Shiro认证_散列算法
散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,适 合于对密码进行加密。比如密码 admin ,产生的散列值是 21232f297a57a5a743894a0e4a801fc3 ,但在md5解密网站很容易的通过散列值 得到密码 admin 。所以在加密时我们可以加一些只有系统知道的干扰 数据,这些干扰数据称之为“盐”,并且可以进行多次加密,这样生 成的散列值相对来说更难破解。
Shiro支持的散列算法:
Md2Hash、Md5Hash、Sha1Hash、Sha256Hash、 Sha384Hash、Sha512Hash
@SpringBootTest public class Md5Test { @Test public void testMd5() { //使用MD5加密 Md5Hash result1 = new Md5Hash("123"); System.out.println("md5加密后的结果:" + result1); //加盐后加密,加密5次 Md5Hash result2 = new Md5Hash("123","sxt",5); System.out.println("md5加盐加密后的结果:" + result2); } }
接下来我们在项目中对密码进行加密:
1、修改数据库和实体类,添加盐字段,并修改数据库用户密码为加盐加密后的数据。
@Data public class Users{ private Integer uid; private String username; private String password; private String salt; }
2、修改自定义Realm
@Component public class MyRealm extends AuthorizingRealm { @Autowired private UserInfoMapper userInfoMapper; // 自定义认证方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { // 1.获取用户输入的用户名 UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; String username = token.getUsername(); // 2.根据用户名查询用户 QueryWrapper<Users> wrapper = new QueryWrapper<Users>().eq("username",username); Users users = usersMapper.selectOne(wrapper); // 3.将查询到的用户封装为认证信息 if (users == null) { throw new UnknownAccountException("账户不存在"); } /** * 参数1:用户 * 参数2:密码 * 参数3:盐 * 参数4:Realm名 */ return new SimpleAuthenticationInfo(users, users.getPassword(), ByteSource.Util.bytes(users.getSalt()), "myRealm"); } // 自定义授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } }
3、在注册自定义Realm时添加加密算法
// 配置加密算法 @Bean public HashedCredentialsMatcher hashedCredentialsMatcher(){ HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher(); //加密算法 hashedCredentialsMatcher.setHashAlgorithmName("md5"); //加密的次数 hashedCredentialsMatcher.setHashIterations(5); return hashedCredentialsMatcher; } // Realm @Bean public MyRealm getMyRealm(HashedCredentialsMatcher hashedCredentialsMatcher) { MyRealm myRealm = new MyRealm(); // 设置加密算法 myRealm.setCredentialsMatcher(hashedCredentialsMatcher); return myRealm; }
4、启动项目,访问登录页http://localhost/login,测试登录功能。
Shiro认证_过滤器
在以上案例中,虽然有认证功能,但即使没有登录也可以访问系统 资源。如果要配置认证后才能访问资源,就需要使用过滤器拦截请 求。Shiro内置了很多过滤器:
过滤器工厂配置过滤器链:
// 配置过滤器 @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){ // 1.创建过滤器工厂 ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean(); // 2.过滤器工厂设置SecurityManager filterFactory.setSecurityManager(securityManager); // 3.设置shiro的拦截规则 Map<String,String> filterMap=new HashMap<>(); // 不拦截的资源 filterMap.put("/login.html","anon"); filterMap.put("/fail.html","anon"); filterMap.put("/user/login","anon"); filterMap.put("/css/**","anon"); // 其余资源都需要用户认证 filterMap.put("/**","authc"); // 4.将拦截规则设置给过滤器工厂 filterFactory.setFilterChainDefinitionMap(filterMap); // 5.登录页面 filterFactory.setLoginUrl("/login.html"); return filterFactory; }
Shiro认证_获取认证数据
用户认证通过后,有时我们需要获取用户信息,比如在网站顶部显 示:欢迎您,XXX。获取用户信息的写法如下:
@RequestMapping("/user/getUsername") @ResponseBody public String getUsername(){ Subject subject = SecurityUtils.getSubject(); // 获取认证数据 Users users = (Users)subject.getPrincipal(); return users.getUsername(); }
Shiro认证_Shiro会话
Shiro提供了完整的企业级会话管理功能,不依赖于Web容器,不管 JavaSE还是JavaEE环境都可以使用。
