权限认证与授权(Shrio框架)
权限概述
认证: 系统提供的⽤于识别⽤户⾝份的功能, 通常登录功能就是认证功能; -- 让系统知道你是谁
授权: 系统授予⽤户可以访问哪些功能的证书. -- 让系统知道你能做什么!
常见的权限控制⽅式
URL 拦截权限控制
底层基于或过滤器实现
⽅法注解权限控制
我们框架会将加⼊注解的Action创建代理对象,由代理对象进⾏权限校验,如果校验通过,通过反射调⽤⽬标对象的⽅法,如果校验不通过,框架会抛出权限不⾜异常;
底层基于代理技术实现,为 Action 创建代理对象,由代理对象进⾏权限校验;
创建权限数据模型
权限表
⾓⾊表(权限的集合), 引⼊⾓⾊表,是为了⽅便授权
⽤户表
⾓⾊权限关系表
⽤户⾓⾊关系表
apache shiro 框架
核⼼功能
⾝份认证(Authentication): 简称"登录";
授权(Authorization):给⽤户分配⾓⾊或者权限资源;
会话管理(Session Management)
加密
shiro 框架认证流程
1. 使⽤shiro框架的URL拦截进⾏权限控制(基于过滤器技术实现)
1.1 导⼊jar包: shiro-all;
1.2 在l中配置⼀个由spring提供的过滤器,⽤于整合shiro框架(这个过滤器必须放在struts2 过滤器前)
<!-- 配置spring 框架提供的⽤于整合shiro框架的过滤器 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
1.3 在spring配置⽂件中配置bean,id和上⾯的过滤器名称⼀致
<!-- 配置shiro框架的过滤器⼯⼚对象 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- 注⼊安全管理器对象 -->
<property name="securityManager" ref="securityManager"></property>
<!-- 注⼊相关页⾯,访问URL -->
<property name="loginUrl" value="/login.jsp"/>
<property name="successUrl" value="/index.jsp"/>
<property name="unauthorizedUrl" value="/unauthorized.jsp"/>
<!-- 注⼊URL拦截规则 -->
<property name="filterChainDefinitions">
<value>
/css/** = anon
/js/** = anon
/images/** = anon
/validatecode.jsp* = anon
/login.jsp = anon
/userAction_login.action = anon
/page_base_staff.action = perms["staff-list"]
/* = authc
</value>
</property>
</bean>
<!-- 注册安全管理器对象 -->
<bean id="securityManager" class="org.apache.DefaultWebSecurityManager">    <property name="realm" ref="bosRealm"></property>
</bean>
<!-- 注册 realm -->
<bean id="bosRealm" class="cn.alm.BOSRealm"></bean>
1.4 修改 UserAction 中的login⽅法,使⽤shiro框架提供的⽅式进⾏认证操作// UserAction.java
public class UserAction extends BaseAction<User>{
// 属性驱动,接收页⾯输⼊的验证码
private String checkcode;
public void setCheckcode(String checkcode){
this.checkcode = checkcode;
}
// 使⽤shiro框架提供的⽅式,进⾏认证操作
public String login(){
// 从Session中获取⽣成的验证码
String validatecode =
(Request().getSession().getAttribute("key");
//校验验证码是否正确
if(StringUtils.isNotBlank(checkcode) && checkcode.equals(validatecode)){
/
/ 使⽤shiro框架提供的⽅式进⾏认证操作
Subject subject = Subject(); // 获取当前⽤户对象
// 创建⽤户名,密码令牌对象
AuthenticationToken token = new Username(),
MD5Utils.Password()));
try{
subject.login(token);
}catch(Exception e){
e.printStackTrace();
return LOGIN;
}
/
/ 登录成功,将user从当前线程中取出,放⼊session中
User user = (Principal();
return HOME;
}else{
// 输⼊的验证码错误,设置提⽰信息,跳转到登录页⾯
this.addActionError("输⼊的验证码错误!");
return LOGIN;
}
}
}
/
/ ⾃定义realm类, BOSRealm.java
public class BOSRealm extends AuthorizingRealm{
@Autowired
private IUserDao userDao;
// 认证⽅法
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
throws AuthenticationException {
