Shiro 綜合實(shí)例

2020-12-04 09:45 更新

綜合實(shí)例

簡單數(shù)據(jù)字典

用戶 (sys_user)

名稱

類型

長度

描述

id

bigint

 

編號 主鍵

username

varchar

100

用戶名

password

varchar

100

密碼

salt

varchar

50

role_ids

varchar

100

角色列表

locked

bool

 

賬戶是否鎖定

組織機(jī)構(gòu) (sys_organization)

名稱

類型

長度

描述

id

bigint

 

編號 主鍵

name

varchar

100

組織機(jī)構(gòu)名

priority

int

 

顯示順序

parent_id

bigint

 

父編號

parent_ids

varchar

100

父編號列表

available

bool

 

是否可用

資源 (sys_resource)

名稱

類型

長度

描述

id

bigint

 

編號 主鍵

name

varchar

100

資源名稱

type

varchar

50

資源類型,

priority

int

 

顯示順序

parent_id

bigint

 

父編號

parent_ids

varchar

100

父編號列表

permission

varchar

100

權(quán)限字符串

available

bool

 

是否可用

角色 (sys_role)

名稱

類型

長度

描述

id

bigint

 

編號 主鍵

role

varchar

100

角色名稱

description

varchar

100

角色描述

resource_ids

varchar

100

授權(quán)的資源

available

bool

 

是否可用

資源:表示菜單元素、頁面按鈕元素等;菜單元素用來顯示界面菜單的,頁面按鈕是每個頁面可進(jìn)行的操作,如新增、修改、刪除按鈕;使用 type 來區(qū)分元素類型(如 menu 表示菜單,button 代表按鈕),priority 是元素的排序,如菜單顯示順序;permission 表示權(quán)限;如用戶菜單使用 user:*;也就是把菜單授權(quán)給用戶后,用戶就擁有了 user:* 權(quán)限;如用戶新增按鈕使用 user:create,也就是把用戶新增按鈕授權(quán)給用戶后,用戶就擁有了 user:create 權(quán)限了;available 表示資源是否可用,如菜單顯示 / 不顯示。

角色:role 表示角色標(biāo)識符,如 admin,用于后臺判斷使用;description 表示角色描述,如超級管理員,用于前端顯示給用戶使用;resource_ids 表示該角色擁有的資源列表,即該角色擁有的權(quán)限列表(顯示角色),即角色是權(quán)限字符串集合;available 表示角色是否可用。

組織機(jī)構(gòu):name 表示組織機(jī)構(gòu)名稱,priority 是組織機(jī)構(gòu)的排序,即顯示順序;available 表示組織機(jī)構(gòu)是否可用。

用戶:username 表示用戶名;password 表示密碼;salt 表示加密密碼的鹽;role_ids 表示用戶擁有的角色列表,可以通過角色再獲取其權(quán)限字符串列表;locked 表示用戶是否鎖定。

此處如資源、組織機(jī)構(gòu)都是樹型結(jié)構(gòu):

id

name

parent_id

parent_ids

1

總公司

0

0/

2

山東分公司

1

0/1/

3

河北分公司

1

0/1/

4

濟(jì)南分公司

2

0/1/2/

parent_id 表示父編號,parent_ids 表示所有祖先編號;如 0/1/2/ 表示其祖先是 2、1、0;其中根節(jié)點(diǎn)父編號為 0。

為了簡單性,如用戶 - 角色,角色 - 資源關(guān)系直接在實(shí)體(用戶表中的 role_ids,角色表中的 resource_ids)里完成的,沒有建立多余的關(guān)系表,如要查詢擁有 admin 角色的用戶時,建議建立關(guān)聯(lián)表,否則就沒必要建立了。在存儲關(guān)系時如 role_ids=1,2,3,;多個之間使用逗號分隔。

用戶組、組織機(jī)構(gòu)組本實(shí)例沒有實(shí)現(xiàn),即可以把一組權(quán)限授權(quán)給這些組,組中的用戶 / 組織機(jī)構(gòu)就自動擁有這些角色 / 權(quán)限了;另外對于用戶組可以實(shí)現(xiàn)一個默認(rèn)用戶組,如論壇,不管匿名 / 登錄用戶都有查看帖子的權(quán)限。

更復(fù)雜的權(quán)限請參考我的《JavaEE 項目開發(fā)腳手架》:http://github.com/zhangkaitao/es

表 / 數(shù)據(jù) SQL

具體請參考

  • sql/ shiro-schema.sql (表結(jié)構(gòu))
  • sql/ shiro-data.sql (初始數(shù)據(jù))

