Spring MVC整合Shiro權限控制的方法

更新時間：2018年05月07日 11:00:24 作者：擺碼王子

這篇文章主要介紹了Spring MVC整合Shiro權限控制，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧

Apache Shiro 是一個功能強大且靈活的開放源代碼安全框架，可以細粒度地處理認證 (Authentication)，授權 (Authorization)，會話 (Session) 管理和加密 (cryptography) 等企業(yè)級應用中常見的安全控制流程。 Apache Shiro 的首要目標是易于使用和理解。有時候安全性的流程控制會非常復雜，對開發(fā)人員來說是件很頭疼的事情，但并不一定如此。框架就應該盡可能地掩蓋復雜性，并公開一個簡潔而直觀的 API，從而簡化開發(fā)人員的工作，確保其應用程序安全性。這次我們聊一聊如何在 Spring Web 應用中使用 Shiro 實現(xiàn)權限控制。

功能

Apache Shiro 是一個具有許多功能的綜合型應用程序安全框架。下圖為 Shiro 中的最主要的幾個功能：

Shiro 的主要目標是“應用安全的四大基石” - 認證，授權，會話管理和加密：

身份驗證：也就是通常所說的 “登錄”，為了證明用戶的行為所有者。
授權：訪問控制的過程，即確定什么用戶可以訪問哪些內容。
會話管理：即使在非 Web 應用程序中，也可以管理用戶特定的會話，這也是 Shiro 的一大亮點。
加密技術：使用加密算法保證數(shù)據(jù)的安全，非常易于使用。

架構

從整體概念上理解，Shiro 的體系架構有三個主要的概念：Subject （主體，也就是用戶），Security Manager （安全管理器）和 Realms （領域）。下圖描述了這些組件之間的關系：

這幾大組件可以這樣理解：

Subject （主體）：主體是當前正在操作的用戶的特定數(shù)據(jù)集合。主體可以是一個人，也可以代表第三方服務，守護進程，定時任務或類似的東西，也就是幾乎所有與該應用進行交互的事物。
Security Manager （安全管理器）：它是 Shiro 的體系結構的核心，扮演了類似于一把 “傘” 的角色，它主要負責協(xié)調內部的各個組件，形成一張安全網(wǎng)。
Realms （領域）：Shiro 與應用程序安全數(shù)據(jù)之間的 “橋梁”。當需要實際與用戶帳戶等安全相關數(shù)據(jù)進行交互以執(zhí)行認證和授權時，Shiro 將從 Realms 中獲取這些數(shù)據(jù)。

數(shù)據(jù)準備

在 Web 應用中，對安全的控制主要有角色、資源、權限（什么角色能訪問什么資源）幾個概念，一個用戶可以有多個角色，一個角色也可以訪問多個資源，也就是角色可以對應多個權限。落實到數(shù)據(jù)庫設計上，我們至少需要建 5 張表：用戶表、角色表、資源表、角色-資源表、用戶-角色表，這 5 張表的結構如下：

用戶表：

id	username	password
1	張三	123456
2	李四	666666
3	王五	000000

角色表：

id	rolename
1	管理員
2	經(jīng)理
3	員工

資源表：

id	resname
1	/user/add
2	/user/delete
3	/compony/info

角色-資源表：

id	roleid	resid
1	1	1
2	1	2
3	2	3

用戶-角色表：

id	userid	roleid
1	1	1
2	1	2
3	1	3

對應的 POJO 類如下：

/**
 * 用戶
 */
public class User {
 private Integer id;
 private String username;
 private String password;
 //getter & setter...
}

/**
 * 角色
 */
public class Role {
 private String id;
 private String rolename;
}

/**
 * 資源
 */
public class Resource {
 private String id;
 private String resname;
}

/**
 * 角色-資源
 */
public class RoleRes {
 private String id;
 private String roleid;
 private String resid;
}

/**
 * 用戶-角色
 */
public class UserRole {
 private String id;
 private String userid;
 private String roleid;
}

