博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
Shiro Demo 示例(SpringMVC-Mybatis-Shiro-redis)
阅读量:5878 次
发布时间:2019-06-19

本文共 8214 字,大约阅读时间需要 27 分钟。

Shiro


Shiro Demo 准备工作

运行前申明

  1. 请看完本页面的所有细节,对你掌握这个项目来说很重要,别一上来就搞,你不爽,我也不爽。
  2. 本项目需要一定的Java功底,需要对SpringMvcMybatis,有基本的了解,其次对Redis有了解和使用更佳。
  3. 本项目理论上,只需要一个Redis,然后一个Mysql和一个有Maven环境的开发工具即可运行起来。
  4. 对Reids没有了解,请看这里:。

运行步骤

  1. 从  下载源码(不定期更新和修复BUG),导入到EclipseMyEclipesIdea类似开发工具。
  2. 解决编译错误,修改JDK1.7以上(请勿使用工具自带JDK)。
  3. Mysql数据库中创建一个数据库,库名随便。
  4. 从项目/init/sql/下,先执行tables.sql创建表,再运行init.data.sql插入初始化数据。
  5. 再修改配置jdbc.properties把数据库链接改成您的。
  6. 服务,如果您没用过,或者没安装,请看这里==>,以及注意事项都在里面有说明。Redis启动报错请看这里:
  7. 安装完毕后,修改配置:spring-cache.xml,如果是本地,无序修改,启动Redis,如对Redis不了解的同学,建议别设置密码。
  8. 运行项目,如果还有错误请参考异常信息,并解决,如果实在不能解决,请加QQ群交流,群需要付费5元,加群请看右侧菜单。
  9. 项目帐号和线上Demo一致:管理员帐号:admin,密码:sojson.com 如果密码错误,请用 sojson

线上Demo说明

  1. Demo已经部署到线上,地址是:
  2. 管理员帐号:admin,密码:sojson.com 如果密码错误,请用 sojson
  3. 你可以注册自己的帐号,然后用管理员赋权限给你自己的帐号,但是,每20分钟会把数据初始化一次。建议自己下载源码,让Demo跑起来,然后跑的更快,有问题加群解决。

Shiro Demo 源码下载

Shiro Demo 非Maven项目依赖包下载:点我下载

Github 0.1版本下载:,(请下载0.2版本)

Github 0.2版本下载:

Shiro Demo 0.2版本介绍:

Shiro Demo 0.2版本主要解决的问题为0.1版本出现的问题和BUG。

Shiro Demo 0.2版本为Shiro Demo 0.1的升级版本

PS:请选用0.2版本,这样你遇到的问题会比较少。

升级内容:

  1. 修复了些许BUG,优化了语法。
  2. 0.1版本限制较多,比如要部署到Tomcat Root下才能正常运行,就是用http://localhost:8080方式访问。
  3. 0.2版本可以采用目录访问,如:http://localhost:8080/shiro.demo/,默认项目名称为/shiro.demo/

Shiro 简介

Apache Shiro 是的一个安全框架。我们经常看到它被拿来和的来对比。大部分人认为比要简单。我的观点赞成一半一半吧。

首先确实和是同类型的框架,主要用来做安全,也就是我们俗称的权限校验(控制)。居多人对的定义为好入门。

我选型为,主要的原因扩展太easy了,而且我要的功能它都有。

本教程开发环境

本教程Jar包管理是,所以如果是项目下载Demo后可以直接使用,如果是普通的Java Web项目,那么请在下面下载所有依赖包。

本教程开发工具是。

本教程编码格式为UTF-8

本教程JDK为1.7,请勿使用自带工具JDK。

本教程Mysql为5.3版本是以上。

 版本随意。

本教程Spring版本为4.2.5

前端页面采用Bootstrap 3.2

本教程包含的内容

  1. SSM( +  + Mybatis)框架的增删改查(含分页),所以如果框架小白也是可以看看的。
  2. View层主要是,但是为了考虑到好多人还使用的是,也有一个页面是用JSP实现的,并且框架支持 和 JSPView展示(优先找)。
  3.  +  的集成,也提供Ehcache的依赖Jar。
  4. Shiro 初始权限动态加载。
  5. Shiro 自定义权限校验Filter定义,及功能实现。
  6. Shiro 请求权限不满足,拦截后解决方案。
  7. Shiro 标签使用。
  8. Shiro 标签使用。
  9. Shiro 登录后跳转到最后一个访问的页面。
  10. 用户禁止登录Demo
  11. 在线显示,在线用户管理(踢出登录)。
  12. 登录注册密码加密传输Demo(详细请见下面讲解)。
  13. 密码修改。
  14. 用户个人中心。
  15. 权限的增删改查。
  16. 角色的增删改查。
  17. 权限->角色->用户之间的关系维护。
  18. 管理员权限的自动添加(当有一个权限创建,自动添加到管理员角色下,保证管理员是最大权限)。
  19. 定时任务数据化数据。
  20. 集成多种验证码(包括动态的gif验证码哦)。
  21. 一个帐号多处登录限制,踢出用户。
  22. 后续会陆陆续续升级... ...