默認(rèn)用戶名 / 密碼是 admin/123456。

實(shí)體

具體請參考 com.github.zhangkaitao.shiro.chapter16.entity 包下的實(shí)體,此處就不列舉了。

DAO

具體請參考 com.github.zhangkaitao.shiro.chapter16.dao 包下的 DAO 接口及實(shí)現(xiàn)。

Service

具體請參考 com.github.zhangkaitao.shiro.chapter16.service 包下的 Service 接口及實(shí)現(xiàn)。以下是出了基本 CRUD 之外的關(guān)鍵接口:

public interface ResourceService {
    Set<String> findPermissions(Set<Long> resourceIds); //得到資源對應(yīng)的權(quán)限字符串
    List<Resource> findMenus(Set<String> permissions); //根據(jù)用戶權(quán)限得到菜單
}
public interface RoleService {
    Set<String> findRoles(Long... roleIds); //根據(jù)角色編號得到角色標(biāo)識符列表
    Set<String> findPermissions(Long[] roleIds); //根據(jù)角色編號得到權(quán)限字符串列表
}
public interface UserService {
    public void changePassword(Long userId, String newPassword); //修改密碼
    public User findByUsername(String username); //根據(jù)用戶名查找用戶
    public Set<String> findRoles(String username);// 根據(jù)用戶名查找其角色
    public Set<String> findPermissions(String username);// 根據(jù)用戶名查找其權(quán)限
}

Service 實(shí)現(xiàn)請參考源代碼,此處就不列舉了。

UserRealm 實(shí)現(xiàn)

public class UserRealm extends AuthorizingRealm {
    @Autowired private UserService userService;
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = (String)principals.getPrimaryPrincipal();
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.setRoles(userService.findRoles(username));
        authorizationInfo.setStringPermissions(userService.findPermissions(username));
        System.out.println(userService.findPermissions(username));
        return authorizationInfo;
    }
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String)token.getPrincipal();
        User user = userService.findByUsername(username);
        if(user == null) {
            throw new UnknownAccountException();//沒找到帳號
        }
        if(Boolean.TRUE.equals(user.getLocked())) {
            throw new LockedAccountException(); //帳號鎖定
        }
        return new SimpleAuthenticationInfo(
                user.getUsername(), //用戶名
                user.getPassword(), //密碼
                ByteSource.Util.bytes(user.getCredentialsSalt()),//salt=username+salt
                getName()  //realm name
        );
    }
}

此處的 UserRealm 和《第六章 Realm 及相關(guān)對象》中的 UserRealm 類似,通過 UserService 獲取帳號及角色 / 權(quán)限信息。

Web 層控制器

@Controller
public class IndexController {
    @Autowired
    private ResourceService resourceService;
    @Autowired
    private UserService userService;
    @RequestMapping("/")
    public String index(@CurrentUser User loginUser, Model model) {
        Set<String> permissions = userService.findPermissions(loginUser.getUsername());
        List<Resource> menus = resourceService.findMenus(permissions);
        model.addAttribute("menus", menus);
        return "index";
    }
}

IndexController 中查詢菜單在前臺界面顯示,請參考相應(yīng)的 jsp 頁面;

@Controller
public class LoginController {
    @RequestMapping(value = "/login")
    public String showLoginForm(HttpServletRequest req, Model model) {
        String exceptionClassName = (String)req.getAttribute("shiroLoginFailure");
        String error = null;
        if(UnknownAccountException.class.getName().equals(exceptionClassName)) {
            error = "用戶名/密碼錯誤";
        } else if(IncorrectCredentialsException.class.getName().equals(exceptionClassName)) {
            error = "用戶名/密碼錯誤";
        } else if(exceptionClassName != null) {
            error = "其他錯誤:" + exceptionClassName;
        }
        model.addAttribute("error", error);
        return "login";
    }
}

LoginController 用于顯示登錄表單頁面,其中 shiro authc 攔截器進(jìn)行登錄,登錄失敗的話會把錯誤存到 shiroLoginFailure 屬性中,在該控制器中獲取后來顯示相應(yīng)的錯誤信息。

@RequiresPermissions("resource:view")
@RequestMapping(method = RequestMethod.GET)
public String list(Model model) {
    model.addAttribute("resourceList", resourceService.findAll());
    return "resource/list";
}

在控制器方法上使用 @RequiresPermissions 指定需要的權(quán)限信息,其他的都是類似的,請參考源碼。

Web 層標(biāo)簽庫

com.github.zhangkaitao.shiro.chapter16.web.taglib.Functions 提供了函數(shù)標(biāo)簽實(shí)現(xiàn),有根據(jù)編號顯示資源 / 角色 / 組織機(jī)構(gòu)名稱,其定義放在 src/main/webapp/tld/zhang-functions.tld。

Web 層異常處理器

@ControllerAdvice
public class DefaultExceptionHandler {
    @ExceptionHandler({UnauthorizedException.class})
    @ResponseStatus(HttpStatus.UNAUTHORIZED)
    public ModelAndView processUnauthenticatedException(NativeWebRequest request, UnauthorizedException e) {
        ModelAndView mv = new ModelAndView();
        mv.addObject("exception", e);
        mv.setViewName("unauthorized");
        return mv;
    }
}