// 使用Shiro提供的会话对象 @RequestMapping("/user/session") @ResponseBody public void session(){ // 1.获取Subject Subject subject = SecurityUtils.getSubject(); // 2.获取会话 Session session = subject.getSession(); // 会话id System.out.println("会话id:"+session.getId()); // 会话的主机地址 System.out.println("会话的主机地址:"+session.getHost()); // 设置会话过期时间 session.setTimeout(1000*10); // 获取会话过期时间 System.out.println("会话过期时间:"+session.getTimeout()); // 会话开始时间 System.out.println("会话开始时间:"+session.getStartTimestamp()); // 会话最后访问时间 System.out.println("会话最后访问时间:"+session.getLastAccessTime()); // 会话设置数据 session.setAttribute("name","百战不败"); } @RequestMapping("/user/getSession") @ResponseBody public void getSession(){ Subject subject = SecurityUtils.getSubject(); Session session = subject.getSession(); System.out.println(session.getAttribute("name")); }
Shiro认证_会话管理器
Shiro中提供了会话管理器,可以对会话对象进行配置和监听,用法如下:
1、创建会话监听器
@Component public class MySessionListener implements SessionListener { //会话创建时触发 @Override public void onStart(Session session) { System.out.println("会话创建:" + session.getId()); } //会话过期时触发 @Override public void onExpiration(Session session) { System.out.println("会话过期:" + session.getId()); } //退出/会话过期时触发 @Override public void onStop(Session session) { System.out.println("会话停止:" + session.getId()); } }
2、在会话管理器中配置会话监听器
// 会话管理器 @Bean public SessionManager sessionManager(MySessionListener sessionListener) { // 创建会话管理器 DefaultWebSessionManager sessionManager = new DefaultWebSessionManager(); // 创建会话监听器集合 List<SessionListener> listeners = new ArrayList(); listeners.add(sessionListener); // 将监听器集合设置到会话管理器中 sessionManager.setSessionListeners(listeners); // 全局会话超时时间(单位毫秒),默认30分钟,设置为5秒 sessionManager.setGlobalSessionTimeout(5*1000); // 是否开启删除无效的session对象,默认为true sessionManager.setDeleteInvalidSessions(true); // 是否开启定时调度器进行检测过期session,默认为true sessionManager.setSessionValidationSchedulerEnabled(true); return sessionManager; }
3、在SecurityManager中配置会话管理器
@Bean public DefaultWebSecurityManager securityManager(MyRealm myRealm,MyRealm2 myRealm2,SessionManager sessionManager){ DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 自定义Realm放入SecurityManager中 // securityManager.setRealm(myRealm); // 设置Realm管理者(需要设置在Realm之前) securityManager.setAuthenticator(modularRealmAuthenticator()); List<Realm> realms = new ArrayList(); realms.add(myRealm); //realms.add(myRealm2); securityManager.setRealms(realms); securityManager.setSessionManager(sessionManager); return securityManager; }
Shiro认证_退出登录
在系统中一般都有退出登录的操作。退出登录后Shiro会销毁会话和 认证数据。在Shrio中,退出登录的写法如下:
1、编写退出登录控制器
@RequestMapping("/user/logout") public String logout(){ Subject subject = SecurityUtils.getSubject(); // 退出登录 subject.logout(); // 退出后跳转到登录页 return "redirect:/login"; }
2、在主页面添加退出登录按钮
<!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>主页面</title> </head> <body> <h1>主页面</h1> <h2><a href="/user/logout">退出登录</a></h2> </body> </html>
Shiro认证_Remember Me
Remember Me为“记住我”功能,即登录成功后,下次访问系统时无 需重新登录。当使用“记住我”功能登录后,Shiro会在浏览器Cookie 中保存序列化后的认证数据。之后浏览器访问项目时会携带该 Cookie数据,这样不登录也可以完成认证。
当然,为了安全起见,并不是所有资源都可以通过“记住我”访问。 比如在电商系统中,查询商品等操作可以不登录,但是支付时往往 需要重新登录,Shiro支持配置什么资源可以通过“记住我”访问。
实现“记住我”功能的写法如下:
1、序列化所有实体类
@Data public class Users implements Serializable { private Integer uid; private String username; private String password; private String salt; }
2、配置Cookie生成器和记住我管理器
// Cookie生成器 @Bean public SimpleCookie simpleCookie() { SimpleCookie simpleCookie = new SimpleCookie("rememberMe"); // Cookie有效时间,单位:秒 simpleCookie.setMaxAge(20); return simpleCookie; } // 记住我管理器 @Bean public CookieRememberMeManager cookieRememberMeManager(SimpleCookie simpleCookie) { CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager(); // Cookie生成器 cookieRememberMeManager.setCookie(simpleCookie); // Cookie加密的密钥 cookieRememberMeManager.setCipherKey(Base64.decode("6ZmI6I2j3Y+R1aSn5BOlAA==")); return cookieRememberMeManager; } @Bean public