SSH下shiro的基本使用
1、引入依赖
<!-- 权限控制 框架 -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.2.2</version>
</dependency>
2、配置web.xml
<!-- spring框架提供,整合shiro框架
一定要在Struts拦截器之前配置
DelegatingFilterProxy在创建过程中,依赖一个对象,这个对象必须在applicationContext.xml 文件中间注册,
而且注册的时候声明的ID必须和DelegatingFilterProxy声明的filter-name保持一致
-->
<filter>
<filter-name>shiroFilterFactoryBean</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>shiroFilterFactoryBean</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
3、配置applicationContext.xml,配置全局权限
<!-- 初始化shiro框架提供的过滤器 -->
<bean id="shiroFilterFactoryBean" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- 注入安全管理器 -->
<property name="securityManager" ref="securityManager"/>
<!-- 权限认证的页面,登录页面 -->
<property name="loginUrl" value="/login.html"/>
<!-- 权限认证成功以后要跳转的页面 -->
<property name="successUrl" value="/index.html"/>
<!-- 权限认证失败(权限不足)以后要跳转的页面 只对拦截器生效,不对注解起效-->
<property name="unauthorizedUrl" value="/unauthorizedUrl.html"/>
<!--指定拦截规则-->
<property name="filterChainDefinitions" >
<!--
authc:框架提供的过滤器,有权限就放行,没有权限就拦截
anon:框架提供的过滤器,可以匿名访问
perms:框架提供的过滤器,用户请求资源的时候,会去检查用户是否拥有对应的权限,如果有就放行,没有,跳转到unauthorizedUrl属性指定的页面
拦截的规则执行的时候是从上往下执行的,一旦有一个规则匹配成功.后面的规则就不再执行了
拦截规则不能折行
-->
<value>
/webService/** = anon
/upload/* = anon
/css/* = anon
/data/* = anon
/images/* = anon
/js/** = anon
/validatecode.jsp* = anon
/userAction_login.action = anon
/courierAction_pageQuery.action = perms["courierAction_pageQuery"]
/** = authc
</value>
</property> </bean>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 配置realm类 -->
<property name="realm" ref="userRealm"/>
</bean>
4、配置applicationContext.xml开启cglib代理,启动shiro权限注解扫描
<!--
开启事务注解
JDK代理
CGLib代理方式
proxy-target-class:true 使用cglib代理
proxy-target-class:false 使用jdk代理
-->
<tx:annotation-driven proxy-target-class="true" transaction-manager="transactionManager" /> <!--基于spring的自动代理,创建service层的实现-->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
<!--开启cglib 代理-->
<property name="proxyTargetClass" value="true"/>
</bean>
<!--配置切面-->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<!--注入安全管理器 -->
<property name="securityManager" ref="securityManager"/>
</bean>
5、在action层中创建subject,交由Security Manager进行权限校验
@Action(value = "userAction_login",results = {
@Result(name = "success",location = "/index.html",type = "redirect"),
@Result(name = "error",location = "/login.html",type = "redirect")
})
public String login(){
String serverCode = (String) ServletActionContext.getRequest().getSession().getAttribute("key");
if (StringUtils.isNotEmpty(checkCode) && StringUtils.isNotEmpty(serverCode)){
Subject subject = SecurityUtils.getSubject();
AuthenticationToken token = new UsernamePasswordToken(
getModel().getUsername(),getModel().getPassword());
try {
subject.login(token);
//方法的返回值有Realm中doGetAuthenticationInfo方法定义SimpleAuthenticationInfo对象的时候,第一个参数决定的
User user = (User) subject.getPrincipal();
ServletActionContext.getRequest().getSession().setAttribute("user",user);
return SUCCESS;
} catch (AuthenticationException e) {
e.printStackTrace();
