shiro+springmvc实现通用权限管理
2016-09-13 22:09
671 查看
Shrio 简介:
Shiro是Apache提供的强大而灵活的开源安全框架,目前很多企业都使用它做安全框架,相比SpringSecurity它使用起来要简单方便的多,Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存,单点登录(sso)支持等。Shrio的内部结构图如下。
具体每个主要类的作用看网上相关文档,这里就不做重复说明了。
权限数据表设计:
sys_user: 用户信息表,存放用户个人信息用的
sys_role: 角色表,与用户是多对多的关系
sys_menu:菜单表,主要用来存放页面主菜单还有菜单里的相关按钮,主要是以parent_id父级ID控制菜单(包含按钮间的依赖关系)直接的依赖关系,permission这个主要是用来控制用户权限的,可以以sys:user:view sys:user:add sys:user:edit sys:user:del这样着来做权限代码标志,如果直接控制某个菜单的权限代码,可以以逗号的形式分开,做权限代码的批量增加。
sys_user_role:用户角色间的关联表 user_id role_id做联合主键
sys_role_menu:角色按钮间的关联表 role_id menu_id做联合主键
Shrio+SpringMvc 配置
下面代码主要是自己的一个测试例子,还有有几点没完善:1、由于每次访问后台都会做相关的权限认证,如果每次认证时候都去数据库里加载相关的角色和相关的权限代码(菜单里配的),这样比较耗性能,耗时,而且也不符合软件的使用逻辑,所以我们一般可以在用户登录时把用户的相关角色、权限代码放到缓存里面,每次需要时再去缓存里拿,用户权限跟新时直接跟新缓存。一般常用的第三方缓存有ehcache、redis、memcached或者直接用spring自带的CacheManager缓存管理器实现。shiro里也自带了与ehcache结合的缓存机制。
2、用户密码加密,这个比较简单,shrio自带提供了多种形式的加密和解密匹配功能。
1、引入Shiro的Maven依赖
<!-- SHIRO START -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-cas</artifactId>
<version>${shiro.version}</version>
<exclusions>
<exclusion>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-ehcache</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-quartz</artifactId>
<version>${shiro.version}</version>
</dependency>
<!--SHIRO END-->2、Spring与Shiro结合的相关配置spring-shiro.xml<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.0.xsd "> <!-- 加载配置属性文件 --> <context:property-placeholder ignore-unresolvable="true" location="classpath:sysConfig.properties" /> <!-- Shiro连接约束配置,即过滤链的定义 --> <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 --> <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 --> <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter --> <!-- Shiro权限过滤过滤器定义 --> <bean name="shiroFilterChainDefinitions" class="java.lang.String"> <constructor-arg> <value> <!-- 静态资源允许访问 --> /WEB_RESOURCES/** = anon <!-- 登录页允许访问 --> /login = anon /${adminPath}/system/login.do = anon <!-- 其他资源需要认证 --> <!--用户权限管理--> /${adminPath}/user/manager* = authc,perms[sys:user:view] /${adminPath}/user/query* = authc,perms[sys:user:view] /${adminPath}/user/save* = authc,perms[sys:user:add] /${adminPath}/user/update* = authc,perms[sys:user:edit] /${adminPath}/user/delete* = authc,perms[sys:user:del] </value> </constructor-arg> </bean> <!-- Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行 --> <!-- Web应用中,Shiro可控制的Web请求必须经过Shiro主过滤器的拦截,Shiro对基于Spring的Web应用提供了完美的支持 --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- Shiro的核心安全接口,这个属性是必须的 --> <property name="securityManager" ref="securityManager"/> <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 --> <property name="loginUrl" value="/"/> <!-- 登录成功后要跳转的连接(本例中此属性用不到,因为登录成功后的处理逻辑在LoginController里硬编码为main.jsp了) --> <!-- <property name="successUrl" value="/system/main"/> --> <!-- 用户访问未对其授权的资源时,所显示的连接 --> <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp --> <property name="unauthorizedUrl" value="/"/> <!----> <!-- <property name="filters"> <map> <entry key="cas" value-ref="casFilter"/> <entry key="authc" value-ref="formAuthenticationFilter"/> </map> </property>--> <property name="filterChainDefinitions"> <ref bean="shiroFilterChainDefinitions"/> </property> </bean> <!-- CAS认证过滤器 --> <!-- <bean id="casFilter" class="org.apache.shiro.cas.CasFilter"> <property name="failureUrl" value="${adminPath}/login"/> </bean>--> <!-- 继承自AuthorizingRealm的自定义Realm,即指定Shiro验证用户登录的类为自定义的ShiroDbRealm.java --> <!--<bean id="myRealm" class="com.personal"/>--> <!-- Shiro默认会使用Servlet容器的Session,可通过sessionMode属性来指定使用Shiro原生Session --> <!-- 即<property name="sessionMode" value="native"/>,详细说明见官方文档 --> <!-- 这里主要是设置自定义的单Realm应用,若有多个Realm,可使用'realms'属性代替 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realms"> <list> <ref bean="systemAuthorizingRealm"/> </list> </property> </bean> <!-- 会话DAO --> <bean id="sessionDAO" class="org.apache.shiro.session.mgt.eis.MemorySessionDAO"/> <!-- 会话管理器 --> <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <property name="sessionDAO" ref="sessionDAO"/> </bean> <!-- 保证实现了Shiro内部lifecycle函数的bean执行 --> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> <!-- 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证 --> <!-- 配置以下两个bean即可实现此功能 --> <!-- <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"> <property name="proxyTargetClass" value="true" /> </bean> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"/> </bean>--> </beans>3、web.xml里的相关配置
