals() method

setCredentialsMatcher(new Sha256CredentialsMatcher());

}

@Autowired

public void setUserDAO(UserDAO userDAO) {

this.userDAO = userDAO;

}

//用户登录认证

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {

//认证前调用

UsernamePasswordToken token = (UsernamePasswordToken) authcToken;

User user = userDAO.findUser(token.getUsername());

if( user != null ) {

//认证后返回认证信息

return new SimpleAuthenticationInfo(user.getId(), user.getPassword(), getName());

} else {

return null;

}

}

//获取认证后信息:用户的角色,享有的权限

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

Long userId = (Long) principals.fromRealm(getName()).iterator().next();

User user = userDAO.getUser(userId);

if( user != null ) {

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

for( Role role : user.getRoles() ) {

info.addRole(role.getName());

info.addStringPermissions( role.getPermissions() );

}

return info;

} else {

return null;

}

}

}

web/controller  决定页面跳转到那个页面或返回相应的页面数据

用户登入系统后决定用户去向,属于权限控制字符过滤的范围,是否用户有权限访问该URL路径。这里以签到为例:

1、创建绑定操作命令实体

public class SignupCommand {

private String username;

private String email;

private String password;

//getter setter 略

}

2、一般需要对操作的数据进行验证的可以创建一个验证器实现Validator接口

public class SignupValidator implements Validator {

//邮箱验证正则表达式

private static final String SIMPLE_EMAIL_REGEX = "[A-Z0-9._%+-]+@[A-Z0-9.-]+\\.[A-Z]{2,4}";

@SuppressWarnings("rawtypes")

public boolean supports(Class aClass) {

return SignupCommand.class.isAssignableFrom(aClass);

}

//执行验证

public void validate(Object o, Errors errors) {

SignupCommand command = (SignupCommand)o;

ValidationUtils.rejectIfEmptyOrWhitespace(errors, "username", "error.username.empty", "Please specify a username.");

ValidationUtils.rejectIfEmptyOrWhitespace(errors, "email", "error.email.empty", "Please specify an email address.");

if( StringUtils.hasText( command.getEmail() ) && !Pattern.matches( SIMPLE_EMAIL_REGEX, command.getEmail().toUpperCase() ) ) {

errors.rejectValue( "email", "error.email.invalid", "Please enter a valid email address." );

}

ValidationUtils.rejectIfEmptyOrWhitespace(errors, "password", "error.password.empty", "Please specify a password.");

}

}

3、编写控制器

@Controller

public class SignupController {

private SignupValidator signupValidator = new SignupValidator();

private UserService userService;

@Autowired

public void setUserService(UserService userService) {

this.userService = userService;

}

@RequestMapping(value="/signup",method= RequestMethod.GET)

public String showSignupForm(Model model, @ModelAttribute SignupCommand command) {

return "signup";

}

@RequestMapping(value="/signup",method= RequestMethod.POST)

public String showSignupForm(Model model, @ModelAttribute SignupCommand command, BindingResult errors) {

//数据验证是否合法

signupValidator.validate(command, errors);

if( errors.hasErrors() ) {

return showSignupForm(model, command);

}

// Create the user

userService.createUser( command.getUsername(), command.getEmail(), command.getPassword() );

// Login the newly created user

SecurityUtils.getSubject().login(new UsernamePasswordToken(command.getUsername(), command.getPassword()));

return "redirect:/s/home";

}

}

shiro安全三部曲的更多相关文章

  1. shiro权限管理框架与springmvc整合

    shiro是apache下的一个项目,和spring security类似,用于用户权限的管理‘ 但从易用性和学习成本上考虑,shiro更具优势,同时shiro支持和很多接口集成 用户及权限管理是众多 ...

  2. springmvc 多数据源 SSM java redis shiro ehcache 头像裁剪

    获取下载地址   QQ 313596790  A 调用摄像头拍照,自定义裁剪编辑头像 B 集成代码生成器 [正反双向](单表.主表.明细表.树形表,开发利器)+快速构建表单;  技术:31359679 ...

  3. java springMVC SSM 操作日志 4级别联动 文件管理 头像编辑 shiro redis

    A 调用摄像头拍照,自定义裁剪编辑头像 B 集成代码生成器 [正反双向](单表.主表.明细表.树形表,开发利器)+快速构建表单;  技术:313596790freemaker模版技术 ,0个代码不用写 ...

