springrain技术详解(1)-shiro基本权限控制-优快云博客

本文详细介绍了如何在SpringRain项目中集成Shiro权限管理框架。通过三步配置实现：配置Shiro过滤器、设置Spring-Shiro配置文件以及实现数据库认证与权限过滤。文章还提供了关键代码片段。

shiro是一个非常强大灵活的权限控制框架,属于apache的顶级项目.springrain使用shiro实现了权限控制功能.

下图充分说明了shiro的体系架构

归根到底,权限控制无非是利用过滤器控制访问的认证和授权,shiro也不例外.我们来看看shiro是怎么实现的吧.

要在web中使用shiro,总共分三步:

第一步:在web.xml中配置shiro的过滤器,建议是应用的第一个过滤器,springrain示例配置如下:

 
<filter> 

<filter-name>shiroFilter</filter-name> 

<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> 

<init-param> 

<param-name>targetFilterLifecycle</param-name> 

<param-value>true</param-value> 

</init-param> 

</filter> 

<filter-mapping> 

<filter-name>shiroFilter</filter-name> 

<url-pattern>/*</url-pattern> 

<dispatcher>REQUEST</dispatcher> 

<dispatcher>FORWARD</dispatcher> 

<dispatcher>INCLUDE</dispatcher> 

<dispatcher>ERROR</dispatcher> 

</filter-mapping>

这个shiroFilter其实是个spring bean,等下会重点说这个bean,dispatcher这个标签是为了在forward和redirect的情况下也需要经过过滤器

第二步:配置spring-shiro,springrain配置是applicationContext-shiro.xml

 
     01<!-- 权限管理器 -->

     02 <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> 

     03<!-- 数据库认证的实现 org.springrain.frame.shiro.ShiroDbRealm -->

     04 <property name="realm" ref="shiroDbRealm" /> 

     05<!-- session 管理器 -->

     06 <property name="sessionManager" ref="sessionManager" /> 

     07<!-- 缓存管理器 -->

     08 <property name="cacheManager" ref="shiroCacheManager" /> 

     09 </bean> 

     10<!-- session管理器 -->

     11 <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> 

     12<!-- 超时时间 -->

     13 <property name="globalSessionTimeout" value="1800000"/> 

     14<!-- session存储的实现 -->

     15 <property name="sessionDAO" ref="shiroSessionDao"/> 

     16<!-- sessionIdCookie的实现,用于重写覆盖容器默认的JSESSIONID -->

     17 <property name="sessionIdCookie" ref="sharesession"/> 

     18<!-- 定时检查失效的session -->

     19 <property name="sessionValidationSchedulerEnabled" value="true" /> 

     20 </bean> 

     21 

     22<!-- sessionIdCookie的实现,用于重写覆盖容器默认的JSESSIONID -->

     23 <bean id="sharesession" class="org.apache.shiro.web.servlet.SimpleCookie"> 

     24<!-- cookie的name,对应的默认是 JSESSIONID -->

     25 <constructor-arg name="name" value="SHAREJSESSIONID"/> 

     26 </bean> 

     27<!-- session存储的实现 -->

     28 <bean id="shiroSessionDao" class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO" /> 

     29 

     30<!-- 缓存管理实现 -->

     31 <bean id="shiroCacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" /> 

     32 

     33<!-- shiro的主过滤器,beanId 和web.xml中配置的filter name需要保持一致 -->

     34 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean" 

     35 depends-on="frameperms"> 

     36<!-- 安全管理器 -->

     37 <property name="securityManager" ref="securityManager" /> 

     38<!-- 默认的登陆访问url -->

     39 <property name="loginUrl" value="/login" /> 

     40<!-- 登陆成功后跳转的url -->

     41 <property name="successUrl" value="/index" /> 

     42<!-- 没有权限跳转的url -->

     43 <property name="unauthorizedUrl" value="/unauth" /> 

     44<!-- 访问地址的过滤规则,从上至下的优先级,如果有匹配的规则,就会返回,不会再进行匹配 -->

     45 <property name="filterChainDefinitions"> 

     46 <value> 

     47/js/** = anon

     48/css/** = anon

     49/images/** = anon

     50/myimg/**= anon

     51/unauth = anon

     52/getCaptcha=anon

     53/login = anon

     54/favicon.ico = anon

     55/index = user

     56/logout = logout

     57/menu/leftMenu=user

     58/**/ajax/** = user

     59/** = user,frameperms

     60 </value> 

     61 </property> 

     62<!-- 声明自定义的过滤器 -->

     63 <property name="filters"> 

     64 <map> 

     65 <entry key="frameperms" value-ref="frameperms"></entry> 

     66 </map> 

     67 </property> 

     68 </bean> 

     69<!-- 起效权限注解,这个很少在web项目中用到,一般是控制url的访问,不是在controller中声明权限注解 -->

     70 <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

frameperms是自定义的过滤器,除了那些特殊url,其他的菜单都在数据库,查询用户权限判断,下一篇文章介绍下权限相关的表结构.
另外不建议在web项目使用类似 admin:user:edit这种方式控制权限,这种方式等同给url又起了一个别名,这样虽然看起来比较容易理解,但是相当死板和麻烦.建议直接使用url判断权限
authc 和 user的区别是 user包含 rememberme,authc不包含,就这一点区别.

第三步:实现数据库认证和权限过滤

数据库认证shiroDbRealm的代码:

http://git.oschina.net/chunanyong/springrain/blob/master/springrain/src/org/springrain/frame/shiro/ShiroDbRealm.java

自定义权限过滤frameperms的代码:

http://git.oschina.net/chunanyong/springrain/blob/master/springrain/src/org/springrain/frame/shiro/FramePermissionsAuthorizationFilter.java

另外 springrain 没有使用authc实现登陆,而是使用一个普通的controller方法进行登陆
org.springrain.frame.controller.BaseController.loginPost(User, HttpSession, Model, HttpServletRequest)
其中
//会调用 shiroDbRealm 的认证方法
//org.springrain.frame.shiro.ShiroDbRealm.doGetAuthenticationInfo(AuthenticationToken)
user.login(token);

本文出自 9iu.org，转载时请注明出处及相应链接。

本文永久链接: http://www.9iu.org/2013/12/10/springrain1-shiro.html