一、SSM(SpringMVC + Mybatis)框架的增删改查(含分页)

本教程是SSM( + + Mybatis + + JSP) + Shiro + Redis 做的整体Demo,其他框架需要自己自行解决,所以不做其他框架的讲解,其实是大同小异。

Controller ==> Service(事务控制层) ==> Dao ==> SqlMapper ==> Mysql

二、View层 Freemarker,JSP

通用View层配置在spring-mvc.xml中的以【通用试图解析器】注释标注的区间配置。

三、Shiro + Redis 的集成,也提供Ehcache的依赖Jar。

Redis 缓存配置主要在spring-cache.xml中。对应的所有Cache 相关代码在package:com.sojson.core.shiro.cache

四、Shiro 初始权限动态加载。

我们一般是这么加载的。在spring-shiro.xml中配置

 

 
 
 
  1. <property name="filterChainDefinitions" >
  2. <value>
  3. /** = anon
  4. /page/login.jsp = anon
  5. /page/register/* = anon
  6. /page/index.jsp = authc
  7. /page/addItem* = authc,roles[数据管理员]
  8. /page/file* = authc,roleOR[普通用户,数据管理员]
  9. /page/listItems* = authc,roleOR[数据管理员,普通用户]
  10. /page/showItem* = authc,roleOR[数据管理员,普通用户]
  11. /page/updateItem*=authc,roles[数据管理员]
  12. </value>
  13. </property>

 

本教程采用动态加载,你可以从数据库里读取然后拼接成shiro要的数据。

 

 

 
 
 
  1. <property name="filterChainDefinitions" value="#\{shiroManager.loadFilterChainDefinitions()\}"/>

 

配置文件方式加载详细讲解:

五、Shiro 自定义权限校验Filter定义,及功能实现。

Shiro Filter在package:com.sojson.core.shiro.filter,具体配置在spring-shiro.xml中。定义了5个拦截器,具体功能看代码以及代码注释。

 

 
 
 
  1. <bean id="shiroManager" class="com.sojson.core.shiro.service.impl.ShiroManagerImpl"/>
  2. <bean id="login" class="com.sojson.core.shiro.filter.LoginFilter"/>
  3. <bean id="role" class="com.sojson.core.shiro.filter.RoleFilter"/>
  4. <bean id="permission" class="com.sojson.core.shiro.filter.PermissionFilter"/>
  5. <bean id="simple" class="com.sojson.core.shiro.filter.SimpleAuthFilter"/>
 
 
 
  1. <property name="filters">
  2. <util:map>
  3. <entry key="login" value-ref="login"></entry>
  4. <entry key="role" value-ref="role"></entry>
  5. <entry key="simple" value-ref="simple"></entry>
  6. <entry key="permission" value-ref="permission"></entry>
  7. </util:map>
  8. </property>

 

六、Shiro Ajax请求权限不满足,拦截后解决方案。

这里有一个前提,我们知道不能做页面redirectforward跳转,所以请求假如没登录,那么这个请求给用户的感觉就是没有任何反应,而用户又不知道用户已经退出了。解决代码如下:

 

 
 
 
  1. //Java代码,判断如果是Ajax请求,然后并且没登录,那么就给予返回JSON,login_status = 300,message = 当前用户没有登录!
  2. if (ShiroFilterUtils.isAjax(request)) {
    // ajax请求
  3. Map<String,String> resultMap = new HashMap<String, String>();
  4. LoggerUtils.debug(getClass(), "当前用户没有登录,并且是Ajax请求!");
  5. resultMap.put("login_status", "300");
  6. resultMap.put("message", "\u5F53\u524D\u7528\u6237\u6CA1\u6709\u767B\u5F55\uFF01");//当前用户没有登录!
  7. ShiroFilterUtils.out(response, resultMap);
  8. }

 

 

 
 