System.out.println("用户名或密码错误");
}
}
return ERROR;
}
6、创建realm进行授权认证等
@Component
public class UserRealm extends AuthorizingRealm{ @Autowired
private UserRepository userRepository; @Autowired
private RoleRepository roleRepository; @Autowired
private PermissionRepository permissionRepository; //授权的方法
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//根据当前用户的用户名去查询对应的权限和角色
Subject subject = SecurityUtils.getSubject();
User user = (User) subject.getPrincipal();
if ("admin".equals(user.getUsername())){
List<Role> list = roleRepository.findAll();
for (Role role : list) {
info.addRole(role.getKeyword());
} List<Permission> permissions = permissionRepository.findAll();
for (Permission permission : permissions) {
info.addStringPermission(permission.getKeyword());
}
}else {
List<Role> roles =roleRepository.findbyUid(user.getId());
for (Role role : roles) {
info.addRole(role.getKeyword());
}
List<Permission> permissions = permissionRepository.findbyUid(user.getId());
for (Permission permission : permissions) {
info.addStringPermission(permission.getKeyword());
}
} return info;
}
//认证的方法
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken authenticationToken) throws AuthenticationException { UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) authenticationToken;
String username = usernamePasswordToken.getUsername();
//根据用户名查找用户
User user = userRepository.findByUsername(username);
if (user != null){ /*@param principal 当事人,主体,通常是从数据库中查询到的用户
* @param credentials 凭证,密码,是从数据库中查询出来的密码
* @param realmName the realm from where the principal and credentials were acquired.*/
//找到 -> 对比密码
AuthenticationInfo info = new SimpleAuthenticationInfo(user,user.getPassword(),getName());
// 比对成功-> 执行后续的逻辑
// 比对失败-> 抛异常
return info;
}
//找不到 -> 抛异常
return null;
}
}
7、给对应的方法添加权限注解(一般在service层)
@RequiresPermissions("batchDel")
//在调用方法时,框架就会检查当前用户是否有对应的权限,如果有就放行,没有就抛异常,启用权限注解必须开启CGLib
@Override
public void batchDel(String ids) {
if(StringUtils.isNotEmpty(ids)){
String[] strings = ids.split(",");
for (String string : strings) {
courierRepository.updateDelTagsById(Long.parseLong(string));
}
}
}
8、给对应的jsp页面添加权限标签进行显示隐藏
<shiro:hasPermission name="courierAction_pageQuery">
{
id : 'button-delete',
text : '作废',
iconCls : 'icon-cancel',
handler : doDelete
}
</shiro:hasPermission>
9、一般页面的显示的逻辑是:根据用户所有拥有的角色和权限进行动态生成菜单,从而只显示用户可操作的页面。
SSH下shiro的基本使用的更多相关文章
- ssh下常用操作汇总(good)
1. 安装git,从程序目录打开 "Git Bash" 2. 键入命令:ssh-keygen -t rsa -C "email@email.com" &q ...
- SSH下authorized_keys, id_rsa, id_rsa.pub, known_hosts作用
一.known_hsots ssh会把你每个你访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts.当下次访问相同计算机时,OpenSSH会核对公钥.如果公钥不同,O ...
- Java环境下shiro的测试-认证与授权
Java环境下shiro的测试 1.导入依赖的核心jar包 <dependency> <groupId>org.apache.shiro</groupId> < ...
- CentOS在ssh下远程重装系统
CentOS在ssh下远程重装系统 http://www.zxsdw.com/index.php/archives/913/ 国外VPS服务器一般都有控制面板,有很多种系统可自行安装,但国内有些IDC ...
- ssh下:系统初始化实现ServletContextListener接口时,获取spring中数据层对象无效的问题
想要实现的功能:SSH环境下,数据层都交由Spring管理:在服务启动时,将数据库中的一些数据加载到ServletContext中缓存起来. 系统初始化类需要实现两个接口: ServletContex ...
