shiro+springmvc实现通用权限管理
2016-09-13 22:09
671 查看
Shrio 简介:
Shiro是Apache提供的强大而灵活的开源安全框架,目前很多企业都使用它做安全框架,相比SpringSecurity它使用起来要简单方便的多,Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存,单点登录(sso)支持等。Shrio的内部结构图如下。
具体每个主要类的作用看网上相关文档,这里就不做重复说明了。
权限数据表设计:
sys_user: 用户信息表,存放用户个人信息用的
sys_role: 角色表,与用户是多对多的关系
sys_menu:菜单表,主要用来存放页面主菜单还有菜单里的相关按钮,主要是以parent_id父级ID控制菜单(包含按钮间的依赖关系)直接的依赖关系,permission这个主要是用来控制用户权限的,可以以sys:user:view sys:user:add sys:user:edit sys:user:del这样着来做权限代码标志,如果直接控制某个菜单的权限代码,可以以逗号的形式分开,做权限代码的批量增加。
sys_user_role:用户角色间的关联表 user_id role_id做联合主键
sys_role_menu:角色按钮间的关联表 role_id menu_id做联合主键
Shrio+SpringMvc 配置
下面代码主要是自己的一个测试例子,还有有几点没完善:1、由于每次访问后台都会做相关的权限认证,如果每次认证时候都去数据库里加载相关的角色和相关的权限代码(菜单里配的),这样比较耗性能,耗时,而且也不符合软件的使用逻辑,所以我们一般可以在用户登录时把用户的相关角色、权限代码放到缓存里面,每次需要时再去缓存里拿,用户权限跟新时直接跟新缓存。一般常用的第三方缓存有ehcache、redis、memcached或者直接用spring自带的CacheManager缓存管理器实现。shiro里也自带了与ehcache结合的缓存机制。
2、用户密码加密,这个比较简单,shrio自带提供了多种形式的加密和解密匹配功能。
1、引入Shiro的Maven依赖
<!-- SHIRO START --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>${shiro.version}</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>${shiro.version}</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>${shiro.version}</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-cas</artifactId> <version>${shiro.version}</version> <exclusions> <exclusion> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> </exclusion> </exclusions> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-ehcache</artifactId> <version>${shiro.version}</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-quartz</artifactId> <version>${shiro.version}</version> </dependency> <!--SHIRO END-->2、Spring与Shiro结合的相关配置spring-shiro.xml
<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.0.xsd "> <!-- 加载配置属性文件 --> <context:property-placeholder ignore-unresolvable="true" location="classpath:sysConfig.properties" /> <!-- Shiro连接约束配置,即过滤链的定义 --> <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 --> <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 --> <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter --> <!-- Shiro权限过滤过滤器定义 --> <bean name="shiroFilterChainDefinitions" class="java.lang.String"> <constructor-arg> <value> <!-- 静态资源允许访问 --> /WEB_RESOURCES/** = anon <!-- 登录页允许访问 --> /login = anon /${adminPath}/system/login.do = anon <!-- 其他资源需要认证 --> <!--用户权限管理--> /${adminPath}/user/manager* = authc,perms[sys:user:view] /${adminPath}/user/query* = authc,perms[sys:user:view] /${adminPath}/user/save* = authc,perms[sys:user:add] /${adminPath}/user/update* = authc,perms[sys:user:edit] /${adminPath}/user/delete* = authc,perms[sys:user:del] </value> </constructor-arg> </bean> <!-- Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行 --> <!-- Web应用中,Shiro可控制的Web请求必须经过Shiro主过滤器的拦截,Shiro对基于Spring的Web应用提供了完美的支持 --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- Shiro的核心安全接口,这个属性是必须的 --> <property name="securityManager" ref="securityManager"/> <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 --> <property name="loginUrl" value="/"/> <!-- 登录成功后要跳转的连接(本例中此属性用不到,因为登录成功后的处理逻辑在LoginController里硬编码为main.jsp了) --> <!-- <property name="successUrl" value="/system/main"/> --> <!-- 用户访问未对其授权的资源时,所显示的连接 --> <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp --> <property name="unauthorizedUrl" value="/"/> <!----> <!