Spring 與 Shiro 整合的詳細步驟，請參閱我的博客《 Spring 應用中整合 Apache Shiro 》。這里補充一下：需要提前引入 Shiro 的依賴，打開mvnrepository.com，搜索 Shiro，我們需要前三個依賴，也就是 Shiro-Core、Shiro-Web 以及 Shiro-Spring，以 Maven 項目為例，在 pom.xml 中的 <dependencies> 節(jié)點下添加如下依賴：

<dependency>
 <groupId>org.apache.shiro</groupId>
 <artifactId>shiro-core</artifactId>
 <version>1.4.0</version>
</dependency>
<dependency>
 <groupId>org.apache.shiro</groupId>
 <artifactId>shiro-web</artifactId>
 <version>1.4.0</version>
</dependency>
<dependency>
 <groupId>org.apache.shiro</groupId>
 <artifactId>shiro-spring</artifactId>
 <version>1.4.0</version>
</dependency>

在 application-context.xml 中需要這樣配置 shiroFilter bean:

<!-- 配置shiro的過濾器工廠類，id- shiroFilter要和我們在web.xml中配置的過濾器一致 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
 <property name="securityManager" ref="securityManager"/>
 <!-- 登錄頁面 -->
 <property name="loginUrl" value="/login"/>
 <!-- 登錄成功后的頁面 -->
 <property name="successUrl" value="/index"/>
 <!-- 非法訪問跳轉的頁面 -->
 <property name="unauthorizedUrl" value="/403"/>
 <!-- 權限配置 -->
 <property name="filterChainDefinitions">
 <value>
  <!-- 無需認證即可訪問的靜態(tài)資源，還可以添加其他 url -->
  /static/** = anon
  <!-- 除了上述忽略的資源，其他所有資源都需要認證后才能訪問 -->
  /** = authc
 </value>
 </property>
</bean>

接下來就需要定義 Realm 了，自定義的 Realm 集成自 AuthorizingRealm 類：

public class MyRealm extends AuthorizingRealm {
 @Autowired
 private UserService userService;
 /**
 * 驗證權限
 */
 @Override
 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
 String loginName = SecurityUtils.getSubject().getPrincipal().toString();
 if (loginName != null) {
 String userId = SecurityUtils.getSubject().getSession().getAttribute("userSessionId").toString();
 // 權限信息對象,用來存放查出的用戶的所有的角色及權限
 SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
 // 用戶的角色集合
 ShiroUser shiroUser = (ShiroUser) principalCollection.getPrimaryPrincipal();
  info.setRoles(shiroUser.getRoles());
  info.addStringPermissions(shiroUser.getUrlSet());
 return info;
 }
 return null;
 }
 /**
 * 認證回調函數(shù),登錄時調用
 */
 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) {
 String username = (String) token.getPrincipal();
 User user = new User();
 sysuser.setUsername(username);
 try {
 List<SysUser> users = userService.findByNames(user);
  List<String> roleList= userService.selectRoleNameListByUserId(users.get(0).getId());
 if (users.size() != 0) {
 String pwd = users.get(0).getPassword();
 // 當驗證都通過后，把用戶信息放在 session 里
 Session session = SecurityUtils.getSubject().getSession();
 session.setAttribute("userSession", users.get(0));
 session.setAttribute("userSessionId", users.get(0).getId());
 session.setAttribute("userRoles", org.apache.commons.lang.StringUtils.join(roleList,","));
  return new SimpleAuthenticationInfo(username,users.get(0).getPassword());
 } else {
  // 沒找到該用戶
 throw new UnknownAccountException();
 }
 } catch (Exception e) {
 System.out.println(e.getMessage());
 }
 return null;
 }
 /**
 * 更新用戶授權信息緩存.
 */
 public void clearCachedAuthorizationInfo(PrincipalCollection principals) {
 super.clearCachedAuthorizationInfo(principals);
 }
 /**
 * 更新用戶信息緩存.
 */
 public void clearCachedAuthenticationInfo(PrincipalCollection principals) {
 super.clearCachedAuthenticationInfo(principals);
 }
 /**
 * 清除用戶授權信息緩存.
 */
 public void clearAllCachedAuthorizationInfo() {
 getAuthorizationCache().clear();
 }
 /**
 * 清除用戶信息緩存.
 */
 public void clearAllCachedAuthenticationInfo() {
 getAuthenticationCache().clear();
 }
 /**
 * 清空所有緩存
 */
 public void clearCache(PrincipalCollection principals) {
 super.clearCache(principals);
 }
 /**
 * 清空所有認證緩存
 */
 public void clearAllCache() {
 clearAllCachedAuthenticationInfo();
 clearAllCachedAuthorizationInfo();
 }
}

