大数据WEB阶段 shiro安全控制框架

shiro安全框架

零、目录

• 问题引申
• shiro介绍
• shiro工作流程
• 使用shiro 进行登录操作
• 使用shiro进行权限管理

一、 问题引申

1. 需要实现的功能： 用户没有登录的情况下 ， 处理登录界面其他页面都不能访问
2. 权限控制： 根据用户的权限列表内的权限 ， 控制页面中各项功能的显示
3. 解决方案： shiro安全框架

二、 shiro安全框架介绍

1. 
2. Authentication：登录证明 ， 当用户登录系统时需要使用这个模块 ， 此时shiro框架内部会自己做登录校验 ， 如果登录通过则证明用户名密码正确
3. Authorization： 权限认证： 当用户没有登录时 ， 不能随意发出请求 ， 当不同的用户登录时会通过用户的权限列表控制页面功能的显示或隐藏。
4. SessionManagement: session管理器 ， 处理session问题
5. Cryptography： 加密模块 ， 包含了加密算法和加密工具类MD5Hash
6. 类似产品： Spring Security 是Spring的子产品 ， 但是由于配置过于繁琐所以不被广泛使用

三、工作流程

1. 
2. Application： 应用程序代码
3. Subject： Subject是shiro框架对外暴露的唯一接口 ， 如果用户需要登录验证 ， 需要创建Subject对象才能通过shiro安全中心进行各种操作 ，
4. shiro SecurityManager： shiro安全管理器 ， 处理登录或权限控制等问题等内部逻辑
5. Realm： 代表进行登录或权限控制的原材料 ， 登录时需要给shiro提供正确的用户信息和登录的用户名和密码 。
6. 执行流程：
   
   1. 程序员创建subject ， 提交登录的请求发送到shiro安全管理器
   2. 此时shiro安全管理器并不知道正确的信息是什么 ， 需要通过realm得到正确的登录信息

四、使用shiro进行登录操作

1. 导入需要依赖的jar包

   
   org.apache.shiroshiro-all1.2.3
      
   

2. 创建shiro的配置文件 一共5个bean

           /login.action=anon /staticfile/**=anon /sysadmin/user/tocreate=anon/sysadmin/user/save=anon/**=authc
   

3. 在web.xml文件中配置过滤器

   shiroFilterorg.springframework.web.filter.DelegatingFilterProxytargetFilterLifecycletrueshiroFilter/*
   

4. 执行流程

   1. 在loginController中拦截login请求 ， 并创建subject
   2. 调用subject的login方法 ， 让安全管理器进行登录校验
   3. 安全管理器回去找AuthRealm获取登录的原材料信息 ， 在AuthRealm类中通过用户名获取正确的用户信息和密码交由安全管理器进行校验

   4. 安全管理器进行登录检验时需要先把用户输入的明文密码加密后再与数据库中加密后的面比对 ，这是会去找自定义的AuthCredentialMatcher

      1. 拦截登录请求
      @RequestMapping("login.action")
      public String login(Model model , String username , String password  ) {//获取subject对象Subject subject = SecurityUtils.getSubject();//创建用户名密码令牌UsernamePasswordToken token = new UsernamePasswordToken(username , password);try{//安全框架进行登陆subject.login(token);//得到登录成功的信息User u = (User) subject.getPrincipal();model.addAttribute("_CURRENT_USER", u);//把用户信息存进session中}catch(AuthenticationException  e) {e.printStackTrace();//登录失败model.addAttribute("errorInfo", "用户名或密码错误！");return "sysadmin/login/login";}//登录成功return "redirect:/home";
      }
      2. AuthRealm类
      public class AuthRealm extends SimpleAccountRealm{@Autowiredprivate UserService userService;//登录证明@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {//需要给安全中i性能提供的登陆校验的信息   1. 用户正确信息  2. 提交的信息//得到正确信息//用户输入的信息UsernamePasswordToken myToken = (UsernamePasswordToken) token;//通过提交的用户名查询用户正确信息User user = userService.findOneByUsername(myToken.getUsername());//创建用于登陆的原材料信息//参数 1. 正确信息 2. 需要验证的正确信息  3. 原材料的类的名称AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());return info;}//权限认证@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {// TODO Auto-generated method stubreturn super.doGetAuthorizationInfo(principals);}}
      3. AuthMatcher类
      public class AuthMatcher extends SimpleCredentialsMatcher{//需要在此位置对原材料中的密码进行加密操作@Overridepublic boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {//得到明文密码  加密后设置回去UsernamePasswordToken myToken =  (UsernamePasswordToken) token;Md5Hash md5Hash = new Md5Hash(String.valueOf(myToken.getPassword()) , myToken.getUsername(), 3);//设置回去myToken.setPassword(md5Hash.toString().toCharArray());return super.doCredentialsMatch(myToken, info);}}
      4. 登出操作
      @RequestMapping("logout")
      public String  logout(Model model,HttpSession session) {session.removeAttribute("_CURRENT_USER");//通知shiro框架 退出登录Subject subject = SecurityUtils.getSubject();//判断是否是登录状态 ， 如果是则退出if(subject.isAuthenticated()) {subject.logout();}return "sysadmin/login/login";
      }
      

五、通过shiro实现权限管理

1. 在原材料中提供当前用户所拥有的权限列表
2. 页面显示的时候通过shiro标签进行权限判断 ， 如果有权限才允许在页面中显示相应的功能

3. 代码

   1. 正原材料类中添加权限认证代码
   public class AuthRealm extends SimpleAccountRealm{@Autowiredprivate UserService userService;//登录证明@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {//需要给安全中i性能提供的登陆校验的信息   1. 用户正确信息  2. 提交的信息//得到正确信息//用户输入的信息UsernamePasswordToken myToken = (UsernamePasswordToken) token;//通过提交的用户名查询用户正确信息User user = userService.findOneByUsername(myToken.getUsername());//创建用于登陆的原材料信息//参数 1. 正确信息 2. 需要验证的正确信息  3. 原材料的类的名称AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());return info;}//权限认证@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {User user = (User) principals.getPrimaryPrincipal();List ps = userService.findAllModulesByUserId(user.getUserId());SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();info.addRoles(ps);return info;}}
   2. 在页面中引入标签
   <%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro" %>
   3. 对页面中的模块请求进行控制
    //name要与原材料中list中的权限一致货运管理
   
   
   基础信息
   系统管理
   

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！