一、Shiro框架简单介绍

Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下:

(1)身份认证/登录,验证用户是不是拥有相应的身份; 
(2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; 
(3)会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的; 
(4)加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储; 
(5)Web支持,可以非常容易的集成到Web环境; 
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率; 
(6)shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去; 
(7)提供测试支持; 
(8)允许一个用户假装为另一个用户(如果他们允许)的身份进行访问; 
(9)记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

文字描述可能并不能让猿友们完全理解具体功能的意思。下面我们以登录验证为例,向猿友们介绍Shiro的使用。至于其他功能点,猿友们用到的时候再去深究其用法也不迟。

二、Shiro实例详细说明

本实例环境:eclipse + maven 
本实例采用的主要技术:spring + springmvc + shiro

2.1、依赖的包

假设已经配置好了spring和springmvc的情况下,还需要引入shiro以及shiro集成到spring的包,maven依赖如下:

<!-- Spring 整合Shiro需要的依赖 -->

<dependency>

    <groupId>org.apache.shiro</groupId>

    <artifactId>shiro-core</artifactId>

    <version>1.2.</version>

</dependency>

<dependency>

    <groupId>org.apache.shiro</groupId>

    <artifactId>shiro-web</artifactId>

    <version>1.2.</version>

</dependency>

<dependency>

    <groupId>org.apache.shiro</groupId>

    <artifactId>shiro-ehcache</artifactId>

    <version>1.2.</version>

</dependency>

<dependency>

    <groupId>org.apache.shiro</groupId>

    <artifactId>shiro-spring</artifactId>

    <version>1.2.</version>

</dependency>

2.2、web.xml配置引入对应的配置文件和过滤器

<!-- 读取shiro配置文件 -->

        <context-param>

            <param-name>contextConfigLocation</param-name>

            <param-value>classpath:spring-shiro.xml</param-value>

        </context-param>

        <!-- shiro过滤器 -->

        <filter>

            <filter-name>shiroFilter</filter-name>

            <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

            <init-param>

                <param-name>targetFilterLifecycle</param-name>

                   <param-value>true</param-value>

            </init-param>

        </filter>

        <filter-mapping>

            <filter-name>shiroFilter</filter-name>

            <url-pattern>*.jhtml</url-pattern>

            <url-pattern>*.json</url-pattern>

        </filter-mapping>

有个小细节:spring整合Shrio配置时,记得要启用 Spring加载配置监听器。web.xml配置

    <listener>

            <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>

       </listener>

2.3、定义shiro拦截器

对url进行拦截,如果没有验证成功的需要验证,然后额外给用户赋予角色和权限。

自定义的拦截器需要继承AuthorizingRealm并实现登录验证和赋予角色权限的两个方法,具体代码如下:

package com.ww;

import java.util.HashSet;

import java.util.Set;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.SimpleAuthenticationInfo;

import org.apache.shiro.authc.UsernamePasswordToken;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.authz.SimpleAuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import com.ww.util.MD5Util;

public class WWShiroRealm extends AuthorizingRealm {

    //这里因为没有调用后台,直接默认只有一个用户("zww","123456")

    private static final String USER_NAME = "zww";

    private static final String PASSWORD = "";

    //授权

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {

        Set<String> roles = new HashSet<String>();//角色

        Set<String> permisses = new HashSet<String>();//权限范围

        roles.add("administartor");

        permisses.add("hello.jsp");

        //返回一个授权实体

        SimpleAuthorizationInfo sai = new SimpleAuthorizationInfo(roles);

        sai.setStringPermissions(permisses);

        return sai;

    }

    //登录验证

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(

            AuthenticationToken authentic) throws AuthenticationException {

        //UsernamePasswordToken userToken = new UsernamePasswordToken();

        UsernamePasswordToken userToken = (UsernamePasswordToken) authentic;

        String passw1 = userToken.getPassword().toString();

        String passw2 = MD5Util.MD5(PASSWORD);

        //判断验证

        //加密密码判断

        if(userToken.getUsername().trim().equals(USER_NAME)) {

            //返回一个验证实体

            return new SimpleAuthenticationInfo(USER_NAME, PASSWORD,this.getName());

            //自己另外加密的话,会抛出异常(具体下次看看源码)

            //return new SimpleAuthenticationInfo(USER_NAME, MD5Util.MD5(PASSWORD),this.getName());

        } else {

            throw new AuthenticationException();

        }

    }

}

2.4、shiro配置文件

spring-shiro.xml文件内容如下:

<?xml version="1.0" encoding="UTF-8"?>

<beans xmlns="http://www.springframework.org/schema/beans"

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xsi:schemaLocation="http://www.springframework.org/schema/beans

