SSH下shiro的基本使用

来源:https://www.cnblogs.com/gdwkong/archive/2018/04/01/8684850.html
-Advertisement-
Play Games

1、引入依賴 2、配置web.xml 3、配置applicationContext.xml,配置全局許可權 4、配置applicationContext.xml開啟cglib代理,啟動shiro許可權註解掃描 5、在action層中創建subject,交由Security Manager進行許可權校驗 6 ...


1、引入依賴

<!-- 許可權控制 框架 --><dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-all</artifactId>
  <version>1.2.2</version>
</dependency>

2、配置web.xml

<!--
    spring框架提供,整合shiro框架
    
     一定要在Struts攔截器之前配置

     DelegatingFilterProxy在創建過程中,依賴一個對象,這個對象必須在applicationContext.xml 文件中間註冊,

     而且註冊的時候聲明的ID必須和DelegatingFilterProxy聲明的filter-name保持一致

-->
<filter>
  <filter-name>shiroFilterFactoryBean</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
  <filter-name>shiroFilterFactoryBean</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

3、配置applicationContext.xml,配置全局許可權

 1     <!-- 初始化shiro框架提供的過濾器 -->
 2     <bean id="shiroFilterFactoryBean" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
 3         <!-- 註入安全管理器 -->
 4         <property name="securityManager" ref="securityManager"/>
 5         <!-- 許可權認證的頁面,登錄頁面 -->
 6         <property name="loginUrl" value="/login.html"/>
 7         <!-- 許可權認證成功以後要跳轉的頁面 -->
 8         <property name="successUrl" value="/index.html"/>
 9         <!-- 許可權認證失敗(許可權不足)以後要跳轉的頁面 只對攔截器生效,不對註解起效-->
10         <property name="unauthorizedUrl" value="/unauthorizedUrl.html"/>
11         <!--指定攔截規則-->
12         <property name="filterChainDefinitions" >
13             <!--
14                 authc:框架提供的過濾器,有許可權就放行,沒有許可權就攔截
15                 anon:框架提供的過濾器,可以匿名訪問
16                 perms:框架提供的過濾器,用戶請求資源的時候,會去檢查用戶是否擁有對應的許可權,如果有就放行,沒有,跳轉到unauthorizedUrl屬性指定的頁面
17                 攔截的規則執行的時候是從上往下執行的,一旦有一個規則匹配成功.後面的規則就不再執行了
18                 攔截規則不能折行
19             -->
20             <value>
21                 /webService/** = anon
22                 /upload/* = anon
23                 /css/* = anon
24                 /data/* = anon
25                 /images/* = anon
26                 /js/** = anon
27                 /validatecode.jsp* = anon
28                 /userAction_login.action = anon
29                 /courierAction_pageQuery.action = perms["courierAction_pageQuery"]
30                 /** = authc
31             </value>
32         </property>
33 
34     </bean>
35     <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
36         <!-- 配置realm類 -->
37         <property name="realm" ref="userRealm"/>
38     </bean>

4、配置applicationContext.xml開啟cglib代理,啟動shiro許可權註解掃描

 1     <!--
 2         開啟事務註解
 3         JDK代理
 4         CGLib代理方式
 5         proxy-target-class:true 使用cglib代理
 6         proxy-target-class:false 使用jdk代理
 7     -->
 8     <tx:annotation-driven proxy-target-class="true" transaction-manager="transactionManager" />
 9 
10     <!--基於spring的自動代理,創建service層的實現-->
11     <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
12         <!--開啟cglib 代理-->
13         <property name="proxyTargetClass" value="true"/>
14     </bean>
15     <!--配置切麵-->
16     <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
17         <!--註入安全管理器 -->
18         <property name="securityManager" ref="securityManager"/>
19     </bean>

5、在action層中創建subject,交由Security Manager進行許可權校驗

 1     @Action(value = "userAction_login",results = {
 2             @Result(name = "success",location = "/index.html",type = "redirect"),
 3             @Result(name = "error",location = "/login.html",type = "redirect")
 4     })
 5     public String login(){
 6         String serverCode = (String) ServletActionContext.getRequest().getSession().getAttribute("key");
 7 
 8         if (StringUtils.isNotEmpty(checkCode) && StringUtils.isNotEmpty(serverCode)){
 9             Subject subject = SecurityUtils.getSubject();
10 
11             AuthenticationToken token = new UsernamePasswordToken(
12                     getModel().getUsername(),getModel().getPassword());
13 
14             try {
15                 subject.login(token);
16                 //方法的返回值有Realm中doGetAuthenticationInfo方法定義SimpleAuthenticationInfo對象的時候,第一個參數決定的
17                 User user = (User) subject.getPrincipal();
18                 ServletActionContext.getRequest().getSession().setAttribute("user",user);
19                 return SUCCESS;
20             } catch (AuthenticationException e) {
21                 e.printStackTrace();
22                 System.out.println("用戶名或密碼錯誤");
23             }
24         }
25         return ERROR;
26     }