DefaultWebSecurityManager securityManager(MyRealm myRealm, MyRealm2 myRealm2,SessionManager sessionManager, CookieRememberMeManager rememberMeManager){ DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 自定义Realm放入SecurityManager中 // securityManager.setRealm(myRealm); // 设置Realm管理者(需要设置在Realm之前) securityManager.setAuthenticator(modularRealmAuthenticator()); List<Realm> realms = new ArrayList(); realms.add(myRealm); //realms.add(myRealm2); securityManager.setRealms(realms); securityManager.setSessionManager(sessionManager); securityManager.setRememberMeManager(rememberMeManager); return securityManager; }
3、修改登录表单
<form class="form" action="/user/login" method="post"> <input type="text" placeholder="用户名" name="username"> <input type="password" placeholder="密码" name="password"> <input type="checkbox" name="rememberMe" value="on">记住我<br> <button type="submit" id="loginbutton">登录</button> </form>
4、修改登录控制器
@RequestMapping("/user/login") public String login(String username,String password,String rememberMe) { try { usersService.userLogin(username,password,rememberMe); return "main"; } catch (DisabledAccountException e) { System.out.println("账户失效"); return "fail"; } catch (ConcurrentAccessException e){ System.out.println("竞争次数过多"); return "fail"; } catch (ExcessiveAttemptsException e){ System.out.println("尝试次数过多"); return "fail"; } catch (UnknownAccountException e) { System.out.println("用户名不正确"); return "fail"; } catch (IncorrectCredentialsException e) { System.out.println("密码不正确"); return "fail"; } catch (ExpiredCredentialsException e) { System.out.println("凭证过期"); return "fail"; } }
5、修改登录Service
@Service public class UsersService { @Autowired private DefaultWebSecurityManager securityManager; public void userLogin(String username,String password,String rememberMe) throws AuthenticationException { SecurityUtils.setSecurityManager(securityManager); Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token=new UsernamePasswordToken(username,password); if (rememberMe != null){ // 如果用户选择记住我,则生成记住我Cookie token.setRememberMe(true); } subject.login(token); } }
6、配置过滤器,配置可以通过“记住我”访问的资源。
@Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){ // 1.创建过滤器工厂 ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean(); // 2.过滤器工厂设置SecurityManager filterFactory.setSecurityManager(securityManager); // 3.设置shiro的拦截规则 Map<String,String> filterMap=new HashMap<>(); // 不拦截的资源 filterMap.put("/login.html","anon"); filterMap.put("/fail.html","anon"); filterMap.put("/user/login","anon"); filterMap.put("/static/**","anon"); // 其余资源都需要认证,authc过滤器表示需要认证才能进行访问; //user过滤器表示配置记住我或认证都可以访问 //filterMap.put("/**","authc"); filterMap.put("/user/pay","authc"); filterMap.put("/**", "user"); // 4.将拦截规则设置给过滤器工厂 filterFactory.setFilterChainDefinitionMap(filterMap); // 5.登录页面 filterFactory.setLoginUrl("/login.html"); return filterFactory; }
7、编写支付控制器
// 支付 @RequestMapping("/user/pay") @ResponseBody public String pay(){ return "支付功能"; }
Shiro授权_权限表设计
授权即认证通过后,系统给用户赋予一定的权限,用户只能根据权 限访问系统中的某些资源。所以在数据库中,用户需要和权限关 联。除了用户表和权限表,还需要创建角色表,他们之间的关系如下:
用户角色,角色权限都是多对多关系,即一个用户拥有多个角色, 一个角色拥有多个权限。如:张三拥有总经理和股东的角色,而总 经理拥有查询工资、查询报表的权限;股东拥有查寻股权的权限, 这样张三就拥有了查询工资、查询报表、查询股权的权限。
接下来我们创建除users外的其余表:
CREATE TABLE `role` ( `rid` int(11) NOT NULL AUTO_INCREMENT, `roleName` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, `roleDesc` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, PRIMARY KEY (`rid`) USING BTREE ) ENGINE = InnoDB AUTO_INCREMENT = 4 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic; INSERT INTO `role` VALUES (1,'总经理','管理整个公司'); INSERT INTO `role` VALUES (2,'股东','参与公司决策'); INSERT INTO `role` VALUES (3,'财务','管理公司资产'); CREATE TABLE `permission` ( `pid` int(11) NOT NULL AUTO_INCREMENT, `permissionName` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, `url` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, PRIMARY KEY (`pid`) USING BTREE ) ENGINE = InnoDB AUTO_INCREMENT = 4 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic; INSERT INTO `permission` VALUES (1,'查询报表', '/reportform/find'); INSERT INTO `permission` VALUES (2,'查询工资', '/salary/find'); INSERT INTO `permission` VALUES (3,'查询税务', '/tax/find'); CREATE TABLE `users_role` ( `uid` int(255) NOT NULL, `rid` int(11) NOT NULL, PRIMARY KEY (`uid`, `rid`) USING BTREE, INDEX `rid`(`rid`) USING BTREE, CONSTRAINT `users_role_ibfk_1` FOREIGN KEY (`uid`) REFERENCES `users` (`uid`) ON DELETE RESTRICT ON UPDATE RESTRICT, CONSTRAINT `users_role_ibfk_2` FOREIGN KEY (`rid`) REFERENCES `role` (`rid`) ON DELETE RESTRICT ON UPDATE RESTRICT ) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic; INSERT INTO `users_role` VALUES (1, 2); INSERT INTO `users_role` VALUES (1, 3); CREATE TABLE `role_permission` ( `rid` int(11) NOT NULL, `pid` int(11) NOT NULL, PRIMARY KEY (`rid`, `pid`) USING BTREE, INDEX `pid`(`pid`) USING BTREE, CONSTRAINT `role_permission_ibfk_1` FOREIGN KEY (`rid`) REFERENCES `role` (`rid`) ON DELETE RESTRICT ON UPDATE RESTRICT, CONSTRAINT `role_permission_ibfk_2` FOREIGN KEY (`pid`) REFERENCES `permission` (`pid`) ON DELETE RESTRICT ON UPDATE RESTRICT ) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic; INSERT INTO `role_permission` VALUES (1, 1); INSERT INTO `role_permission` VALUES (2, 1); INSERT INTO `role_permission` VALUES (1, 2); INSERT INTO `role_permission` VALUES (3, 2); INSERT INTO `role_permission` VALUES (1, 3); INSERT INTO `role_permission` VALUES (2, 3);
Shiro授权_数据库查询权限
在认证后进行授权需要根据用户id查询到用户的权限,写法如下:
1、编写用户、角色、权限实体类
@Data public class Users implements Serializable { private Integer uid; private String username; private String password; private String salt; } // 角色 @Data public class Role implements Serializable{ private Integer rid; private String roleName; private String roleDesc; } // 权限 @Data public class Permission implements Serializable{ private Integer pid; private String permissionName; private String url; }
2、修改UsersMapper接口
// 根据用户id查询权限 List<Permission> findPermissionById(Integer id);
3、在resources目录中编写UsersMapper的映射文件
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="com.tong.myshiro1.mapper.UsersMapper"> <select id="findPermissionById" resultType="com.tong.myshiro1.domain.Permission"> SELECT DISTINCT permission.pid,permission.permissionName,permission.url FROM users LEFT JOIN users_role on users.uid = users_role.uid LEFT JOIN role on users_role.rid = role.rid LEFT JOIN role_permission on role.rid = role_permission.rid LEFT JOIN permission on role_permission.pid = permission.pid where users.uid = #{uid} </select> </mapper>
4、测试方法
@SpringBootTest public class UserMapperTest { @Autowired private UsersMapper usersMapper; @Test public void testFindPermissionById(){ List<Permission> permissions = usersMapper.findPermissionById(1); permissions.forEach(System.out::println); } }
Shiro授权_在Realm进行授权
在自定义Realm中可以自定义授权方法:
// 自定义授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { //1.拿到用户认证信息 Users users = (Users) principalCollection.getPrimaryPrincipal(); //2.从数据库中查询权限 List<Permission> permissions = usersMapper.findPermissionById(users.getUid()); //3.遍历权限对象,将所有权限名交给Shiro管理 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); for (Permission permission : permissions) { authorizationInfo.addStringPermission(permission.getUrl()); } return authorizationInfo; }