                        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd"

    default-lazy-init="true">  

    <description>Shiro Configuration</description>  

    <!-- Shiro's main business-tier object for web-enabled applications -->

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

        <property name="realm" ref="myShiroRealm" />

        <property name="cacheManager" ref="cacheManager" />

    </bean>  

    <!-- 項目自定义的Realm -->

    <bean id="myShiroRealm" class="com.ww.WWShiroRealm">

        <property name="cacheManager" ref="cacheManager" />

    </bean>  

    <!-- Shiro Filter -->

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

        <property name="securityManager" ref="securityManager" />

        <property name="loginUrl" value="/login.jhtml" />

        <property name="successUrl" value="/index.jhtml" />

        <property name="unauthorizedUrl" value="/index.jhtml" />

        <property name="filterChainDefinitions">

            <value>

                /index.jhtml = authc

                /login.jhtml = anon

                /checkLogin.json = anon

                /loginsuccess.jhtml = anon

                /logout.json = anon

                /** = authc

            </value>

        </property>

    </bean>  

    <!-- 用户授权信息Cache -->

    <bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" />  

    <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->

    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />  

    <!-- AOP式方法级权限检查 -->

    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"

        depends-on="lifecycleBeanPostProcessor">

        <property name="proxyTargetClass" value="true" />

    </bean>  

    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">

        <property name="securityManager" ref="securityManager" />

    </bean>  

</beans>

这里有必要说清楚”shiroFilter” 这个bean里面的各个属性property的含义:

(1)securityManager:这个属性是必须的,没什么好说的,就这样配置就好。 
(2)loginUrl:没有登录的用户请求需要登录的页面时自动跳转到登录页面,可配置也可不配置。 
(3)successUrl:登录成功默认跳转页面,不配置则跳转至”/”,一般可以不配置,直接通过代码进行处理。 
(4)unauthorizedUrl:没有权限默认跳转的页面。 
(5)filterChainDefinitions,对于过滤器就有必要详细说明一下:

1)Shiro验证URL时,URL匹配成功便不再继续匹配查找(所以要注意配置文件中的URL顺序,尤其在使用通配符时),故filterChainDefinitions的配置顺序为自上而下,以最上面的为准

2)当运行一个Web应用程序时,Shiro将会创建一些有用的默认Filter实例,并自动地在[main]项中将它们置为可用自动地可用的默认的Filter实例是被DefaultFilter枚举类定义的,枚举的名称字段就是可供配置的名称

3)通常可将这些过滤器分为两组:

anon,authc,authcBasic,user是第一组认证过滤器

perms,port,rest,roles,ssl是第二组授权过滤器

注意user和authc不同:当应用开启了rememberMe时,用户下次访问时可以是一个user,但绝不会是authc,因为authc是需要重新认证的 
user表示用户不一定已通过认证,只要曾被Shiro记住过登录状态的用户就可以正常发起请求,比如rememberMe

说白了,以前的一个用户登录时开启了rememberMe,然后他关闭浏览器,下次再访问时他就是一个user,而不会authc

4)举几个例子 
/admin=authc,roles[admin] 表示用户必需已通过认证,并拥有admin角色才可以正常发起’/admin’请求 
/edit=authc,perms[admin:edit] 表示用户必需已通过认证,并拥有admin:edit权限才可以正常发起’/edit’请求 
/home=user 表示用户不一定需要已经通过认证,只需要曾经被Shiro记住过登录状态就可以正常发起’/home’请求

5)各默认过滤器常用如下(注意URL Pattern里用到的是两颗星,这样才能实现任意层次的全匹配) 
/admins/**=anon 无参,表示可匿名使用,可以理解为匿名用户或游客 
/admins/user/**=authc 无参,表示需认证才能使用 
/admins/user/**=authcBasic 无参,表示httpBasic认证 
/admins/user/**=user 无参,表示必须存在用户,当登入操作时不做检查 
/admins/user/**=ssl 无参,表示安全的URL请求,协议为https 
/admins/user/*=perms[user:add:
参数可写多个,多参时必须加上引号,且参数之间用逗号分割,如/admins/user/*=perms[“user:add:,user:modify:*”] 
当有多个参数时必须每个参数都通过才算通过,相当于isPermitedAll()方法 
/admins/user/**=port[8081] 
当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString 
其中schmal是协议http或https等,serverName是你访问的Host,8081是Port端口,queryString是你访问的URL里的?后面的参数 
/admins/user/**=rest[user] 
根据请求的方法,相当于/admins/user/**=perms[user:method],其中method为post,get,delete等 
/admins/user/**=roles[admin] 
参数可写多个,多个时必须加上引号,且参数之间用逗号分割,如/admins/user/**=roles[“admin,guest”] 
当有多个参数时必须每个参数都通过才算通过,相当于hasAllRoles()方法