6、創建realm進行授權認證等

 1 @Component
 2 public class UserRealm extends AuthorizingRealm{
 3 
 4     @Autowired
 5     private UserRepository userRepository;
 6 
 7     @Autowired
 8     private RoleRepository roleRepository;
 9 
10     @Autowired
11     private PermissionRepository permissionRepository;
12 
13     //授權的方法
14     @Override
15     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
16         SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
17         //根據當前用戶的用戶名去查詢對應的許可權和角色
18         Subject subject = SecurityUtils.getSubject();
19         User user = (User) subject.getPrincipal();
20         if ("admin".equals(user.getUsername())){
21             List<Role> list = roleRepository.findAll();
22             for (Role role : list) {
23                 info.addRole(role.getKeyword());
24             }
25 
26             List<Permission> permissions = permissionRepository.findAll();
27             for (Permission permission : permissions) {
28                 info.addStringPermission(permission.getKeyword());
29             }
30         }else {
31            List<Role> roles =roleRepository.findbyUid(user.getId());
32             for (Role role : roles) {
33                 info.addRole(role.getKeyword());
34             }
35             List<Permission> permissions = permissionRepository.findbyUid(user.getId());
36             for (Permission permission : permissions) {
37                 info.addStringPermission(permission.getKeyword());
38             }
39         }
40 
41         return info;
42     }
43     //認證的方法
44     @Override
45     protected AuthenticationInfo doGetAuthenticationInfo(
46             AuthenticationToken authenticationToken) throws AuthenticationException {
47 
48         UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) authenticationToken;
49         String username = usernamePasswordToken.getUsername();
50         //根據用戶名查找用戶
51         User user = userRepository.findByUsername(username);
52         if (user != null){
53 
54     /*@param principal   當事人,主體,通常是從資料庫中查詢到的用戶
55      * @param credentials 憑證,密碼,是從資料庫中查詢出來的密碼
56      * @param realmName   the realm from where the principal and credentials were acquired.*/
57             //找到 -> 對比密碼
58             AuthenticationInfo info =  new SimpleAuthenticationInfo(user,user.getPassword(),getName());
59             //      比對成功-> 執行後續的邏輯
60             //      比對失敗-> 拋異常
61             return info;
62         }
63         //找不到 -> 拋異常
64         return null;
65     }
66 }

7、給對應的方法添加許可權註解(一般在service層)

 1     @RequiresPermissions("batchDel")
 2     //在調用方法時,框架就會檢查當前用戶是否有對應的許可權,如果有就放行,沒有就拋異常,啟用許可權註解必須開啟CGLib
 3     @Override
 4     public void batchDel(String ids) {
 5         if(StringUtils.isNotEmpty(ids)){
 6             String[] strings = ids.split(",");
 7             for (String string : strings) {
 8                 courierRepository.updateDelTagsById(Long.parseLong(string));
 9             }
10         }
11     }

8、給對應的jsp頁面添加許可權標簽進行顯示隱藏

 <shiro:hasPermission name="courierAction_pageQuery">
 {
    id : 'button-delete',
    text : '作廢',
    iconCls : 'icon-cancel',
    handler : doDelete
 }
 </shiro:hasPermission>

9、一般頁面的顯示的邏輯是:根據用戶所有擁有的角色和許可權進行動態生成菜單,從而只顯示用戶可操作的頁面。

 


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 我們大家一聽到設計模式就感覺設計模式是一個高端的東西,到底什麼是設計模式呢?其實設計模式也就是我們的前輩在寫代碼的時候遇到的問題,提出的解決方案,為了方便人與人之間的交流,取了個名字,叫做設計模式。 創建型設計模式 本文今天主要寫一部分創建型設計模式,創建型設計模式呢就是我門創建對象的時候的一種模式 ...
  • 本文篇幅較長,希望能堅持看完,轉載請註明出處,如果覺得好文請給個贊吧 CSS實現梯形 CSS實現三角形和梯形主要是依靠border是梯形的特性來做的,有點像相框的那種感覺。 首先我們先給一個正方形設置比較寬的邊框。如下。 <div id="test1"></div> <style> #test1{ ...
  • 最近有些忙,雙休都在加班,心情比較煩躁,寫篇博客靜靜心。 今天扯結構型設計模式。重要的話多說幾遍,程式員最重要的是編程思想,圈起來,要考試。哈哈。 說說面向對象的三大特性之一繼承。繼承,白話意思是最起碼是那個東西。例如A是基類,B繼承A,意思就是B最起碼是個A.所以當A有顯式構造函數時,子類必須也要 ...
  • |版權聲明:本文為博主原創文章,未經博主允許不得轉載。 最近嘗試在STM32F4下用MBEDTLS實現了公鑰導入(我使用的是ECC加密),整個過程使用起來比較簡單。 首先,STM32F4系列CUBE里已經集成了MBEDTLS, MBEDTLS是ARM公司的開源加密庫,遵守APACHE協議,大家可以隨 ...
  • 又是三星期的生活。感覺自從有了這個分享之後,會無形多了一份動力,逼著自己不能落後,必須要去不停的學習,這其實是我想要的,各位少年團中的成員也都是有共鳴的,在此很感動,省去一萬字。。。。。這一次會總結對象的安全發佈、不變性,這幾點,在我們工程實踐中,同樣也是非常具有參考與思考價值的基礎知識點。看書枯燥 ...
  • 在 Windows 上進行 OpenCV 開發,很多人都是在 Visual Studio 上進行。然而在 VS 上的配置過程實在是個坑。但是其實 OpenCV 開發環境的搭建無非就是讓自己寫的 cpp 在編譯時能成功鏈接上。而這一過程其實可以輕鬆完成。下麵我就介紹一下我在自己的 Win10 上如何借 ...
  • 1、查看Python版本及列印“Hellow World!”: 需要註意的是:在列印“Hello World”之前一定要先執行 python,否則會報無法 “無法初始化設備 PRN”,如圖: 2、查看當前版本的 Python 的所有關鍵字: 3、Python中的數據類型: Number類型:int、 ...
  • pandas讀取文件報如下的錯誤: 當用pandas讀取文件報這種錯誤時,一般是因為你的文件名中帶有中文,例如: data = pd.read_csv('文件.csv') 這種情況就會報錯,只需要這樣更改就可以: f = open('文件.csv') data = pd.read_csv(f) 然後 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...