Shiro授权_过滤器配置鉴权
Shiro可以根据用户拥有的权限,控制具体资源的访问,这一过程称 为鉴权。在Shiro中,可以通过过滤器进行鉴权配置:
// 配置过滤器 @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){ // 1.创建过滤器工厂 ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean(); // 2.过滤器工厂设置SecurityManager filterFactory.setSecurityManager(securityManager); // 3.设置shiro的拦截规则 Map<String,String> filterMap=new HashMap<>(); // 不拦截的资源 filterMap.put("/login.html","anon"); filterMap.put("/fail.html","anon"); filterMap.put("/user/login","anon"); filterMap.put("/css/**","anon"); // 鉴权过滤器,要写在/**之前,否则认证都无法通过 filterMap.put("/reportform/find","perms[/reportform/find]"); filterMap.put("/salary/find","perms[/salary/find]"); filterMap.put("/staff/find","perms[/staff/find]"); // 其余资源都需要认证,authc过滤器表示需要认证才能进行访问; //user过滤器表示配置记住我或认证都可以访问 //filterMap.put("/**","authc"); filterMap.put("/user/pay","authc"); filterMap.put("/**", "user"); // 4.将拦截规则设置给过滤器工厂 filterFactory.setFilterChainDefinitionMap(filterMap); // 5.登录页面 filterFactory.setLoginUrl("/login.html"); return filterFactory; } // 编写测试控制器 @RestController public class MyController { @GetMapping("/reportform/find") public String findReportform(){ return "查询报表"; } @GetMapping("/salary/find") public String findSalary(){ return "查询工资"; } @GetMapping("/staff/find") public String findStaff(){ return "查询员工"; } }
此时如果权限不足会抛出401异常,我们可以自定义权限不足的跳转页面:
1、编写权限不足页面
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>权限不足</title> </head> <body> <h1>您的权限不足,请联系管理员!</h1> </body> </html>
2、配置权限不足的跳转页面
// 配置过滤器 @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){ // 1.创建过滤器工厂 ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean(); // 2.过滤器工厂设置SecurityManager filterFactory.setSecurityManager(securityManager); // 3.设置shiro的拦截规则 Map<String,String> filterMap=new HashMap<>(); // 不拦截的资源 filterMap.put("/login.html","anon"); filterMap.put("/fail.html","anon"); filterMap.put("/noPermission.html","anon"); filterMap.put("/user/login","anon"); filterMap.put("/css/**","anon"); // 鉴权过滤器 filterMap.put("/reportform/find","perms[/reportform/find]"); filterMap.put("/salary/find","perms[/salary/find]"); filterMap.put("/staff/find","perms[/staff/find]"); // 其余资源都需要认证,authc过滤器表示需要认证才能进行访问; //user过滤器表示配置记住我或认证都可以访问 //filterMap.put("/**","authc"); filterMap.put("/user/pay","authc"); filterMap.put("/**", "user"); //4.将拦截规则设置给过滤器工厂 filterFactory.setFilterChainDefinitionMap(filterMap); // 5.登录页面 filterFactory.setLoginUrl("/login.html"); // 6.权限不足访问的页面 filterFactory.setUnauthorizedUrl("/noPermission.html"); return filterFactory; }
Shiro授权_注解配置鉴权
除了过滤器,Shiro也提供了一些鉴权的注解。我们可以使用注解配置鉴权。
@RequiresGuest:不认证即可访问的资源。
@RequiresUser:通过登录方式或“记住我”方式认证后可以访问资源。 @RequiresAuthentication:通过登录方式认证后可以访问资 源。
@RequiresRoles:认证用户拥有特定角色才能访问的资源
@RequiresPermissions:认证用户拥有特定权限才能访问的资源
1、在配置类开启Shiro注解
// 开启shiro注解的支持 @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) { AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor(); advisor.setSecurityManager(securityManager); return advisor; } // 开启aop注解支持 @Bean public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() { DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator(); defaultAAP.setProxyTargetClass(true); return defaultAAP; }
2、在控制器方法上添加鉴权注解
