java shiro登录实例_Shiro安全框架入门篇(登录验证实例详解与源码)
轉載自http://blog.csdn.net/u013142781
一、Shiro框架簡單介紹
Apache Shiro是Java的一個安全框架,旨在簡化身份驗證和授權。Shiro在JavaSE和JavaEE項目中都可以使用。它主要用來處理身份認證,授權,企業會話管理和加密等。Shiro的具體功能點如下:
(1)身份認證/登錄,驗證用戶是不是擁有相應的身份;
(2)授權,即權限驗證,驗證某個已認證的用戶是否擁有某個權限;即判斷用戶是否能做事情,常見的如:驗證某個用戶是否擁有某個角色。或者細粒度的驗證某個用戶對某個資源是否具有某個權限;
(3)會話管理,即用戶登錄后就是一次會話,在沒有退出之前,它的所有信息都在會話中;會話可以是普通JavaSE環境的,也可以是如Web環境的;
(4)加密,保護數據的安全性,如密碼加密存儲到數據庫,而不是明文存儲;
(5)Web支持,可以非常容易的集成到Web環境;
Caching:緩存,比如用戶登錄后,其用戶信息、擁有的角色/權限不必每次去查,這樣可以提高效率;
(6)shiro支持多線程應用的并發驗證,即如在一個線程中開啟另一個線程,能把權限自動傳播過去;
(7)提供測試支持;
(8)允許一個用戶假裝為另一個用戶(如果他們允許)的身份進行訪問;
(9)記住我,這個是非常常見的功能,即一次登錄后,下次再來的話不用登錄了。
文字描述可能并不能讓猿友們完全理解具體功能的意思。下面我們以登錄驗證為例,向猿友們介紹Shiro的使用。至于其他功能點,猿友們用到的時候再去深究其用法也不遲。
二、Shiro實例詳細說明
本實例環境:eclipse + maven
本實例采用的主要技術:spring + springmvc + shiro
2.1、依賴的包
假設已經配置好了spring和springmvc的情況下,還需要引入shiro以及shiro集成到spring的包,maven依賴如下:
org.apache.shiro
shiro-core
1.2.1
org.apache.shiro
shiro-web
1.2.1
org.apache.shiro
shiro-ehcache
1.2.1
org.apache.shiro
shiro-spring
1.2.1
View Code
2.2、定義shiro攔截器
對url進行攔截,如果沒有驗證成功的需要驗證,然后額外給用戶賦予角色和權限。
自定義的攔截器需要繼承AuthorizingRealm并實現登錄驗證和賦予角色權限的兩個方法,具體代碼如下:
packagecom.luo.shiro.realm;importjava.util.HashSet;importjava.util.Set;importorg.apache.shiro.authc.AuthenticationException;importorg.apache.shiro.authc.AuthenticationInfo;importorg.apache.shiro.authc.AuthenticationToken;importorg.apache.shiro.authc.SimpleAuthenticationInfo;importorg.apache.shiro.authc.UsernamePasswordToken;importorg.apache.shiro.authz.AuthorizationInfo;importorg.apache.shiro.authz.SimpleAuthorizationInfo;importorg.apache.shiro.realm.AuthorizingRealm;importorg.apache.shiro.subject.PrincipalCollection;importcom.luo.util.DecriptUtil;public class MyShiroRealm extendsAuthorizingRealm {//這里因為沒有調用后臺,直接默認只有一個用戶("luoguohui","123456")
private static final String USER_NAME = "luoguohui";private static final String PASSWORD = "123456";/** 授權*/@OverrideprotectedAuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
Set roleNames = new HashSet();
Set permissions = new HashSet();
roleNames.add("administrator");//添加角色
permissions.add("newPage.jhtml"); //添加權限
SimpleAuthorizationInfo info = newSimpleAuthorizationInfo(roleNames);
info.setStringPermissions(permissions);returninfo;
}/** 登錄驗證*/@OverrideprotectedAuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken authcToken)throwsAuthenticationException {
UsernamePasswordToken token=(UsernamePasswordToken) authcToken;if(token.getUsername().equals(USER_NAME)){return newSimpleAuthenticationInfo(USER_NAME, DecriptUtil.MD5(PASSWORD), getName());
}else{throw newAuthenticationException();
}
}
}
View Code
2.3、shiro配置文件
spring-shiro.xml文件內容如下:
default-lazy-init="true">
Shiro Configuration
/index.jhtml =authc/login.jhtml =anon/checkLogin.json =anon/loginsuccess.jhtml =anon/logout.json =anon/**= authc
depends-on="lifecycleBeanPostProcessor">
這里有必要說清楚”shiroFilter” 這個bean里面的各個屬性property的含義:
(1)securityManager:這個屬性是必須的,沒什么好說的,就這樣配置就好。
(2)loginUrl:沒有登錄的用戶請求需要登錄的頁面時自動跳轉到登錄頁面,可配置也可不配置。
(3)successUrl:登錄成功默認跳轉頁面,不配置則跳轉至”/”,一般可以不配置,直接通過代碼進行處理。
(4)unauthorizedUrl:沒有權限默認跳轉的頁面。
(5)filterChainDefinitions,對于過濾器就有必要詳細說明一下:
1)Shiro驗證URL時,URL匹配成功便不再繼續匹配查找(所以要注意配置文件中的URL順序,尤其在使用通配符時),故filterChainDefinitions的配置順序為自上而下,以最上面的為準
2)當運行一個Web應用程序時,Shiro將會創建一些有用的默認Filter實例,并自動地在[main]項中將它們置為可用自動地可用的默認的Filter實例是被DefaultFilter枚舉類定義的,枚舉的名稱字段就是可供配置的名稱
3)通常可將這些過濾器分為兩組:
anon,authc,authcBasic,user是第一組認證過濾器
perms,port,rest,roles,ssl是第二組授權過濾器
注意user和authc不同:當應用開啟了rememberMe時,用戶下次訪問時可以是一個user,但絕不會是authc,因為authc是需要重新認證的
user表示用戶不一定已通過認證,只要曾被Shiro記住過登錄狀態的用戶就可以正常發起請求,比如rememberMe
說白了,以前的一個用戶登錄時開啟了rememberMe,然后他關閉瀏覽器,下次再訪問時他就是一個user,而不會authc
4)舉幾個例子
/admin=authc,roles[admin] 表示用戶必需已通過認證,并擁有admin角色才可以正常發起’/admin’請求
/edit=authc,perms[admin:edit] 表示用戶必需已通過認證,并擁有admin:edit權限才可以正常發起’/edit’請求
/home=user 表示用戶不一定需要已經通過認證,只需要曾經被Shiro記住過登錄狀態就可以正常發起’/home’請求
5)各默認過濾器常用如下(注意URL Pattern里用到的是兩顆星,這樣才能實現任意層次的全匹配)
/admins/**=anon 無參,表示可匿名使用,可以理解為匿名用戶或游客
/admins/user/**=authc 無參,表示需認證才能使用
/admins/user/**=authcBasic 無參,表示httpBasic認證
/admins/user/**=user 無參,表示必須存在用戶,當登入操作時不做檢查
/admins/user/**=ssl 無參,表示安全的URL請求,協議為https
/admins/user/*=perms[user:add:]
參數可寫多個,多參時必須加上引號,且參數之間用逗號分割,如/admins/user/*=perms[“user:add:,user:modify:*”]
當有多個參數時必須每個參數都通過才算通過,相當于isPermitedAll()方法
/admins/user/**=port[8081]
當請求的URL端口不是8081時,跳轉到schemal://serverName:8081?queryString
其中schmal是協議http或https等,serverName是你訪問的Host,8081是Port端口,queryString是你訪問的URL里的?后面的參數
/admins/user/**=rest[user]
根據請求的方法,相當于/admins/user/**=perms[user:method],其中method為post,get,delete等
/admins/user/**=roles[admin]
參數可寫多個,多個時必須加上引號,且參數之間用逗號分割,如/admins/user/**=roles[“admin,guest”]
當有多個參數時必須每個參數都通過才算通過,相當于hasAllRoles()方法
2.4、web.xml配置引入對應的配置文件和過濾器
contextConfigLocation
classpath:application.xml,classpath:shiro/spring-shiro.xml
shiroFilter
org.springframework.web.filter.DelegatingFilterProxy
targetFilterLifecycle
true
shiroFilter
*.jhtml
*.json
2.5、controller代碼
packagecom.luo.controller;importjava.util.HashMap;importjava.util.Map;importjavax.servlet.http.HttpServletRequest;importorg.apache.shiro.SecurityUtils;importorg.apache.shiro.authc.UsernamePasswordToken;importorg.apache.shiro.subject.Subject;importorg.springframework.stereotype.Controller;importorg.springframework.web.bind.annotation.RequestMapping;importorg.springframework.web.bind.annotation.RequestMethod;importorg.springframework.web.bind.annotation.ResponseBody;importorg.springframework.web.servlet.ModelAndView;importcom.alibaba.druid.support.json.JSONUtils;importcom.luo.errorcode.LuoErrorCode;importcom.luo.exception.BusinessException;importcom.luo.util.DecriptUtil;
@Controllerpublic classUserController {
@RequestMapping("/index.jhtml")public ModelAndView getIndex(HttpServletRequest request) throwsException {
ModelAndView mav= new ModelAndView("index");returnmav;
}
