|
|
|
步骤 2 : 先运行,看到效果,再学习 步骤 3 : 模仿和排错 步骤 4 : shiro.ini 步骤 5 : User 步骤 6 : TestShiro 步骤 7 : 数据库
在使用Shiro 之前,大家做登录,权限什么的都是五花八门,各种花里胡哨的代码,不同系统的做法很有可能千差万别。
但是使用 Shiro 这个安全框架之后,大家做权限的方式都一致化了,这样的好处就是你的代码我看起来容易,我的代码你也好理解。 Shiro 也比较成熟,基本上能满足大部分的权限需要。
老规矩,先下载右上角的可运行项目,配置运行起来,确认可用之后,再学习做了哪些步骤以达到这样的效果。
运行 TestShiro,可以观察到如图所示的效果 某个用户是否登陆成功 某个用户是否拥有某个角色 某个用户是否拥有某种权限
在确保可运行项目能够正确无误地运行之后,再严格照着教程的步骤,对代码模仿一遍。
模仿过程难免代码有出入,导致无法得到期望的运行结果,此时此刻通过比较正确答案 ( 可运行项目 ) 和自己的代码,来定位问题所在。 采用这种方式,学习有效果,排错有效率,可以较为明显地提升学习速度,跨过学习路上的各个槛。 推荐使用diffmerge软件,进行文件夹比较。把你自己做的项目文件夹,和我的可运行项目文件夹进行比较。 这个软件很牛逼的,可以知道文件夹里哪两个文件不对,并且很明显地标记出来 这里提供了绿色安装和使用教程:diffmerge 下载和使用教程
在src目录下新建 shiro.ini
这里面定义了和安全相关的数据: 用户,角色和权限 注释很详细了,挨个看就能理解了 #定义用户
[users]
#用户名 zhang3 密码是 12345, 角色是 admin
zhang3 = 12345, admin
#用户名 li4 密码是 abcde, 角色是 产品经理
li4 = abcde,productManager
#定义角色
[roles]
#管理员什么都能做
admin = *
#产品经理只能做产品管理
productManager = addProduct,deleteProduct,editProduct,updateProduct,listProduct
#订单经理只能做订单管理
orderManager = addOrder,deleteOrder,editOrder,updateOrder,listOrder
#定义用户 [users] #用户名 zhang3 密码是 12345, 角色是 admin zhang3 = 12345, admin #用户名 li4 密码是 abcde, 角色是 产品经理 li4 = abcde,productManager #定义角色 [roles] #管理员什么都能做 admin = * #产品经理只能做产品管理 productManager = addProduct,deleteProduct,editProduct,updateProduct,listProduct #订单经理只能做订单管理 orderManager = addOrder,deleteOrder,editOrder,updateOrder,listOrder
准备用户类,用于存放账号密码
package com.how2java;
public class User {
private String name;
private String password;
public String getName() {
return name;
}
public void setName(String name) {
this.name = name;
}
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
}
package com.how2java;
public class User {
private String name;
private String password;
public String getName() {
return name;
}
public void setName(String name) {
this.name = name;
}
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
}
准备3个用户,前两个能在 shiro.ini 中找到,第3个不存在
然后测试登录 接着测试是否包含角色 最后测试是否拥有权限 注:Subject 在 Shiro 这个安全框架下, Subject 就是当前用户 package com.how2java;
import java.util.ArrayList;
import java.util.List;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
public class TestShiro {
public static void main(String[] args) {
//用户们
User zhang3 = new User();
zhang3.setName("zhang3");
zhang3.setPassword("12345");
User li4 = new User();
li4.setName("li4");
li4.setPassword("abcde");
User wang5 = new User();
wang5.setName("wang5");
wang5.setPassword("wrongpassword");
List<User> users = new ArrayList<>();
users.add(zhang3);
users.add(li4);
users.add(wang5);
//角色们
String roleAdmin = "admin";
String roleProductManager ="productManager";
List<String> roles = new ArrayList<>();
roles.add(roleAdmin);
roles.add(roleProductManager);
//权限们