UsernamePasswordToken passwordToken = (UsernamePasswordToken)token;
// 获取页⾯输⼊的⽤户名
String username = Username();
// 根据⽤户名查询数据库中的密码
User user = userDao.findUserByUsername(username);
if(user == null){
// 如果页⾯输⼊的⽤户名不存在
return null;
}
// 创建简单认证对象
AuthenticationInfo info = new SimpleAuthenticationInfo(Password(),
// shiro框架负责⽐对数据库中的密码和页⾯输⼊的密码是否⼀致
return info;
}
/
/ 授权⽅法
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
// 为⽤户授权
info.addStringPermission("staff-list");
// 获取当前⽤户(两种⽅式)
User user1 = (Subject().getPrincipal();
User user2 = (PrimaryPrincipal();
// TODO 获取需要修改为根据当前登录⽤户查询数据库,获取实际对应的权限
return info;
}
}
2. 使⽤ shiro 的⽅法注解⽅式进⾏权限控制(基于代理技术实现)
2.1 在spring配置⽂件中开启shiro注解⽀持
<!-- 开启shiro框架注解⽀持  -->
<bean id="defaultAdvisorAutoProxyCreator"
class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
<!-- 强制使⽤cglib,创建Action的代理对象 -->
<property name="proxyTargetClass" value="true"/>
</bean>
<!-- 配置shiro框架提供的切⾯类,⽤于创建代理对象 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>
2.2 在Action类中的⽅法上,使⽤shiro框架提供的注解,@RequiresPermissions("权限名称")
在权限不⾜时,会抛出如下异常:
2.3 在 l 中配置全局异常捕获,当shiro框架抛出权限不⾜异常时,跳转到权限不⾜提⽰页⾯<!-- 配置全局结果集 -->
<global-results>
<result name="unauthorized">/unauthorized.jsp</result>
</global-results>
<!-- 配置全局异常处理 -->
<global-exception-mappings>
<exception-mapping result="unauthorized"
exception="org.apache.shiro.authz.UnauthorizedException"/>
</global-exception-mappings>
3. 使⽤shiro提供的页⾯标签⽅式进⾏权限控制
3.1 在jsp页⾯中,引⼊shiro的标签库:
<%@ taglib prefix="shiro" uri="/tags"%>
3.2 使⽤shiro的标签控制页⾯元素的展⽰
<shiro:hasPermission name="权限名称">
<!-- 页⾯中需要权限控制的元素 -->
<input type="button" value="test"/>
</shiro:hasPermission>
使⽤ ehcache 缓存权限数据
1. 导⼊jar包: com.springsource.sf.ehcache
2. 在项⽬中提供 ehcache 的配置⽂件
<ehcache xmlns:xsi="/2001/XMLSchema-instance"
xsi:noNamespaceSchemaLocation="../config/ehcache.xsd">
<diskStore path="pdir"/>
shiro安全框架
<defaultCache
maxElementsInMemory="10000"
eternal="false"
timeToIdleSeconds="120"
timeToLiveSeconds="120"
overflowToDisk="true"
maxElementsOnDisk="10000000"
diskPersistent="false"
diskExpiryThreadIntervalSeconds="120"
memoryStoreEvictionPolicy="LRU"
/>
</ehcache>
3. 在spring配置⽂件中配置缓存管理器对象,并注⼊给安全管理器对象
// l
<!-- 注册安全管理器对象 -->
<bean id="securityManager" class="org.apache.DefaultWebSecurityManager">    <property name="realm" ref="bosRealm"></property>
<!-- 注⼊缓存管理器 -->
<property name="cacheManager" ref="cacheManager"></property>
</bean>
<!-- 注⼊缓存管理器 -->
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<!-- 注⼊ ehcache 的配置⽂件 -->
<property name="cacheManagerConfigFile" value="l"></property> </bean>

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。