 
  1. //前端代码
  2. if(result.login_status == 300){
  3. layer.msg(result.message);//当前用户没有登录!
  4. }

 

七、Shiro Freemarker标签使用。

使用Shiro 标签的介绍:

八、Shiro JSP标签使用。

JSP使用Shiro 标签的介绍:

九、Shiro 登录后跳转到最后一个访问的页面。

在中就可以这样获取上一个地址:

 

 
 
 
  1. //上一个浏览的非Ajax的地址,在登录后,取得地址,如果不为null,那么就跳转过去。
  2. String url = (String) request.getAttribute(WebUtils.FORWARD_REQUEST_URI_ATTRIBUTE);
  3. //shiro也有他的方法。详细看下面。

 

如果需要保存登录之前的Request信息,那么需要在Login拦截的Filter中先保存:

 

 
 
 
  1. @Override
  2. protected boolean onAccessDenied(ServletRequest request, ServletResponse response)
  3. throws Exception {
  4. //保存Request和Response,登录后可以取到
  5. saveRequestAndRedirectToLogin(request, response);
  6. return Boolean.FALSE ;
  7. }
  8. //登录后,取到之前的Request中的一些信息。
  9. SavedRequest saveRequest = WebUtils.getSavedRequest(request);
  10. saveRequest.getMethod();//之前的请求方法
  11. saveRequest.getQueryString();//之前请求的条件
  12. saveRequest.getRequestURI();//之前请求的路径
  13. saveRequest.getRequestUrl();//之前请求的全路径

 

十、用户禁止登录Demo

这个功能其实是一个改变用户数据库表里的一个字段,本Demo中:1:有效,0:禁止登录

然后踢出用户登录状态。代码详细请查看CustomSessionManager.java类的forbidUserById(Long id, Long status)方法。

而再次登录的话,需要再登录,而登录的地方限制了用户状态为(0:禁止登录)的用户登录。

 
 
 
  1. /**
  2. * 查询要禁用的用户是否在线。
  3. * @param id 用户ID
  4. * @param status 用户状态
  5. */
  6. public void forbidUserById(Long id, Long status) {
  7. //获取所有在线用户
  8. for(UserOnlineBo bo : getAllUser()){
  9. Long userId = bo.getId();
  10. //匹配用户ID
  11. if(userId.equals(id)){
  12. //获取用户Session
  13. Session session = shiroSessionRepository.getSession(bo.getSessionId());
  14. //标记用户Session
  15. SessionStatus sessionStatus = (SessionStatus) session.getAttribute(SESSION_STATUS);
  16. //是否踢出 true:有效,false:踢出。
  17. sessionStatus.setOnlineStatus(status.intValue() == 1);
  18. //更新Session
  19. customShiroSessionDAO.update(session);
  20. }
  21. }
  22. }

十一、在线显示,在线用户管理(踢出登录)

上面的功能依赖这个功能。从Redis中获取所有有效的Session

 
 
 
  1. /**
  2. * 获取所有的有效Session用户
  3. * @return
  4. */
  5. public List getAllUser() {
  6. //获取所有session
  7. Collection sessions = customShiroSessionDAO.getActiveSessions();
  8. List list = new ArrayList();
  9. for (Session session : sessions) {
  10. UserOnlineBo bo = getSessionBo(session);
  11. if(null != bo){
  12. list.add(bo);
  13. }
  14. }
  15. return list;
  16. }

踢出后,不能直接退出,要不然用户感觉莫名其妙。所有增加了一个Filter。SimpleAuthFilter.java如果标记为踢出,会提示用户。具体查看源码以及配合项目的使用。

十二、登录注册密码加密传输

这个地方好多人纠结的。比如密码过于简单,即使加密后也能破解。如我们把密码:123456,加密后就是:e10adc3949ba59abbe56e057f20f883e

这个很容易被识别,导致不安全,现在市面上的MD5破解其实就是把常用的数字,字母进行先加密,然后对比,美其名曰破解MD5。

那怎么能让用户即使使用很简单的密码,也发现不了?