String permitAddProduct = "addProduct";
String permitAddOrder = "addOrder";
List<String> permits = new ArrayList<>();
permits.add(permitAddProduct);
permits.add(permitAddOrder);
//登陆每个用户
for (User user : users) {
if(login(user))
System.out.printf("%s \t成功登陆,用的密码是 %s\t %n",user.getName(),user.getPassword());
else
System.out.printf("%s \t成功失败,用的密码是 %s\t %n",user.getName(),user.getPassword());
}
System.out.println("-------how2j 分割线------");
//判断能够登录的用户是否拥有某个角色
for (User user : users) {
for (String role : roles) {
if(login(user)) {
if(hasRole(user, role))
System.out.printf("%s\t 拥有角色: %s\t%n",user.getName(),role);
else
System.out.printf("%s\t 不拥有角色: %s\t%n",user.getName(),role);
}
}
}
System.out.println("-------how2j 分割线------");
//判断能够登录的用户,是否拥有某种权限
for (User user : users) {
for (String permit : permits) {
if(login(user)) {
if(isPermitted(user, permit))
System.out.printf("%s\t 拥有权限: %s\t%n",user.getName(),permit);
else
System.out.printf("%s\t 不拥有权限: %s\t%n",user.getName(),permit);
}
}
}
}
private static boolean hasRole(User user, String role) {
Subject subject = getSubject(user);
return subject.hasRole(role);
}
private static boolean isPermitted(User user, String permit) {
Subject subject = getSubject(user);
return subject.isPermitted(permit);
}
private static Subject getSubject(User user) {
//加载配置文件,并获取工厂
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//获取安全管理者实例
SecurityManager sm = factory.getInstance();
//将安全管理者放入全局对象
SecurityUtils.setSecurityManager(sm);
//全局对象通过安全管理者生成Subject对象
Subject subject = SecurityUtils.getSubject();
return subject;
}
private static boolean login(User user) {
Subject subject= getSubject(user);
//如果已经登录过了,退出
if(subject.isAuthenticated())
subject.logout();
//封装用户的数据
UsernamePasswordToken token = new UsernamePasswordToken(user.getName(), user.getPassword());
try {
//将用户的数据token 最终传递到Realm中进行对比
subject.login(token);
} catch (AuthenticationException e) {
//验证错误
return false;
}
return subject.isAuthenticated();
}
}
在本教材里,账号密码,角色信息都是放在配置文件里的,真实工作的时候,肯定都是放在数据库里的。
所以接下来就会讲解如何配合数据库工作
HOW2J公众号,关注后实时获知最新的教程和优惠活动,谢谢。
问答区域
2020-10-30
getSubject(User user)里的user没有被使用,这个参数是不是有点多余啊?
2 个答案
cqs 跳转到问题位置 答案时间:2021-04-19 的确没用,Subject是一个用户,但是当登录了你才知道具体是哪个用户,真正需要user的应该在这里
UsernamePasswordToken token = new UsernamePasswordToken(user.getName(), user.getPassword()); subject.login(token); z8768371 跳转到问题位置 答案时间:2020-12-15 嗯,我已经删了,正常运行。。。
回答已经提交成功,正在审核。 请于 我的回答 处查看回答记录,谢谢
2020-06-09
报错
回答已经提交成功,正在审核。 请于 我的回答 处查看回答记录,谢谢
2020-06-09
报错
2020-02-19
new IniSecurityManagerFactory(); 方法过时了。新方法附截图
2019-12-27
个人理解
提问太多,页面渲染太慢,为了加快渲染速度,本页最多只显示几条提问。还有 10 条以前的提问,请 点击查看
提问之前请登陆
提问已经提交成功,正在审核。 请于 我的提问 处查看提问记录,谢谢
|
|||||||||||||
