一、认证

1、添加凭证匹配器

添加凭证匹配器实现md5加密校验。

修改applicationContext-shiro.xml:

    <!-- realm -->

    <bean id="customRealm" class="com.lhx.ssm.shiro.CustomRealm">

        <!-- 将凭证匹配器设置到realm中,realm按照凭证匹配器的要求进行散列 -->

        <property name="credentialsMatcher" ref="credentialsMatcher"/>

    </bean>

    <!-- 凭证匹配器 -->

    <bean id="credentialsMatcher"

          class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

        <property name="hashAlgorithmName" value="md5"/>

        <property name="hashIterations" value="1"/>

    </bean>

2、修改realm认证方法

修改realm代码从数据库中查询用户身份信息,将sysService注入realm。

public class CustomRealm extends AuthorizingRealm {

    //注入service

    @Autowired

    private SysService sysService;

    // 设置realm的名称

    @Override

    public void setName(String name) {

        super.setName("customRealm");

    }

    // 支持什么类型的token

    @Override

    public boolean supports(AuthenticationToken token) {

        return token instanceof UsernamePasswordToken;

    }

    // 用于认证

    //realm的认证方法,从数据库查询用户信息

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(

            AuthenticationToken token) throws AuthenticationException {

        // token是用户输入的用户名和密码

        // 第一步从token中取出用户名

        String userCode = (String) token.getPrincipal();

        // 第二步:根据用户输入的userCode从数据库查询

        SysUser sysUser = null;

        try {

            sysUser = sysService.findSysUserByUserCode(userCode);

        } catch (Exception e1) {

            // TODO Auto-generated catch block

            e1.printStackTrace();

        }

        // 如果查询不到返回null

        if(sysUser==null){//

            return null;

        }

        // 从数据库查询到密码

        String password = sysUser.getPassword();

        //盐

        String salt = sysUser.getSalt();

        // 如果查询到返回认证信息AuthenticationInfo

        //activeUser就是用户身份信息

        ActiveUser activeUser = new ActiveUser();

        activeUser.setUserid(sysUser.getId());

        activeUser.setUsercode(sysUser.getUsercode());

        activeUser.setUsername(sysUser.getUsername());

        //..

        //根据用户id取出菜单

        List<SysPermission> menus  = null;

        try {

            //通过service取出菜单

            menus = sysService.findMenuListByUserId(sysUser.getId());

        } catch (Exception e) {

            // TODO Auto-generated catch block

            e.printStackTrace();

        }

        //将用户菜单 设置到activeUser

        activeUser.setMenus(menus);

        //将activeUser设置simpleAuthenticationInfo

        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(

                activeUser, password,ByteSource.Util.bytes(salt), this.getName());

        return simpleAuthenticationInfo;

    }

        // ……授权下一个

}

二、授权

1.修改realm授权方法

修改realm代码从数据库中查询权限信息,将sysService注入realm

public class CustomRealm extends AuthorizingRealm {

    //注入service

    @Autowired

    private SysService sysService;

    // 设置realm的名称

    @Override

    public void setName(String name) {

        super.setName("customRealm");

    }

    // 支持什么类型的token

    @Override

    public boolean supports(AuthenticationToken token) {

        return token instanceof UsernamePasswordToken;

    }

    // 用于认证

    //realm的认证方法,从数据库查询用户信息

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(

            AuthenticationToken token) throws AuthenticationException {

        // token是用户输入的用户名和密码

        // 第一步从token中取出用户名

        String userCode = (String) token.getPrincipal();

        // 第二步:根据用户输入的userCode从数据库查询

        SysUser sysUser = null;

        try {

            sysUser = sysService.findSysUserByUserCode(userCode);

        } catch (Exception e1) {

            // TODO Auto-generated catch block

            e1.printStackTrace();

        }

        // 如果查询不到返回null

        if(sysUser==null){//

            return null;

        }

        // 从数据库查询到密码

        String password = sysUser.getPassword();

        //盐

        String salt = sysUser.getSalt();

        // 如果查询到返回认证信息AuthenticationInfo

        //activeUser就是用户身份信息

        ActiveUser activeUser = new ActiveUser();

        activeUser.setUserid(sysUser.getId());

        activeUser.setUsercode(sysUser.getUsercode());

        activeUser.setUsername(sysUser.getUsername());

        //..