如果拋出 UnauthorizedException,將被該異常處理器截獲來顯示沒有權(quán)限信息。

Spring 配置——spring-config.xml

定義了 context:component-scan 來掃描除 web 層的組件、dataSource(數(shù)據(jù)源)、事務(wù)管理器及事務(wù)切面等;具體請參考配置源碼。

Spring 配置——spring-config-cache.xml

定義了 spring 通用 cache,使用 ehcache 實(shí)現(xiàn);具體請參考配置源碼。

Spring 配置——spring-config-shiro.xml

定義了 shiro 相關(guān)組件。 

<bean id="userRealm" class="com.github.zhangkaitao.shiro.chapter16.realm.UserRealm">
    <property name="credentialsMatcher" ref="credentialsMatcher"/>
    <property name="cachingEnabled" value="false"/>
</bean>

userRealm 組件禁用掉了 cache,可以參考 https://github.com/zhangkaitao/es/tree/master/web/src/main/java/com/sishuok/es/extra/aop 實(shí)現(xiàn)自己的 cache 切面;否則需要在修改如資源 / 角色等信息時清理掉緩存。

<bean id="sysUserFilter" 
class="com.github.zhangkaitao.shiro.chapter16.web.shiro.filter.SysUserFilter"/>

sysUserFilter 用于根據(jù)當(dāng)前登錄用戶身份獲取 User 信息放入 request;然后就可以通過 request 獲取 User。 

<property name="filterChainDefinitions">
  <value>
    /login = authc
    /logout = logout
    /authenticated = authc
    /** = user,sysUser
  </value>
</property>

如上是 shiroFilter 的 filterChainDefinitions 定義。

Spring MVC 配置——spring-mvc.xml

定義了 spring mvc 相關(guān)組件。

<mvc:annotation-driven>
  <mvc:argument-resolvers>
    <bean class="com.github.zhangkaitao.shiro.chapter16
        .web.bind.method.CurrentUserMethodArgumentResolver"/>
  </mvc:argument-resolvers>
</mvc:annotation-driven>

此處注冊了一個 @CurrentUser 參數(shù)解析器。如之前的 IndexController,從 request 獲取 shiro sysUser 攔截器放入的當(dāng)前登錄 User 對象。

Spring MVC 配置——spring-mvc-shiro.xml

定義了 spring mvc 相關(guān)組件。

<aop:config proxy-target-class="true"></aop:config>
<bean class="org.apache.shiro.spring.security
    .interceptor.AuthorizationAttributeSourceAdvisor">
  <property name="securityManager" ref="securityManager"/>
</bean>

定義 aop 切面,用于代理如 @RequiresPermissions 注解的控制器,進(jìn)行權(quán)限控制。

web.xml 配置文件

定義 Spring ROOT 上下文加載器、ShiroFilter、及 SpringMVC 攔截器。具體請參考源碼。

JSP 頁面

<shiro:hasPermission name="user:create">
    <a href="${pageContext.request.contextPath}/user/create">用戶新增</a><br/>
</shiro:hasPermission>

使用 shiro 標(biāo)簽進(jìn)行權(quán)限控制。具體請參考源碼。

系統(tǒng)截圖

訪問 http://localhost:8080/chapter16/;
首先進(jìn)入登錄頁面,輸入用戶名 / 密碼(默認(rèn) admin/123456)登錄:

登錄成功后到達(dá)整個頁面主頁,并根據(jù)當(dāng)前用戶權(quán)限顯示相應(yīng)的菜單,此處菜單比較簡單,沒有樹型結(jié)構(gòu)顯示

然后就可以進(jìn)行一些操作,如組織機(jī)構(gòu)維護(hù)、用戶修改、資源維護(hù)、角色授權(quán)

相關(guān)資料

《跟我學(xué) spring3》
http://www.iteye.com/blogs/subjects/spring3

《跟開濤學(xué) SpringMVC》
http://www.iteye.com/blogs/subjects/kaitao-springmvc

《簡單 shiro 擴(kuò)展實(shí)現(xiàn) NOT、AND、OR 權(quán)限驗(yàn)證》
http://jinnianshilongnian.iteye.com/blog/1864800

《Shiro+Struts2+Spring3 加上 @RequiresPermissions 后 @Autowired 失效》
http://jinnianshilongnian.iteye.com/blog/1850425

更復(fù)雜的權(quán)限請參考我的《JavaEE 項目開發(fā)腳手架》:http://github.com/zhangkaitao/es,提供了更加復(fù)雜的實(shí)現(xiàn)。

以上內(nèi)容是否對您有幫助:
在線筆記
App下載
App下載

掃描二維碼

下載編程獅App

公眾號
微信公眾號

編程獅公眾號