本Demo的实现方式是:MD5(登录帐号 + “固定值” + 密码),把这个作为密码,这样,基本是不可能猜的出来。

 

 
 
 
  1. //Java代码。UserManager.md5Pswd(UUser user);
  2. /**
  3. * 加工密码,和登录一致。
  4. * @param user
  5. * @return
  6. */
  7. public static UUser md5Pswd(UUser user){
  8. //密码为 email + '#' + pswd,然后MD5
  9. user.setPswd(md5Pswd(user.getEmail(),user.getPswd()));
  10. return user;
  11. }
  12. /**
  13. * 字符串返回值
  14. * @param email
  15. * @param pswd
  16. * @return
  17. */
  18. public static String md5Pswd(String email ,String pswd){
  19. pswd = String.format("%s#%s", email,pswd);
  20. pswd = MathUtil.getMD5(pswd);
  21. return pswd;
  22. }
 
 
 
  1. //JS代码
  2. var pswd = MD5(username +"#" + password);

 

十三、密码修改

不讲了,和上面原理一致,然后具体看Demo。

十四、用户个人中心

包含的功能有[个人资料,资料修改,密码修改,我的权限],具体看Demo。

十五、权限的增删改查。

Demo的设计是遵循的思想。

个人理解介绍:

具体实现看Demo。

十六、角色的增删改查

角色增删改查

 

十七、权限->角色->用户之间的关系维护

把权限赋给角色。

权限赋给角色

把角色赋给用户。

角色权限

十八、管理员权限的自动添加

这里每次添加一个权限,都会添加到“管理员”角色下,保证“管理员”角色拥有最大权限。

十九、Spring定时任务数据初始化

这个Demo因为是开放的,所以创建了一个定时任务。每20分钟执行一次,用存储过程重新创建表,重新插入初始化数据。

具体数据看项目中的init/sql下的tables.sql(初始化表),init.data.sql(初始化数据)。

 

 
 
 
  1. //定时任务配置文件spring-timer.xml
  2. <task:executor id="executor" pool-size="5" />
  3. <task:scheduler id="scheduler" pool-size="10" />
  4. <task:annotation-driven executor="executor" scheduler="scheduler" />
  5. //Java 代码 RoleServiceImpl.java
  6. /**
  7. * 每20分钟执行一次
  8. */
  9. @Override
  10. @Scheduled(cron = "0 0/20 * * * ? ")
  11. public void initData() {
  12. roleMapper.initData();
  13. }

 

二十、集成验证码

shiro 验证码

项目中package:com.sojson.common.utils.vcode包是验证码的封装包。

并且提供了一个VerifyCodeUtils.java 的验证码工具类。

使用方法参见:CommonController.java类中的getVCode()方法和getGifCode()方法。

二十一、一个帐号多处登录限制,踢出用户。

项目中我们会用到单点登录,还有用到单个账号怎么限制同时只能一个人在线?

Shiro教程(十一)Shiro 控制并发登录人数限制实现,登录踢出实现:

如果不是Maven项目,下载依赖包。

依赖Jar包下载:

,或者请加QQ群:259217951(群文件内有,有问题可以交流。)。

备注:点击文件名下载,附件源来自云端,只能在本站下载。复制下载链接无效。

Shiro + SSM框架 Demo 源码下载。

源码下载

(求你了,别下。)

(最后更新时间,2017年5月9日 )

备注:点击文件名下载,附件源来自云端,只能在本站下载。复制下载链接无效。

如果本文对你有帮助,那么请你赞助我,让我更有激情的写下去,帮助更多的人。

版权所属:

原文地址:

转载时必须以链接形式注明原始出处及本声明。

转载于:https://www.cnblogs.com/weixupeng/p/8569718.html

你可能感兴趣的文章
Zabbix汉化方法
查看>>
Java I/O系统基础知识
查看>>
Java多线程设计模式(2)生产者与消费者模式
查看>>
基于whoosh的flask全文搜索插件flask-msearch
查看>>
对象并不一定都是在堆上分配内存的
查看>>
刘宇凡:罗永浩的锤子情怀只能拿去喂狗
查看>>
PHP学习笔记 第十讲 MYSQL在PHP5中的应用
查看>>
php晚了8小时 PHP5中的时间相差8小时的解决办法
查看>>
JS(JavaScript)的初了解7(更新中···)
查看>>
svn文件管理器的使用
查看>>
Ansible playbook 使用
查看>>
for/foreach/linq执行效率测试
查看>>
js /jquery停止事件冒泡和阻止浏览器默认事件
查看>>
杭电1698--Just a Hook(线段树, 区间更新)
查看>>
长春理工大学第十四届程序设计竞赛(重现赛)I.Fate Grand Order
查看>>
好作品地址
查看>>
[翻译]Protocol Buffer 基础: C++
查看>>
runloop与线程的关系
查看>>
[Bzoj2246]迷宫探险(概率+DP)
查看>>
[译] 感受 4px 基线网格带来的便利
查看>>