- Linux SSH下安装Java并设置环境
我是用Xshell进行远程连接阿里云服务器的,所以jdk不好下载. 我使用的是Winscp远程软件,在window上下载了jdk然后再上传到Linux服务器上 下面是安装的步骤 1.下载jdk8 登录 ...
- Linux ssh下实现免密码登录
1.Linux 生成密钥 ssh-keygen -t rsa 进入“.ssh”会生成以下几个文件 id_rsa : 生成的私钥文件 id_rsa.pub : 生成的公钥文件 know_hosts : ...
- Xshell和SecureCRT等SSH下使用Tmux及Byobu(解决Byobu被statusline信息面板刷屏问题)
Vim的vsplit用得爽吧!多命令行模式,同样让你爽得不蛋疼! 下面介绍一下两个终端多控制台软件:Tmux 和 Byobu!本文还是以Xshell为主进行介绍! --------------Tmux ...
- LINUX的SSH下FTP到远程服务器Entering Passive Mode失败解决
LINUX 系统FTP连接远程服务器经常出现在传输文件或者发出 ls命令时候出现 "Entering Passive Mode "然后就再也无法运作了.该工作主要是因为LINUX的 ...
随机推荐
- 《Python黑帽子:黑客与渗透测试编程之道》 Windows下木马的常用功能
有趣的键盘记录: 安装pyHook: http://nchc.dl.sourceforge.net/project/pyhook/pyhook/1.5.1/pyHook-1.5.1.win32-py2 ...
- 【AUTO Uninstaller 中文版-详细使用教程】AUTODESK系列软件MAYA/CAD/3DSMAX/INVENTOR终极完美修复卸载工具 Windows x64位 【原创搬家】
小伙伴是不是遇到 MAYA/CAD/3DSMAX/INVENTOR/REVIT 安装失败或者安装不了的问题了呢?AUTODESK系列软件着实令人头疼,MAYA/CAD/3DSMAX/INVENTOR/ ...
- JS 对象 合并
来自:https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Global_Objects/Object/assign#Sy ...
- Xshell连接不上Linux
用Xshell连接Linux的时候报错了: Connecting to 192.168.79.147:22...Could not connect to '192.168.79.147' (port ...
- jmeter 中使用ServerAgen链接超时可能出错的原因之一ip不对
因为我要压测的服务器是需要使用跳板机转发链接的,所以我开始用的是跳板机的IP+ServerAgen端口,发现连不通,实际上应该使用ServerAgen所在服务器的IP,如果:
- struts+spring+hibernate两张表字段名一样处理方法
在利用struts2+spring+hibernate(利用Hibernate进行分页查询)三大框架进行开发项目的时候,出现一个问题:居然要进行关联查询的十几张表中有两张表的字段一样,并且这两张表中的 ...
- n层满k叉树总共有多少个节点
2叉树 1 3 7 对应公式为(2^n-1)/1 3叉树 1 4 13 对应公式为(3^n-1)/2 4叉树 1 5 21对应公式为(4^n-1)/3 ... n层k叉树,总共有(k^n-1)/k-1 ...
- 网络请求 爬虫学习笔记 一 requsets 模块的使用 get请求和post请求初识别,代理,session 和ssl证书
前情提要: 为了养家糊口,为了爱与正义,为了世界和平, 从新学习一个爬虫技术,做一个爬虫学习博客记录 学习内容来自各大网站,网课,博客. 如果觉得食用不良,你来打我啊 requsets 个人觉得系统自 ...
- Nginx基本入门
转自:http://blog.csdn.net/u012486840/article/details/53098890 1.静态HTTP服务器 首先,Nginx是一个HTTP服务器,可以将服务器上的静 ...
- 用asp.net core 2.0 + EFCore.Sqlite做个小网站
许久没用C#写程序.听说进来发生大事,.NetCore2.0发布了,于是便学习了下,本站也应运而生. 大多数的地方按照官方的文档起步走就可以了,这里谈谈遇到的几个坑. 首先,本站是基于ASP.NetC ...