  4. springmvc SSM shiro redis 后台框架 多数据源 代码生成器

    A集成代码生成器 [正反双向(单表.主表.明细表.树形表,开发利器)+快速构建表单 下载地址    ; freemaker模版技术 ,0个代码不用写,生成完整的一个模块,带页面.建表sql脚本,处理类 ...

  5. springmvc SSM 多数据源 shiro redis 后台框架 整合

    A集成代码生成器 [正反双向(单表.主表.明细表.树形表,开发利器)+快速构建表单 下载地址    ; freemaker模版技术 ,0个代码不用写,生成完整的一个模块,带页面.建表sql脚本,处理类 ...

  6. SpringMVC+Shiro权限管理【转】

    1.权限的简单描述 2.实例表结构及内容及POJO 3.Shiro-pom.xml 4.Shiro-web.xml 5.Shiro-MyShiro-权限认证,登录认证层 6.Shiro-applica ...

  7. Peter Hessler和他的中国三部曲(上)

    大约一年前,我从<英语铺子>栏目知道了Peter Hessler这位作家.主播分享了她的一些读后感和印象深刻的片段,当然主要是主播的声音太甜了,让我对这位美国作家留下了深刻的印象. Pet ...

  8. shiro的使用2 灵活使用shiro的密码服务模块

    shiro最闪亮的四大特征是认证,授权,加密,会话管理. 上一篇已经演示了如何使用shiro的授权模块,有了shiro这个利器,可以以统一的编码方式对用户的登入,登出,认证进行管理,相当的优雅. 为了 ...

  9. shiro的使用1 简单的认证

    最近在重构,有空学了一个简单的安全框架shiro,资料比较少,在百度和google上能搜到的中文我看过了,剩下的时间有空会研究下官网的文章和查看下源码, 简单的分享一些学习过程: 1,简单的一些概念上 ...

随机推荐

  1. 缺少编译器要求的成员“System.Runtime.CompilerServices.ExtensionAttribute..ctor” 解决方案

    我自己使用的解决方法 错误产生环境及非完美解决办法 错误提示:缺少编译器要求的成员"System.Runtime.CompilerServices.ExtensionAttribute..c ...

  2. POJ 1523 SPF (割点,连通分量)

    题意:给出一个网络(不一定连通),求所有的割点,以及割点可以切分出多少个连通分量. 思路:很多种情况. (1)如果给的图已经不是连通图,直接“  No SPF nodes”. (2)求所有割点应该不难 ...

  3. jQuery的datatable怎么才能给某一列添加超链接?

    aocolumeDef.这个里面去定义.return返回的字符串会代替原来cell里面的内容 e.g: datatable=$('#dt_basic').dataTable({ "bAuto ...

  4. 【WEB】jsp向servlet传参中文乱码问题解决

    传参方式:POST.GET.link方式 servlet向jsp传中文参数msg if(username.equals("") || password.euqals("& ...

  5. c# 进行AE开发时,如何在地图上定位出一个点

    一.文本形式的气泡提示框 由于本人是初学,所以具体的含义尚未弄清楚,直接给出代码吧!

  6. 16、编写适应多个API Level的APK

     确认您是否需要多apk支持 当你试图创建一个支持跨多代android系统的应用程序时,很自然的 你希望你的应用程序可以在新设备上使用新特性,并且不会牺牲向后兼 容.刚开始的时候认为通过创建多个ap ...

  7. 【SQL server】安装和配置

    (1)SQL sever 版本问题1: SQL sever 2000 .SQL sever 2005.SQL sever 2008 .SQL sever 2008 R2 安装的时候需要注意是SQL s ...

  8. DOS功能的调用

    DOS功能的调用:主要包含三方面的子程序:设备驱动(基本I/O),文件管理和其他(包括内存管理,自取时间,自取终端向量,总之程序等)随着DOS版本的升级,这种DOS功能调用的子程序数量也在不断的增加, ...

  9. 用matlab绘制幂函数

    用matlab绘制幂函数 下周轮到我做论文汇报了,刚好前两天看了网格水印的文章,就决定汇报前两天看到的那篇论文了.在准备ppt的过程中,绘制了一些幂函数,感觉matlab真的是很强大啊,可以绘制各种曲 ...

  10. Leave Morningstar

    Today, closed 4++ years developer life (2009.11.17-2014.02.28) in MorningStar Shenzhen Office Austra ...