上文参考了http://www.cppblog.com/guojingjia2006/archive/2014/05/14/206956.html,更多详细说明请访问该链接。

2.5、controller层代码

package com.ww.controller;

import java.util.HashMap;

import java.util.Map;

import javax.servlet.http.HttpServletRequest;

import org.apache.shiro.SecurityUtils;

import org.apache.shiro.authc.UsernamePasswordToken;

import org.apache.shiro.subject.Subject;

import org.springframework.stereotype.Controller;

import org.springframework.web.bind.annotation.RequestBody;

import org.springframework.web.bind.annotation.RequestMapping;

import org.springframework.web.bind.annotation.RequestMethod;

import org.springframework.web.bind.annotation.ResponseBody;

import org.springframework.web.servlet.ModelAndView;

import com.alibaba.fastjson.JSON;

import com.ww.util.MD5Util;

@Controller

public class LoginController {

    //跳转到首页面

    @RequestMapping("/index.jhtml")

    public ModelAndView getIndex(@RequestBody Map<String,Object> map) {

        ModelAndView mav = new ModelAndView("index");

        System.out.println("index");

        return mav;

    }

    //跳转到登录页面

    @RequestMapping("/login.jhtml")

    public ModelAndView login(HttpServletRequest request) {

        ModelAndView mav = new ModelAndView("login");

        System.out.println("login");

        return mav;

    }

    /**

     * 验证用户名和密码

     * @param String username,String password

     * @return

     */

    @RequestMapping(value="/checkLogin.json",method=RequestMethod.POST)

    @ResponseBody

    public String checkLogin(String username,String password) {

        Map<String, Object> result = new HashMap<String, Object>();

        try{

            //自己另外加密的话,会抛出异常(具体原因下次看看源码)

            //UsernamePasswordToken token = new UsernamePasswordToken(username, MD5Util.MD5(password));

            UsernamePasswordToken token = new UsernamePasswordToken(username, password);

            Subject currentUser = SecurityUtils.getSubject();

            //是否用户已经验证

            if (!currentUser.isAuthenticated()){

                //使用shiro来验证

                token.setRememberMe(true);

                currentUser.login(token);//验证角色和权限     WWShiroRealm中的方法 

            }

        }catch(Exception ex){

            //异常处理

            ex.printStackTrace();

        }

        result.put("success", true);

        //使用阿里的fastjson处理json数据

        return JSON.toJSONString(result);

    }

    /**

     * 退出登录

     */

    @RequestMapping(value="/logout.json",method=RequestMethod.POST)

    public ModelAndView logout() {

        ModelAndView mav = new ModelAndView("login");

        return mav;

    }

}

上面代码,我们只需要更多地关注登录验证和退出登录的代码。 
MD5Util.MD5()是自己在md5的基础上复杂化的一工具

2.6、login.jsp代码

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>

<html>

<head>

<!-- 引用远程的jquery.js -->

<script src="http://code.jquery.com/jquery-latest.js"></script>

</head>

<body>

username: <input type="text" id="username"><br><br>

password: <input type="password" id="password"><br><br>

<button id="loginbtn">登录</button>

</body>

<script type="text/javascript">

$(document).ready(function(){

$('#loginbtn').click(function() {

    var param = {

        username : $("#username").val(),

        password : $("#password").val()

    };

    $.ajax({

        type: "post",

        url: "<%=request.getContextPath()%>" + "/checkLogin.json",

        data: param,

        dataType: "json",

        success: function(data) {

            if(data.success == false){

                alert(data.errorMsg);

            }else{

                //登录成功

                window.location.href = "<%=request.getContextPath()%>" +  "/index.jhtml";

            }

        },

        error: function(data) {

            alert("调用失败....");

        }

    });

});

});

</script>

</html>

2.7、期望结果

(1)如果未登录前,输入http://localhost:8080/DemoShiro/index.jhtml会自动跳转到http://localhost:8080/DemoShiro/login.jhtml。//检测未登录会跳转至登录界面,在xml中配置

(2)登录成功跳转至首界面。

最好是自己写出代码,跟着断点走一遍。

2.8、学习拓展

  提供一个shiro框架 拓展应用的博客.

  https://www.sojson.com/shiro

Shiro安全框架学习笔记的更多相关文章

  1. phalcon(费尔康)框架学习笔记

    phalcon(费尔康)框架学习笔记 http://www.qixing318.com/article/phalcon-framework-to-study-notes.html 目录结构   pha ...

  2. Yii框架学习笔记(二)将html前端模板整合到框架中

    选择Yii 2.0版本框架的7个理由 http://blog.chedushi.com/archives/8988 刚接触Yii谈一下对Yii框架的看法和感受 http://bbs.csdn.net/ ...