@RequestMapping("/exceptionForPageJumps.jhtml")public ModelAndView exceptionForPageJumps(HttpServletRequest request) throwsException {throw newBusinessException(LuoErrorCode.NULL_OBJ);
}
@RequestMapping(value="/businessException.json", method=RequestMethod.POST)
@ResponseBodypublicString businessException(HttpServletRequest request) {throw newBusinessException(LuoErrorCode.NULL_OBJ);
}
@RequestMapping(value="/otherException.json", method=RequestMethod.POST)
@ResponseBodypublic String otherException(HttpServletRequest request) throwsException {throw newException();
}//跳轉到登錄頁面
@RequestMapping("/login.jhtml")public ModelAndView login() throwsException {
ModelAndView mav= new ModelAndView("login");returnmav;
}//跳轉到登錄成功頁面
@RequestMapping("/loginsuccess.jhtml")public ModelAndView loginsuccess() throwsException {
ModelAndView mav= new ModelAndView("loginsuccess");returnmav;
}
@RequestMapping("/newPage.jhtml")public ModelAndView newPage() throwsException {
ModelAndView mav= new ModelAndView("newPage");returnmav;
}
@RequestMapping("/newPageNotAdd.jhtml")public ModelAndView newPageNotAdd() throwsException {
ModelAndView mav= new ModelAndView("newPageNotAdd");returnmav;
}/*** 驗證用戶名和密碼
*@paramString username,String password
*@return
*/@RequestMapping(value="/checkLogin.json",method=RequestMethod.POST)
@ResponseBodypublicString checkLogin(String username,String password) {
Map result = new HashMap();try{
UsernamePasswordToken token= newUsernamePasswordToken(username, DecriptUtil.MD5(password));
Subject currentUser=SecurityUtils.getSubject();if (!currentUser.isAuthenticated()){//使用shiro來驗證
token.setRememberMe(true);
currentUser.login(token);//驗證角色和權限
}
}catch(Exception ex){throw newBusinessException(LuoErrorCode.LOGIN_VERIFY_FAILURE);
}
result.put("success", true);returnJSONUtils.toJSONString(result);
}/*** 退出登錄*/@RequestMapping(value="/logout.json",method=RequestMethod.POST)
@ResponseBodypublicString logout() {
Map result = new HashMap();
result.put("success", true);
Subject currentUser=SecurityUtils.getSubject();
currentUser.logout();returnJSONUtils.toJSONString(result);
}
}
View Code
上面代碼,我們只需要更多地關注登錄驗證和退出登錄的代碼。
其中DecriptUtil.MD5(password),對密碼進行md5加密解密是我自己寫的工具類DecriptUtil,對應MyShiroRealm里面的登錄驗證里面也有對應對應的方法。
另外,BusinessException是我自己封裝的異常類。
最后會提供整個工程源碼供猿友下載,里面包含了所有的代碼。
2.6、login.jsp代碼
password:
登錄
var param={
username : $("#username").val(),
password : $("#password").val()
};
$.ajax({
type:"post",
url:"<%=request.getContextPath()%>" + "/checkLogin.json",
data: param,
dataType:"json",
success: function(data) {if(data.success == false){
alert(data.errorMsg);
}else{//登錄成功
window.location.href = "<%=request.getContextPath()%>" + "/loginsuccess.jhtml";
}
},
error: function(data) {
alert("調用失敗....");
}
});
});
2.7、效果演示
(2)如果登錄失敗和登錄成功:
總結
以上是生活随笔為你收集整理的java shiro登录实例_Shiro安全框架入门篇(登录验证实例详解与源码)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: sublime java cmd_在su
- 下一篇: java 强制下线_【java】如何强制