@GetMapping("/test/index") @RequiresGuest public String testIndex() { return "访问首页"; } @GetMapping("/test/user") @RequiresUser public String testUser() { return "用户中心"; } @GetMapping("/test/pay") @RequiresAuthentication public String testPay() { return "支付中心"; } @GetMapping("/tax/find") @RequiresPermissions("/tax/find") public String taxFind() { return "查询税务"; } @GetMapping("/address/find") @RequiresPermissions("/address/find") public String addressFind() { return "查询地址"; }
Shiro授权_Thymeleaf中进行鉴权
Shrio可以在一些视图技术中进行控制显示效果。例如Thymeleaf 中,只有认证用户拥有某些权限才会展示一些菜单。
1、在pom中引入Shiro和Thymeleaf的整合依赖
<dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extrasshiro</artifactId> <version>2.0.0</version> </dependency>
2、在配置文件中注册ShiroDialect
@Bean public ShiroDialect shiroDialect(){ return new ShiroDialect(); }
3、在Thymeleaf中使用Shiro标签,控制前端的显示内容
<!DOCTYPE html> <html xmlns:th="http://www.thymeleaf.org" xmlns:shiro="http://www.pollix.at/thymeleaf/shiro"> <head> <meta charset="UTF-8"> <title>主页面</title> </head> <body> <h1>主页面</h1> <ul> <li shiro:hasPermission="/reportform/find"> <a href="/reportform/find">查询报表</a></li> <li shiro:hasPermission="/salary/find"> <a href="/salary/find">查询工资</a></li> <li shiro:hasPermission="/staff/find"> <a href="/staff/find">查询员工</a></li> </ul> <h2><a href="/user/logout">退出登录</a></h2> </body> </html>
Shiro授权_缓存
在Shiro中,每次拦截请求进行鉴权,都会去数据库查询该用户的权 限信息。因为用户的权限信息在短时间内是不可变的,每次查询出 来的数据其实都是重复数据,此时就会非常浪费资源。所以一般我 们会将权限数据放在缓存中进行管理,这样我们就不用每次请求都 查询数据库,提升了系统性能。
缓存
缓存即存在于内存中的一块数据。数据库的数据是存储在硬盘上 的,而内存的读写效率要远远的高于数据库。但硬盘中保存的数据 是持久化数据,断电后依然存在;而内存中保存的是临时数据,随 时可能清空。所以我们为了提升系统性能,减少程序和数据库的交 互,会将经常查询但不常改变的,改变后对结果影响不大的数据放 入缓存中。
Shiro支持多种缓存产品,在课程中我们使用ehcache缓存用户的权限数据。
ehcache
ehcache是用来管理缓存的一个工具,其缓存的数据可以放在内存 中,也可以放在硬盘上。ehcache的核心是CacheManager,一切 的ehcache的应用都是从CacheManager开始的。
1、引入shiro和ehcache整合包
<!-- shiro和ehcache整合包 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-ehcache</artifactId> <version>1.9.0</version> </dependency>
2、创建配置文件shiro-ehcache.xml
<?xml version="1.0" encoding="UTF-8"?> <ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://ehcache.org/ehcache.xsd" updateCheck="false"> <diskStore path="java.io.tmpdir/Tmp_EhCache"/> <!-- 默认缓存设置 maxElementsInMemory:缓存最大数目 maxEntriesLocalHeap:指定允许在内存中存放元素的最大数量。 timeToIdleSeconds:一个元素在不被请求的情况下允许在缓存中存活的最大时间。0表示永久有效。 timeToLiveSeconds:无论一个元素闲置与否,其允许在Cache中存活的最大时间。0表示永久有效。 diskExpiryThreadIntervalSeconds:检查元素是否过期的线程多久运行一次 --> <defaultCache maxElementsInMemory="10000" timeToIdleSeconds="120" timeToLiveSeconds="120" diskExpiryThreadIntervalSeconds="120"/> <!-- 授权缓存设置 --> <cache name="authorizationCache" maxEntriesLocalHeap="2000" timeToIdleSeconds="0" timeToLiveSeconds="0"> </cache> </ehcache>
3、在配置文件创建CacheManager
// 创建CacheManager @Bean public EhCacheManager ehCacheManager() { EhCacheManager ehCacheManager = new EhCacheManager(); ehCacheManager.setCacheManagerConfigFile( "classpath:shiro-ehcache.xml"); return ehCacheManager; }
4、在SecurityManager中配置CacheManager
@Bean public DefaultWebSecurityManager securityManager(MyRealm myRealm,MyRealm2 myRealm2, SessionManager sessionManager, CookieRememberMeManager rememberMeManager, EhCacheManager ehCacheManager){ DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 自定义Realm放入SecurityManager中 // securityManager.setRealm(myRealm); // 设置Realm管理者(需要设置在Realm之前) securityManager.setAuthenticator(modularRealmAuthenticator()); List<Realm> realms = new ArrayList(); realms.add(myRealm); //realms.add(myRealm2); securityManager.setRealms(realms); securityManager.setSessionManager(sessionManager); securityManager.setRememberMeManager(rememberMeManager); securityManager.setCacheManager(ehCacheManager); return securityManager; }
5、启动项目,测试权限缓存。