  3. JavaSE中Collection集合框架学习笔记(2)——拒绝重复内容的Set和支持队列操作的Queue

    前言:俗话说“金三银四铜五”,不知道我要在这段时间找工作会不会很艰难.不管了,工作三年之后就当给自己放个暑假. 面试当中Collection(集合)是基础重点.我在网上看了几篇讲Collection的 ...

  4. JavaSE中Collection集合框架学习笔记(3)——遍历对象的Iterator和收集对象后的排序

    前言:暑期应该开始了,因为小区对面的小学这两天早上都没有像以往那样一到七八点钟就人声喧闹.车水马龙. 前两篇文章介绍了Collection框架的主要接口和常用类,例如List.Set.Queue,和A ...

  5. JavaSE中Map框架学习笔记

    前言:最近几天都在生病,退烧之后身体虚弱.头疼.在床上躺了几天,什么事情都干不了.接下来这段时间,要好好加快进度才好. 前面用了三篇文章的篇幅学习了Collection框架的相关内容,而Map框架相对 ...

  6. JavaSE中线程与并行API框架学习笔记1——线程是什么?

    前言:虽然工作了三年,但是几乎没有使用到多线程之类的内容.这其实是工作与学习的矛盾.我们在公司上班,很多时候都只是在处理业务代码,很少接触底层技术. 可是你不可能一辈子都写业务代码,而且跳槽之后新单位 ...

  7. JavaSE中线程与并行API框架学习笔记——线程为什么会不安全?

    前言:休整一个多月之后,终于开始投简历了.这段时间休息了一阵子,又病了几天,真正用来复习准备的时间其实并不多.说实话,心里不是非常有底气. 这可能是学生时代遗留的思维惯性--总想着做好万全准备才去做事 ...

  8. scrapy爬虫框架学习笔记(一)

    scrapy爬虫框架学习笔记(一) 1.安装scrapy pip install scrapy 2.新建工程: (1)打开命令行模式 (2)进入要新建工程的目录 (3)运行命令: scrapy sta ...

  9. TensorFlow机器学习框架-学习笔记-001

    # TensorFlow机器学习框架-学习笔记-001 ### 测试TensorFlow环境是否安装完成-----------------------------```import tensorflo ...

随机推荐

  1. Solving the SQL Server Multiple Cascade Path Issue with a Trigger (转载)

    Problem I am trying to use the ON DELETE CASCADE option when creating a foreign key on my database, ...

  2. jQuery为元素设置css的问题

    例子: 有如下的html代码 对文本框设置字体大小为20px ,即font-size:20px 首先会想到如下: $('input').css({font-size:'20px'}); 由于属性不能使 ...

  3. 【转】Python操作MongoDB数据库

    前言 MongoDB GUI 工具 PyMongo(同步) Motor(异步) 后记 前言 最近这几天准备介绍一下 Python 与三大数据库的使用,这是第一篇,首先来介绍 MongoDB 吧,,走起 ...

  4. Apache Kafka系列(一) 起步

    Apache Kafka系列(一) 起步 Apache Kafka系列(二) 命令行工具(CLI) Apache Kafka系列(三) Java API使用 Apache Kafka系列(四) 多线程 ...

  5. Postman-断言和Runner

    断言(部分) // 推荐用全等 ===,确保类型和值都一致 tests['Status code is 200'] = responseCode.code === 200; //判断响应结果是否是20 ...

  6. Kubernetes1.91(K8s)安装部署过程(三)--创建高可用etcd集群

    这里的etcd集群复用我们测试的3个节点,3个node都要安装并启动,注意修改配置文件 1.TLS认证文件分发:etcd集群认证用,除了本机有,分发到其他node节点 scp ca.pem kuber ...

  7. JS实现 类似图片3D效果

    其实这样的效果 目前很多网站上都有 其实以前也写过一个 只是当时代码只是为了实现而已,代码很乱,所以现在有业余时间研究了下,其实也并没有什么特殊地方 很类似于左右控制按钮切换图片的思路.效果如下: 可 ...

  8. Vue复选框的全选

    <!DOCTYPE html><html>    <head>        <meta charset="utf-8">      ...

  9. Android分享到微信时点击分享无反应的问题解决(注意事项)

    问题描述:调用分享到微信的sdk点击程序的分享按钮程序无反应 解决办法: 问题原因:微信分享对客户端的要求相当严格,首先你必须在给应用注册账号时,把注册信息相对的填写完整,其中“应用包名”,“应用的签 ...

  10. jqgrid 设置冻结列

    有时,jqgrid表格的列非常多,而表格的宽度值是固定的,我们需要在表格底部出现滚动条,并且固定前面几个列作为数据参照项,如何实现? 需要用的jqgrid冻结列,步骤如下: 1)设置需要冻结的列属性, ...