        //根据用户id取出菜单

        List<SysPermission> menus  = null;

        try {

            //通过service取出菜单

            menus = sysService.findMenuListByUserId(sysUser.getId());

        } catch (Exception e) {

            // TODO Auto-generated catch block

            e.printStackTrace();

        }

        //将用户菜单 设置到activeUser

        activeUser.setMenus(menus);

        //将activeUser设置simpleAuthenticationInfo

        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(

                activeUser, password,ByteSource.Util.bytes(salt), this.getName());

        return simpleAuthenticationInfo;

    }

    // 用于授权

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(

            PrincipalCollection principals) {

        //从 principals获取主身份信息

        //将getPrimaryPrincipal方法返回值转为真实身份类型(在上边的doGetAuthenticationInfo认证通过填充到SimpleAuthenticationInfo中身份类型),

        ActiveUser activeUser =  (ActiveUser) principals.getPrimaryPrincipal();

        //根据身份信息获取权限信息

        //从数据库获取到权限数据

        List<SysPermission> permissionList = null;

        try {

            permissionList = sysService.findPermissionListByUserId(activeUser.getUserid());

        } catch (Exception e) {

            // TODO Auto-generated catch block

            e.printStackTrace();

        }

        //单独定一个集合对象

        List<String> permissions = new ArrayList<String>();

        if(permissionList!=null){

            for(SysPermission sysPermission:permissionList){

                //将数据库中的权限标签 符放入集合

                permissions.add(sysPermission.getPercode());

            }

        }

    /*    List<String> permissions = new ArrayList<String>();

        permissions.add("user:create");//用户的创建

        permissions.add("item:query");//商品查询权限

        permissions.add("item:add");//商品添加权限

        permissions.add("item:edit");//商品修改权限

*/        //....

        //查到权限数据,返回授权信息(要包括 上边的permissions)

        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();

        //将上边查询到授权信息填充到simpleAuthorizationInfo对象中

        simpleAuthorizationInfo.addStringPermissions(permissions);

        return simpleAuthorizationInfo;

    }

}

2、对controller开启aop

在springmvc.xml中配置shiro注解支持,可在controller方法中使用shiro注解配置权限:

    <!-- 开启aop,对类代理 -->

    <aop:config proxy-target-class="true"></aop:config>

    <!-- 开启shiro注解支持 -->

    <bean

        class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">

        <property name="securityManager" ref="securityManager" />

    </bean>

3、权限注解控制

商品查询controller方法添加权限(item:query):

    // 查询商品列表

    @RequestMapping("/queryItem")

    @RequiresPermissions("item:query")

    public ModelAndView queryItem() throws Exception {

上边代码@RequiresPermissions("item:query")表示必须拥有“item:query”权限方可执行。

同理,商品修改controller方法添加权限(item:update):

    @RequestMapping(value = "/editItem")

    @RequiresPermissions("item:update")

    public String editItem(@RequestParam(value = "id", required = true) Integer id, Model model) throws Exception

商品提交

    // 商品修改提交

    @RequestMapping("/editItemSubmit")

    @RequiresPermissions("item:update")

    public String editItemSubmit(@ModelAttribute("item") Items items,BindingResult result,MultipartFile pictureFile,Model model,HttpServletRequest request)

            throws Exception

4、jsp标签控制

4.1、标签简介

a、Jsp页面添加:

<%@ tagliburi="http://shiro.apache.org/tags" prefix="shiro" %>

b、详细

标签名称

标签条件(均是显示标签内容)

<shiro:authenticated>

登录之后

<shiro:notAuthenticated>

不在登录状态时

<shiro:guest>

用户在没有RememberMe时

<shiro:user>

用户在RememberMe时

<shiro:hasAnyRoles name="abc,123" >

在有abc或者123角色时

<shiro:hasRole name="abc">

拥有角色abc

<shiro:lacksRole name="abc">

没有角色abc

<shiro:hasPermission name="abc">

拥有权限资源abc

<shiro:lacksPermission name="abc">

没有abc权限资源

<shiro:principal>

显示用户身份名称

<shiro:principal property="username"/>     显示用户身份中的属性值

4.2、jsp页面添加标签

如果有商品修改权限页面显示“修改”链接。

<shiro:hasPermission name="item:update">

    <a href="${pageContext.request.contextPath }/item/editItem.action?id=${item.id}">修改</a>

</shiro:hasPermission>

三、session管理

和shiro整合后,使用shiro的session管理,shiro提供sessionDao操作 会话数据。

    <!-- securityManager安全管理器 -->

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

        <property name="realm" ref="customRealm"/>

        <!-- 注入session管理器 -->

        <property name="sessionManager" ref="sessionManager"/>

    </bean>

    <!-- 会话管理器 -->

    <bean id="sessionManager"          class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">

        <!-- session的失效时长,单位毫秒 -->

        <property name="globalSessionTimeout" value="600000"/>

        <!-- 删除失效的session -->

        <property name="deleteInvalidSessions" value="true"/>

    </bean>

008-shiro与spring web项目整合【二】认证、授权、session管理的更多相关文章

  1. 007-shiro与spring web项目整合【一】基础搭建

    一.需求 将原来基于url的工程改成使用shiro实现 二.代码 https://github.com/bjlhx15/shiro.git 中的permission_shiro 三.去除原项目拦截器 ...

