用户登录安全框架shiro—用户的认证和授权(一)

　　  ssm整合shiro框架，对用户的登录操作进行认证和授权，目的很纯粹就是为了增加系统的安全线，至少不要输在门槛上嘛。

　　这几天在公司独立开发一个供公司内部人员使用的小管理系统，客户不多但是登录一直都是简单的校验查询，没有使用任何安全框架来保驾护航，下午终于拿出以前的手段来完善了一下，将shiro安全框架与ssm整合使用的步骤和大家分享一下，都是些简单易懂的东西，希望努力没有白费，帮到大家。

ssm整合shiro安全框架的步骤：

1、引入shiro安全框架的所需jar包

　<!-- shiro -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.2.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.2.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.2.3</version>
        </dependency>

2、在web.xml文件中配置shiro拦截器

<!-- spring整合安全框架 -->
    <filter>
        <filter-name>DelegatingFilterProxy</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <!-- 初始化参数 -->
        <init-param>
            <param-name>targetBeanName</param-name>
            <param-value>shiroFilter</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>DelegatingFilterProxy</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

3、创建spring整合shiro安全框架的配置文件applicationContext-shiro.xml(各位在拷贝的时候记得修改一下跳转连接地址)

<!-- shiro开启事务注解 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager" />
    </bean>
    
    <!-- 
        /**  除了已经设置的其他路径的认证
     -->
    <!-- shiro工厂bean配置 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- shiro的核心安全接口 -->
        <property name="securityManager" ref="securityManager"></property>
        <!-- 要求登录时的连接 -->
        <property name="loginUrl" value="/login.jsp"></property>
        <!-- 登录成功后要跳转的连接(此处已经在登录中处理了) -->
        <!-- <property name="successUrl" value="/index.jsp"></property> -->
        <!-- 未认证时要跳转的连接 -->
        <property name="unauthorizedUrl" value="/refuse.jsp"></property>
        <!-- shiro连接约束配置 -->
        <property name="filterChainDefinitions">
            <value>
                <!-- 对静态资源设置允许匿名访问 -->
                /images/** = anon
                /js/** = anon
                /css/** = anon
                <!-- 可匿名访问路径，例如：验证码、登录连接、退出连接等 -->
                /auth/login = anon
                <!-- 剩余其他路径，必须认证通过才可以访问 -->
                /** = authc
            </value>
        </property>
    </bean>
    
    <!-- 配置shiro安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realms" ref="customRealm"></property>
    </bean>
    
    <!-- 自定义Realm -->
    <bean id="customRealm" class="com.zxz.auth.realm.UserRealm">
        <property name="credentialsMatcher" ref="credentialsMatcher"></property>
    </bean>
    
    <!-- 配置凭证算法匹配器 -->
    <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
        <!-- Md5算法 -->
        <property name="hashAlgorithmName" value="Md5"></property>
    </bean>

【高能说明：以上俩个配置文件中加粗画线的红色部分必须一致，没毛病。】

　　还需要说明的是，在上面的配置文件中shiro连接约束配置那块，要特别小心，哥们我就在哪块吃了2天的折磨亏，当时是只配置了/** = authc，没有配置可匿名访问的路径，当时是什么情况吧，就是无限次的调试无限次的修改，我是真长记性了，还有一点就是在配置的时候把你项目中的静态资源放开，被屏蔽了啊，好心提醒，不谢。

4、当然，在这之前，还要编写自定义realm类，该类必须认AuthorizingRealm类做爸爸，不然你是不行滴，之后还有俩个儿子需要处理了，一个是认证另一个授权，理论我就不多说了，MD没用。

public class UserRealm extends AuthorizingRealm {
    
    @Autowired
    private UserService userService;
    
    @Override
    public String getName() {
        return "customRealm";
    }
    
    /**
     * 认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 获取用户名称
        String username = (String) token.getPrincipal();
        User user = userService.findByUsername(username);
        if (user == null) {
            // 用户名不存在抛出异常
            System.out.println("认证：当前登录的用户不存在");
            throw new UnknownAccountException();
        }
        String pwd = user.getPassword();
        return new SimpleAuthenticationInfo(user, pwd, getName());
    }

    /**
     * 授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection princ) {
        return null;
    }
}

5、到这儿，shiro安全框架的整合是完成了，然后编写action类来实现登录功能，不多说了，直接上代码。

/**
     * shiro框架登录
     * @param user
     */
    @RequestMapping(value = "/login",method=RequestMethod.POST)
    public ModelAndView login(User user){
        // 表面校验
        if(!StringUtil.isNullOrBlank(user.getUsername()) || !StringUtil.isNullOrBlank(user.getPassword())){
             return new ModelAndView("login")
                     .addObject("message", "账号或密码不能为空")
                     .addObject("failuser", user);
        }
        // 获取主体
        Subject subject = SecurityUtils.getSubject();
        try{
            // 调用安全认证框架的登录方法
            subject.login(new UsernamePasswordToken(user.getUsername(), user.getPassword()));
        }catch(AuthenticationException ex){
            System.out.println("登陆失败: " + ex.getMessage());
            return new ModelAndView("login")
                    .addObject("message", "用户不存在")
                    .addObject("failuser", user);
        }
        // 登录成功后重定向到首页
        return new ModelAndView("redirect:/index");
    }

　　最后需要给大家说的就是，当某用户登录成功之后，shiro安全框架就会将用户的信息存放在session中，你可以通过User user = (User) SecurityUtils.getSubject().getPrincipal();这句代码在任何地方任何时候都能获取当前登录成功的用户信息。

很长年间没用shiro安全框架了，原理忘得都差不多了，但是驾驭它还是没问题的，如果哪儿写的不对的，希望各位指教，尽管我脾气很爆，哈哈哈。