<!-- 配置Shiro过滤器,先让Shiro过滤系统接收到的请求 --> <!-- 这里filter-name必须对应applicationContext.xml中定义的<bean id="shiroFilter"/> --> <!-- 使用[/*]匹配所有请求,保证所有的可控请求都经过Shiro的过滤 --> <!-- 通常会将此filter-mapping放置到最前面(即其他filter-mapping前面),以保证它是过滤器链中第一个起作用的 --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 --> <param-name>targetFilterLifecycle</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>4、主要权限用户权限认证授权相关操作
package com.personal.service.impl.sys;
import com.personal.core.constant.Global;
import com.personal.core.utils.StringUtil;
import com.personal.entity.Menu;
import com.personal.entity.Role;
import com.personal.entity.User;
import com.personal.service.sys.MenuService;
import com.personal.service.sys.RoleService;
import com.personal.service.sys.UserService;
import org.apache.commons.lang3.StringUtils;
import org.apache.commons.lang3.builder.ReflectionToStringBuilder;
import org.apache.commons.lang3.builder.ToStringStyle;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
/**
* 自定义的指定Shiro验证用户登录的类
* 在本例中定义了2个用户:jadyer和玄玉,jadyer具有admin角色和admin:manage权限,玄玉不具有任何角色和权限
* @User: coding99
*
*/
@Service
public class SystemAuthorizingRealm extends AuthorizingRealm {
private Logger logger = LoggerFactory.getLogger(getClass());
@Autowired
private UserService userService;
@Autowired
private RoleService roleService;
@Autowired
private MenuService menuService;
/**
* 为当前登录的Subject授予角色和权限
* 经测试:本例中该方法的调用时机为需授权资源被访问时
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
//获取当前登录的用户名,等价于(String)principals.fromRealm(this.getName()).iterator().next()
String currentAccount = (String) super.getAvailablePrincipal(principals);
List<String> roleNameList = new ArrayList<String>();
List<String> permissionList = new ArrayList<String>();
//从数据库中获取当前登录用户的详细信息
User user =getUser();
if (null != user) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
List<Role> roleList = roleService.selectRoleByUserId(user.getId());
Map<String,Object> map = new HashMap<String,Object>();
map.put("userId",user.getId());
map.put("permission","permission");
List<Menu> menuList = menuService.selectMenuByUserId(map);
/*构建用户的角色集合*/
for (Role role : roleList) {
roleNameList.add(role.getEnName());
}
info.addRoles(roleNameList);
/*构建用户的权限代码集合*/
for (Menu menu : menuList) {
if (StringUtils.isNotBlank(menu.getPermission())) {
if(StringUtil.isNotEmpty(menu.getPermission())) {
String[] permissions = menu.getPermission().split(",");
for(int i = 0; i < permissions.length; i++) {
if(StringUtil.isNotEmpty(permissions[i])) {
permissionList.add(permissions[i]);
}
}
}
}
}
info.addStringPermissions(permissionList);
return info;
}else {
return null;
}
}
/**
* 验证当前登录的Subject
* 经测试:本例中该方法的调用时机为LoginController.login()方法中执行Subject.login()时
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken)authcToken;
System.out.println("验证当前Subject时获取到token为" + ReflectionToStringBuilder.toString(token, ToStringStyle.MULTI_LINE_STYLE));
User paramUser = new User();
paramUser.setAccount(token.getUsername());
User user = userService.selectOne(paramUser);
if(user == null) {
throw new UnknownAccountException("帐号找不到");
}
if("0".equals(user.getStatus())) {
throw new LockedAccountException("msg:该已帐号禁止登录.");
}
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user.getAccount(),user.getPwd(),getName());
setSession(Global.GLOBAL_USER,user);
return authenticationInfo;
}
/**
* 将一些数据放到ShiroSession中,以便于其它地方使用
* 比如Controller,使用时直接用HttpSession.getAttribute(key)就可以取到
*/
private void setSession(Object key, Object value){
Subject currentUser = SecurityUtils.getSubject();
if(null != currentUser){
Session session = currentUser.getSession();
System.out.println("Session默认超时时间为[" + session.getTimeout() + "]毫秒");
if(null != session){
session.setAttribute(key, value);
}
}
}
private User getUser() {
Subject currentUser = SecurityUtils.getSubject();
Session session = currentUser.getSession();
User user = (User)session.getAttribute(Global.GLOBAL_USER);
return user;
}
}
Shiro提供了智能的标签:
在使用Shiro标签库前,首先需要在JSP引入shiro标签: 
最终实现效果图如下:
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- springmvc+shiro+maven 实现登录认证与权限授权管理
- springmvc+shiro+maven 实现登录认证与权限授权管理
- springmvc+shiro+maven 实现登录认证与权限授权管理 201
- spring mvc+shiro的通用权限管理系统
- spring boot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap实现后台权限管理系统源码
- springmvc+shiro+maven 实现登录认证与权限授权管理
- springmvc+shiro+freemarker实现的安全及权限管理
- spring mvc+shiro +cas +spring-session 的通用权限管理系统
- spring mvc +hibernate +spring +shiro 实现权限管理详细配置
- springmvc+shiro+maven 实现登录认证与权限授权管理
- SpringMVC+Shiro权限管理【转】
- SpringMVC+Shiro权限管理
- Java通用权限系统管理(Spring+springMVC+ibatis+Angularjs)
- SpringMVC+Shiro权限管理
- SpringMVC+Shiro权限管理
- SpringMVC+Shiro权限管理
- 权限管理之Shiro+Spring MVC整合
- Spring 整合 Apache Shiro 实现各等级的权限管理
- SpringMVC+Shiro权限管理
- SpringMVC+Shiro权限管理