layout: post # 使用的布局(不需要改) title: shrio权限配置 # 标题 subtitle: 🤠 #副标题 date: 2018-04-18 # 时间 author: Ian # 作者 header-img: img/post-bg-re-vs-ng2.jpg #这篇文章标题背景图片 catalog: true # 是否归档 tags: #标签 - 编程之路 - 鉴权 —
配置
其实shiro权限控制就是通过拦截器来进行判断用户权限的,因此shiro拦截器的配置跟springMVC的拦截器配置是类似的。
第一步
尽然是通过aop来使用shiro,那就需要在web.xml里添加一个shiro的拦截器。
ps:这个shiro拦截器是如何加载的呢? 因为这个项目shiro与spring整合了,所有运行项目的时候,spring监听器会去寻找并加载shiro拦截器
<!-- Spring监听器 -->
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
shiro拦截器配置如下:
<!-- 配置由Spring提供的过滤器,用于整合shiro框架 -->
<!-- 在项目启动的过程中,当前过滤器会从Spring工厂中提取同名对象 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>
org.springframework.web.filter.DelegatingFilterProxy
</filter-class>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
第二步
类似springmvc一样,需要写一个配置文件来配置拦截器。 在shiro配置文件中,有两种类型。
- ini配置文件 (很多博客教程上都是使用这种配置方式。)
- xml配置文件 (这次项目使用这种配置方式)
首先创建shiro-context.xml
ps: 很简单,就相当于spring的配置文件一样,因为shiro是跟spring很好结合的。 下面会慢慢解释这个配置文件
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" /> <!--加载管理器-->
<property name="loginUrl" value="/user/login" /> <!--没有登录的时候,跳转到这个页面-->
<property name="unauthorizedUrl" value="/user/nopermission" /> <!--当没有权限的时候,跳转到这个url-->
<property name="filterChainDefinitions">
<value>
/user/login = anon <!--可以不需要登录-->
/user/readName = authc, perms[/readName] <!-- perms 表示需要该权限才能访问的页面 -->
/user/readData = authc, perms[/readData]
/user/* = authc <!-- authc 表示需要认证才能访问的页面 -->
</value>
</property>
</bean>
<!-- 自定义Realm -->
<bean id="myShiroRealm" class="com.Shiro.MyShiroReaml">
<!-- businessManager 用来实现用户名密码的查询 -->
<property name="shiroService" ref="accountService" />
</bean>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 注入realm -->
<property name="realm" ref="myShiroRealm"/>
</bean>
<!--声明一个Service 注入到自定义Realm-->
<bean id="accountService" class="com.Service.Impl.ShiroServiceImpl"/>
<!-- <bean id="shiroCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManager" ref="cacheManager" /> </bean> -->
</beans>
拦截器需要加载一个安全管理器,SecurityManager 是整个shiro框架的核心
<property name="securityManager" ref="securityManager" /> <!--加载管理器-->
拦截url,这里就是配置拦截url。anon.authc.这些名词其实就是shiro已经写好的拦截器,只需要调用可以了。在如果权限不够,则会跳转到指定的url
<property name="filterChainDefinitions">
<value>
/user/login = anon <!--可以不需要登录-->
/user/readName = authc, perms[/readName] <!-- perms 表示需要该权限才能访问的页面 -->
/user/readData = authc, perms[/readData]
/user/* = authc <!-- authc 表示需要认证才能访问的页面 -->
</value>
</property>
过滤器列表:
第三步 拦截后,对用户进行验证
当你拦截器设置好了,可以成功拦截用户的操作,然后我们需要对用户进行权限验证。所以我们需要继承shiro的AuthorizingRealm拦截器,重写两个方法。
- 重写doGetAuthenticationInfo方法是:登录验证,当需要登录的时候,就会调用该方法进行验证。
- 重写doGetAuthorizationInfo方法:这个是授权验证,与上面的过滤器相结合。
思路如下:
登录验证: 根据账号从数据库获取账号密码进行比较,如果一致则登录成功,就会保存到,否则登录失败
授权验证:在登录成功后,根据用户id获取到该用户的权限,并把权限保存在安全管理器之中,当用户访问的时候,会从管理器中判断该用户是否有权限去访问该url。
第四步 数据库表的建立
- Permission 表
- role管理表
- user表
- user_role表