最后定義一個用戶登錄的控制器，接受用戶的登錄請求：

@Controller
public class UserController {
 /**
 * 用戶登錄
 */
 @PostMapping("/login")
 public String login(@Valid User user,BindingResult bindingResult,RedirectAttributes redirectAttributes){
 try {
  if(bindingResult.hasErrors()){
  return "login";
  }
  //使用權限工具進行認證，登錄成功后跳到 shiroFilter bean 中定義的 successUrl
  SecurityUtils.getSubject().login(new UsernamePasswordToken(user.getUsername(), user.getPassword()));
  return "redirect:index";
 } catch (AuthenticationException e) {
  redirectAttributes.addFlashAttribute("message","用戶名或密碼錯誤");
  return "redirect:login";
 }
 }
 /**
 * 注銷登錄
 */
 @GetMapping（"/logout")
 public String logout(RedirectAttributes redirectAttributes ){
 SecurityUtils.getSubject().logout();
 return "redirect:login";
 }
}

以上就是本文的全部內容，希望對大家的學習有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章:

Java實現(xiàn)單向鏈表的基本功能詳解
這篇文章主要給大家介紹了關于Java實現(xiàn)單向鏈表基本功能的相關資料，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧。
2018-03-03
全網(wǎng)最全SpringBoot集成swagger的詳細教程
swagger是當下比較流行的實時接口文文檔生成工具，swagger分為swagger2?和swagger3兩個常用版本，二者區(qū)別不是很大，主要對于依賴和注解進行了優(yōu)化，swagger2需要引入2個jar包，swagger3只需要一個，用起來沒有什么大的區(qū)別，本文給大家詳細介紹，感興趣的朋友一起看看吧
2022-08-08
springcloud gateway網(wǎng)關服務啟動報錯的解決
這篇文章主要介紹了springcloud gateway網(wǎng)關服務啟動報錯的解決，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教
2022-03-03
spring boot + mybatis如何實現(xiàn)數(shù)據(jù)庫的讀寫分離
這篇文章主要給大家介紹了關于spring boot + mybatis如何實現(xiàn)數(shù)據(jù)庫的讀寫分離的相關資料，文中通過示例代碼介紹的非常詳細，對大家學習或者使用spring boot具有一定的參考學習價值，需要的朋友們下面來一起學習學習吧
2019-09-09
講解Java編程中finally語句的基本使用方法
這篇文章主要介紹了講解Java編程中finally語句的基本使用方法,finally在異常處理中的使用時Java入門學習中的基礎知識,需要的朋友可以參考下
2015-11-11
springboot+mybatis-plus 兩種方式打印sql語句的方法
這篇文章主要介紹了springboot+mybatis-plus 兩種方式打印sql語句的方法，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2020-10-10
基于springMvc+hibernate的web application的構建
下面小編就為大家?guī)硪黄趕pringMvc+hibernate的web application的構建。小編覺得挺不錯的，現(xiàn)在就分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2017-10-10
Java中的zookeeper常用命令詳解
這篇文章主要介紹了Java中的zookeeper常用命令,本文給大家介紹的非常詳細，對大家的學習或工作具有一定的參考借鑒價值，需要的朋友可以參考下
2022-06-06
Java中List常用操作比for循環(huán)更優(yōu)雅的寫法示例
List是Java中比較常用的集合類,關于List接口有很多實現(xiàn)類,下面這篇文章主要給大家介紹了關于Java中List常用操作比for循環(huán)更優(yōu)雅的寫法,需要的朋友可以參考下
2021-11-11
java復制文件和java移動文件的示例分享
本文主要介紹了java將文件夾下面的所有的jar文件拷貝到指定的文件夾下面的方法,需要的朋友可以參考下
2014-02-02