版權聲明:本文為部落客原創文章,轉載注明出處http://blog.csdn.net/u013142781
(1)身份認證/登入,驗證使用者是不是擁有相應的身份;
(2)授權,即權限驗證,驗證某個已認證的使用者是否擁有某個權限;即判斷使用者是否能做事情,常見的如:驗證某個使用者是否擁有某個角色。或者細粒度的驗證某個使用者對某個資源是否具有某個權限;
(3)會話管理,即使用者登入後就是一次會話,在沒有退出之前,它的所有資訊都在會話中;會話可以是普通javase環境的,也可以是如web環境的;
(5)web支援,可以非常容易的內建到web環境;
caching:緩存,比如使用者登入後,其使用者資訊、擁有的角色/權限不必每次去查,這樣可以提高效率;
(6)shiro支援多線程應用的并發驗證,即如在一個線程中開啟另一個線程,能把權限自動傳播過去;
(7)提供測試支援;
(8)允許一個使用者假裝為另一個使用者(如果他們允許)的身份進行通路;
(9)記住我,這個是非常常見的功能,即一次登入後,下次再來的話不用登入了。
文字描述可能并不能讓猿友們完全了解具體功能的意思。下面我們以登入驗證為例,向猿友們介紹shiro的使用。至于其他功能點,猿友們用到的時候再去深究其用法也不遲。
本執行個體環境:eclipse + maven
2.1、依賴的包
假設已經配置好了spring和springmvc的情況下,還需要引入shiro以及shiro內建到spring的包,maven依賴如下:
2.2、定義shiro攔截器
對url進行攔截,如果沒有驗證成功的需要驗證,然後額外給使用者賦予角色和權限。
自定義的攔截器需要繼承authorizingrealm并實作登入驗證和賦予角色權限的兩個方法,具體代碼如下:
2.3、shiro配置檔案
spring-shiro.xml檔案内容如下:
這裡有必要說清楚”shirofilter” 這個bean裡面的各個屬性property的含義:
(1)securitymanager:這個屬性是必須的,沒什麼好說的,就這樣配置就好。
(2)loginurl:沒有登入的使用者請求需要登入的頁面時自動跳轉到登入頁面,可配置也可不配置。
(3)successurl:登入成功預設跳轉頁面,不配置則跳轉至”/”,一般可以不配置,直接通過代碼進行處理。
(4)unauthorizedurl:沒有權限預設跳轉的頁面。
(5)filterchaindefinitions,對于過濾器就有必要詳細說明一下:
1)shiro驗證url時,url比對成功便不再繼續比對查找(是以要注意配置檔案中的url順序,尤其在使用通配符時),故filterchaindefinitions的配置順序為自上而下,以最上面的為準
2)當運作一個web應用程式時,shiro将會建立一些有用的預設filter執行個體,并自動地在[main]項中将它們置為可用自動地可用的預設的filter執行個體是被defaultfilter枚舉類定義的,枚舉的名稱字段就是可供配置的名稱
3)通常可将這些過濾器分為兩組:
anon,authc,authcbasic,user是第一組認證過濾器
perms,port,rest,roles,ssl是第二組授權過濾器
注意user和authc不同:當應用開啟了rememberme時,使用者下次通路時可以是一個user,但絕不會是authc,因為authc是需要重新認證的
user表示使用者不一定已認證認證,隻要曾被shiro記住過登入狀态的使用者就可以正常發起請求,比如rememberme
說白了,以前的一個使用者登入時開啟了rememberme,然後他關閉浏覽器,下次再通路時他就是一個user,而不會authc
4)舉幾個例子
/admin=authc,roles[admin] 表示使用者必需已認證認證,并擁有admin角色才可以正常發起’/admin’請求
/edit=authc,perms[admin:edit] 表示使用者必需已認證認證,并擁有admin:edit權限才可以正常發起’/edit’請求
/home=user 表示使用者不一定需要已經通過認證,隻需要曾經被shiro記住過登入狀态就可以正常發起’/home’請求
5)各預設過濾器常用如下(注意url pattern裡用到的是兩顆星,這樣才能實作任意層次的全比對)
/admins/**=anon 無參,表示可匿名使用,可以了解為匿名使用者或遊客
/admins/user/**=authc 無參,表示需認證才能使用
/admins/user/**=authcbasic 無參,表示httpbasic認證
/admins/user/**=user 無參,表示必須存在使用者,當登入操作時不做檢查
/admins/user/**=ssl 無參,表示安全的url請求,協定為https
/admins/user/*=perms[user:add:]
參數可寫多個,多參時必須加上引号,且參數之間用逗号分割,如/admins/user/*=perms[“user:add:,user:modify:*”]
當有多個參數時必須每個參數都通過才算通過,相當于ispermitedall()方法
/admins/user/**=port[8081]
當請求的url端口不是8081時,跳轉到schemal://servername:8081?querystring
其中schmal是協定http或https等,servername是你通路的host,8081是port端口,querystring是你通路的url裡的?後面的參數
/admins/user/**=rest[user]
根據請求的方法,相當于/admins/user/**=perms[user:method],其中method為post,get,delete等
/admins/user/**=roles[admin]
參數可寫多個,多個時必須加上引号,且參數之間用逗号分割,如/admins/user/**=roles[“admin,guest”]
當有多個參數時必須每個參數都通過才算通過,相當于hasallroles()方法
2.4、web.xml配置引入對應的配置檔案和過濾器
2.5、controller代碼
上面代碼,我們隻需要更多地關注登入驗證和登出的代碼。
其中decriptutil.md5(password),對密碼進行md5加密解密是我自己寫的工具類decriptutil,對應myshirorealm裡面的登入驗證裡面也有對應對應的方法。
另外,businessexception是我自己封裝的異常類。
最後會提供整個工程源碼供猿友下載下傳,裡面包含了所有的代碼。
2.6、login.jsp代碼
2.7、效果示範
(2)如果登入失敗和登入成功:
2.8、源碼下載下傳
<a href="http://download.csdn.net/detail/u013142781/9426670">http://download.csdn.net/detail/u013142781/9426670</a>
2.9、我遇到的坑
在本執行個體的調試裡面遇到一個問題,雖然跟shiro沒有關系,但是也跟猿友們分享一下。
就是ajax請求設定了“contenttype : “application/json””,導緻controller擷取不到username和password這兩個參數。
後面去掉contenttype : “application/json”,采用預設的就可以了。