-- <property name="filters"> <map> <entry key="cas" value-ref="casFilter"/> <entry key="authc" value-ref="formAuthenticationFilter"/> </map> </property>--> <property name="filterChainDefinitions"> <ref bean="shiroFilterChainDefinitions"/> </property> </bean> <!-- CAS认证过滤器 --> <!-- <bean id="casFilter" class="org.apache.shiro.cas.CasFilter"> <property name="failureUrl" value="${adminPath}/login"/> </bean>--> <!-- 继承自AuthorizingRealm的自定义Realm,即指定Shiro验证用户登录的类为自定义的ShiroDbRealm.java --> <!--<bean id="myRealm" class="com.personal"/>--> <!-- Shiro默认会使用Servlet容器的Session,可通过sessionMode属性来指定使用Shiro原生Session --> <!-- 即<property name="sessionMode" value="native"/>,详细说明见官方文档 --> <!-- 这里主要是设置自定义的单Realm应用,若有多个Realm,可使用'realms'属性代替 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realms"> <list> <ref bean="systemAuthorizingRealm"/> </list> </property> </bean> <!-- 会话DAO --> <bean id="sessionDAO" class="org.apache.shiro.session.mgt.eis.MemorySessionDAO"/> <!-- 会话管理器 --> <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <property name="sessionDAO" ref="sessionDAO"/> </bean> <!-- 保证实现了Shiro内部lifecycle函数的bean执行 --> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> <!-- 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证 --> <!-- 配置以下两个bean即可实现此功能 --> <!-- <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"> <property name="proxyTargetClass" value="true" /> </bean> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"/> </bean>--> </beans>3、web.xml里的相关配置
<!-- 配置Shiro过滤器,先让Shiro过滤系统接收到的请求 --> <!-- 这里filter-name必须对应applicationContext.xml中定义的<bean id="shiroFilter"/> --> <!-- 使用[/*]匹配所有请求,保证所有的可控请求都经过Shiro的过滤 --> <!-- 通常会将此filter-mapping放置到最前面(即其他filter-mapping前面),以保证它是过滤器链中第一个起作用的 --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 --> <param-name>targetFilterLifecycle</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>4、主要权限用户权限认证授权相关操作
package com.personal.service.impl.sys; import com.personal.core.constant.Global; import com.personal.core.utils.StringUtil; import com.personal.entity.Menu; import com.personal.entity.Role; import com.personal.entity.User; import com.personal.service.sys.MenuService; import com.personal.service.sys.RoleService; import com.personal.service.sys.UserService; import org.apache.commons.lang3.StringUtils; import org.apache.commons.lang3.builder.ReflectionToStringBuilder; import org.apache.commons.lang3.builder.ToStringStyle; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.*; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.authz.SimpleAuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.session.Session; import org.apache.shiro.subject.PrincipalCollection; import org.apache.shiro.subject.Subject; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Service; import java.util.ArrayList; import java.util.HashMap; import java.util.List; import java.util.Map; /** * 自定义的指定Shiro验证用户登录的类 * 在本例中定义了2个用户:jadyer和玄玉,jadyer具有admin角色和admin:manage权限,玄玉不具有任何角色和权限 * @User: coding99 * */ @Service public class SystemAuthorizingRealm extends AuthorizingRealm { private Logger logger = LoggerFactory.getLogger(getClass()); @Autowired private UserService userService; @Autowired private RoleService roleService; @Autowired private MenuService menuService; /** * 为当前登录的Subject授予角色和权限 * 经测试:本例中该方法的调用时机为需授权资源被访问时 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { //获取当前登录的用户名,等价于(String)principals.fromRealm(this.getName()).iterator().next() String currentAccount = (String) super.getAvailablePrincipal(principals); List<String> roleNameList = new ArrayList<String>(); List<String> permissionList = new ArrayList<String>(); //从数据库中获取当前登录用户的详细信息 User user =getUser(); if (null != user) { SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); List<Role> roleList = roleService.selectRoleByUserId(user.getId()); Map<String,Object> map = new HashMap<String,Object>(); map.put("userId",user.getId()); map.put("permission","permission"); List<Menu> menuList = menuService.selectMenuByUserId(map); /*构建用户的角色集合*/ for (Role role : roleList) { roleNameList.add(role.getEnName()); } info.addRoles(roleNameList); /*构建用户的权限代码集合*/ for (Menu menu : menuList) { if (StringUtils.isNotBlank(menu.getPermission())) { if(StringUtil.isNotEmpty(menu.getPermission())) { String[] permissions = menu.getPermission().split(","); for(int i = 0; i < permissions.length; i++) { if(StringUtil.isNotEmpty(permissions[i])) { permissionList.add(permissions[i]); } } } } } info.addStringPermissions(permissionList); return info; }else { return null; } } /** * 验证当前登录的Subject * 经测试:本例中该方法的调用时机为LoginController.login()方法中执行Subject.login()时 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException { UsernamePasswordToken token = (UsernamePasswordToken)authcToken; System.out.println("验证当前Subject时获取到token为" + ReflectionToStringBuilder.toString(token, ToStringStyle.MULTI_LINE_STYLE)); User paramUser = new User(); paramUser.setAccount(token.getUsername()); User user = userService.selectOne(paramUser); if(user == null) { throw new UnknownAccountException("帐号找不到"); } if("0".equals(user.getStatus())) { throw new LockedAccountException("msg:该已帐号禁止登录."); } SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user.getAccount(),user.getPwd(),getName()); setSession(Global.GLOBAL_USER,user); return authenticationInfo; } /** * 将一些数据放到ShiroSession中,以便于其它地方使用 * 比如Controller,使用时直接用HttpSession.getAttribute(key)就可以取到 */ private void setSession(Object key, Object value){ Subject currentUser = SecurityUtils.getSubject(); if(null != currentUser){ Session session = currentUser.getSession(); System.out.println("Session默认超时时间为[" + session.getTimeout() + "]毫秒"); if(null != session){ session.setAttribute(key, value); } } } private User getUser() { Subject currentUser = SecurityUtils.getSubject(); Session session = currentUser.getSession(); User user = (User)session.getAttribute(Global.GLOBAL_USER); return user; } }
Shiro提供了智能的标签:
在使用Shiro标签库前,首先需要在JSP引入shiro标签:
最终实现效果图如下:
相关文章推荐
- springmvc+shiro+maven 实现登录认证与权限授权管理
- springmvc+shiro+maven 实现登录认证与权限授权管理
- springmvc+shiro+maven 实现登录认证与权限授权管理 201
- spring mvc+shiro的通用权限管理系统
- spring boot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap实现后台权限管理系统源码
- springmvc+shiro+maven 实现登录认证与权限授权管理
- springmvc+shiro+freemarker实现的安全及权限管理
- spring mvc+shiro +cas +spring-session 的通用权限管理系统
- spring mvc +hibernate +spring +shiro 实现权限管理详细配置
- springmvc+shiro+maven 实现登录认证与权限授权管理
- SpringMVC+Shiro权限管理【转】
- SpringMVC+Shiro权限管理
- Java通用权限系统管理(Spring+springMVC+ibatis+Angularjs)
- SpringMVC+Shiro权限管理
- SpringMVC+Shiro权限管理
- SpringMVC+Shiro权限管理
- 权限管理之Shiro+Spring MVC整合
- Spring 整合 Apache Shiro 实现各等级的权限管理
- SpringMVC+Shiro权限管理
- SpringMVC+Shiro权限管理