  2. 010-shiro与spring web项目整合【四】缓存Ehcache

    一.Ehcache shiro每次授权都会通过realm获取权限信息,为了提高访问速度需要添加缓存,第一次从realm中读取权限数据,之后不再读取,这里Shiro和Ehcache整合. 1.添加Ehc ...

  3. 009-shiro与spring web项目整合【三】验证码、记住我

    一.验证码 1.自定义FormAuthenticationFilter 需要在验证账号和名称之前校验验证码 /** * * <p>Title: CustomFormAuthenticati ...

  4. (转)shiro权限框架详解06-shiro与web项目整合(下)

    http://blog.csdn.net/facekbook/article/details/54962975 shiro和web项目整合,实现类似真实项目的应用 web项目中认证 web项目中授权 ...

  5. (转) shiro权限框架详解06-shiro与web项目整合(上)

    http://blog.csdn.net/facekbook/article/details/54947730 shiro和web项目整合,实现类似真实项目的应用 本文中使用的项目架构是springM ...

  6. spring web项目中整合netty, akka

    spring web项目中整合netty, akka 本身的web项目仍然使用tomcat/jetty8080端口, 在org.springframework.beans.factory.Initia ...

  7. Spring与Web项目整合的原理

    引言: 在刚开始我们接触IOC时,我们加载并启用SpringIOC是通过如下代码手动加载 applicationContext.xml 文件,new出context对象,完成Bean的创建和属性的注入 ...

  8. Spring Boot 项目学习 (二) MySql + MyBatis 注解 + 分页控件 配置

    0 引言 本文主要在Spring Boot 基础项目的基础上,添加 Mysql .MyBatis(注解方式)与 分页控件 的配置,用于协助完成数据库操作. 1 创建数据表 这个过程就暂时省略了. 2 ...

  9. 实战突击: Java Web项目整合开发(PDF)

    实战突击:  Java  Web项目整合开发(PDF)

随机推荐

  1. 如何查看VisualStudio的编译, 链接命令

    VisualStudio默认是不显示编译命令的,如何查看呢. 对于链接器: 项目属性 -> 配置属性 -> 链接器 -> 常规 -> 显示进度 -> 设为 "/ ...

  2. LCD屏参数及应用举例

     1.  LCD参数及原理 R G B 信号 PCLK(像素时钟),LCLK(HSYNC,线时钟,水平同步时钟),FCLK(VSYNC,帧时钟,垂直同步时钟) 7寸屏一般由两种工作模式DE和时钟模式, ...

  3. ssh密码登陆的原理,密码的公私钥和sshkey的不是一回事

    密码登录的原理: 密钥加密: 创建分发密钥.分发到服务端的ssh-copy-id的本质是拷贝公钥到对面服务器的,authorized_keys文件下就会多了一个密钥文件信息.就会被拷贝入下面. 客户端 ...

  4. Java 使用 HttpClient调用https 最新源码 JDK7+ apache4.3+

    在项目使用https方式调用别人服务的时候,以前要写很多的代码,现在框架封装了很多,所以不用再写那么多了. 网上看了一下,都是很老的版本,用过时的DefaultHttpClient. 以spring为 ...

  5. Respond.js – 让不懂爱的 IE6-8 支持 CSS3 Media Query

    respond.min.js <script src="js/respond.min.js"></script> respond.min.js代码: /*! ...

  6. jquery Fancybox使用教程

    Fancybox是一款基于jquery的对图片展示播放的插件,当然,它html文本.flash动画.iframe以及ajax也予以支持.还可以通过css自定义外观,阴影效果超级赞! 演示效果:http ...

  7. ie tbody table 兼容方法

    IE6-IE9中tbody的innerHTML不能赋值,重现代码如下 Js代码 ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 2 ...

  8. 解决 Ubuntu 13.04 无法调节屏幕亮度的问题

    13.04与12.04大部分步骤是相同的,只是12.04的方法在13.04中失败了,所以还是有必要说明一下.我到电脑是宏碁AS4750G,硬盘安装系统后电源亮度无法调节. 解决方法如下: 终端输入代码 ...

  9. Lenna图-莱娜·瑟德贝里

    莱娜·瑟德贝里(瑞典文:Lena Soderberg),1951年3月31日出生于瑞典,在1972年11月期的<花花公子>杂志中,她化名为莱娜·舍布洛姆,成为了当期的玩伴女郎. 她的中间折 ...

  10. git & github 菜鸟笔记

    1.概念: 最先进的分布式版本控制系统 文件修改该提交的内容:---版本 文件名 用户 说明 日期 GitHub网站上线了,它为开源项目免费提供Git存储 --CVS及SVN都是集中式的版本控制系统, ...