黑马程序员-由浅入深掌握Shiro权限框架（4）web项目集成shiro

文章目录

- 第四章 Web项目集成Shiro
- - 1、Web集成原理分析
  - - 【1】web集成的配置
    - - 【1.1】新建项目
      - 【1.2】pom.xml配置
      - 【1.3】web.xml配置
    - 【2】SecurityManager对象创建
  - 2、Shiro默认过滤器
  - - 【1】认证相关
    - 【2】授权相关
  - 3、Web集成完整案例
  - - 【1】编写pom.xml
    - 【2】编写shiro.ini文件
    - 【3】编写LoginService
    - 【4】修改SecurityServiceImpl
    - 【5】添加web层内容
    - - 【5.1】LoginServlet
      - 【5.2】HomeServlet
      - 【5.3】OrderAddServlet
      - 【5.4】OrderListServlet
      - 【5.5】LogoutServlet
    - 【6】添加JSP
    - 【7】测试
    - - 【7.1】启动
      - 【7.2】登录过滤
      - 【7.3】角色过滤
      - 【7.4】资源过滤
  - 4、web项目授权
  - - 【1】基于代码
    - - 【1.1】登录相关
      - 【1.2】角色相关
      - 【1.3】资源相关
      - 【1.4】案例
      - 【1.4.1】创建项目
        【1.4.2】修改shiro.ini
        【1.4.3】登录相关
        【1.4.4】角色相关
        【1.4.5】资源相关
    - 【2】基于Jsp标签
    - - 【2.1】使用方式
      - 【2.2】相关标签
      - 【2.3】案例
      - 【2.3.1】新建项目
        【2.3.2】修改home.jsp

第四章 Web项目集成Shiro

1、Web集成原理分析

【1】web集成的配置

还记得吗，以前我们在没有与WEB环境进行集成的时候，为了生成SecurityManager对象，是通过手动读取配置文件生成工厂对象，再通过工厂对象获取到SecurityManager的。就像下面代码展示的那样

 /*** @Description 登录方法*/
private Subject shiroLogin(String loginName,String password) {//导入权限ini文件构建权限工厂Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");//工厂构建安全管理器SecurityManager securityManager = factory.getInstance();//使用SecurityUtils工具生效安全管理器SecurityUtils.setSecurityManager(securityManager);//使用SecurityUtils工具获得主体Subject subject = SecurityUtils.getSubject();//构建账号tokenUsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(loginName, password);//登录操作subject.login(usernamePasswordToken);return subject;
}

不过，现在我们既然说要与WEB集成，那么首先要做的事情就是把我们的shiro.ini这个配置文件交付到WEB环境中，定义shiro.ini文件如下

#声明自定义的realm，且为安全管理器指定realms
[main]
definitionRealm=com.itheima.shiro.realm.DefinitionRealm
securityManager.realms=$definitionRealm

【1.1】新建项目

HelloShiro

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5ndyNTRb-1642943449742)(image\1580538893171.png)]$

【1.2】pom.xml配置

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"><modelVersion>4.0.0</modelVersion><groupId>org.example</groupId><artifactId>HelloShiro</artifactId><version>1.0-SNAPSHOT</version><packaging>war</packaging><properties><maven.compiler.source>8</maven.compiler.source><maven.compiler.target>8</maven.compiler.target></properties><dependencies><dependency><groupId>commons-logging</groupId><artifactId>commons-logging</artifactId><version>1.1.3</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-core</artifactId><version>1.3.2</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-web</artifactId><version>1.3.2</version></dependency><dependency><groupId>junit</groupId><artifactId>junit</artifactId><version>4.11</version></dependency></dependencies><build><plugins><!-- tomcat7插件,命令： mvn tomcat7:run -DskipTests --><plugin><groupId>org.apache.tomcat.maven</groupId><artifactId>tomcat7-maven-plugin</artifactId><version>2.2</version><configuration><uriEncoding>utf-8</uriEncoding><port>8080</port><path>/platform</path></configuration></plugin><!-- compiler插件, 设定JDK版本 --><plugin><groupId>org.apache.maven.plugins</groupId><artifactId>maven-compiler-plugin</artifactId><version>3.1</version><configuration><source>8</source><target>8</target><showWarnings>true</showWarnings></configuration></plugin></plugins></build>
</project>

【1.3】web.xml配置

<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns="http://java.sun.com/xml/ns/javaee"xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"version="3.0"><display-name>shiro-day01-07web</display-name><!-- 初始化SecurityManager对象所需要的环境--><context-param><param-name>shiroEnvironmentClass</param-name><param-value>org.apache.shiro.web.env.IniWebEnvironment</param-value></context-param><!-- 指定Shiro的配置文件的位置 --><context-param><param-name>shiroConfigLocations</param-name><param-value>classpath:shiro.ini</param-value></context-param><!-- 监听服务器启动时，创建shiro的web环境。即加载shiroEnvironmentClass变量指定的IniWebEnvironment类--><listener><listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class></listener><!-- shiro的l过滤入口，过滤一切请求 --><filter><filter-name>shiroFilter</filter-name><filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class></filter><filter-mapping><filter-name>shiroFilter</filter-name><!-- 过滤所有请求 --><url-pattern>/*</url-pattern></filter-mapping></web-app>

【2】SecurityManager对象创建

上面我们集成shiro到web项目了，下面我们来追踪下源码，看下SecurityManager对象是如何创建的

（1）我启动了服务器，监听器捕获到了服务器启动事件。我现在所处的位置EnvironmentLoaderListener监听器的入口处

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存失败,源站可能有防盗链机制,建议将图片保存下来直接上传下上传(iOmV4upF9KIY-1642943449743)(image\1580539365062.png)(image\1580539365062.png)]$

（2）进入方法内查看，它先根据我们的shiroEnvironmentClass变量的值org.apache.shiro.web.env.IniWebEnvironment，初始化一个shiro环境对象

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7sEOE27L-1642943449744)(image\1580539658469.png)]$

（3）最后在创建一个SecurityManager对象，再将其绑定到刚才通过字节码创建的Shiro环境对象中

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-G53Lfr1N-1642943449752)(image\1580540126770.png)]$ 在这里插入图片描述

到这来SecurityManager就完成了初始化

2、Shiro默认过滤器

Shiro内置了很多默认的过滤器，比如身份验证、授权等相关的。默认过滤器可以参考org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举过滤器

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2cjLq1Nb-1642943449758)(image\1580542509773.png)]$

【1】认证相关

过滤器	过滤器类	说明	默认
authc	FormAuthenticationFilter	基于表单的过滤器；如“/**=authc”，如果没有登录会跳到相应的登录页面登录	无
logout	LogoutFilter	退出过滤器，主要属性：redirectUrl：退出成功后重定向的地址，如“/logout=logout”	/
anon	AnonymousFilter	匿名过滤器，即不需要登录即可访问；一般用于静态资源过滤；示例“/static/**=anon”	无

【2】授权相关

过滤器	过滤器类	说明	默认
roles	RolesAuthorizationFilter	角色授权拦截器，验证用户是否拥有所有角色；主要属性： loginUrl：登录页面地址（/login.jsp）；unauthorizedUrl：未授权后重定向的地址；示例“/admin/**=roles[admin]”	无
perms	PermissionsAuthorizationFilter	权限授权拦截器，验证用户是否拥有所有权限；属性和roles一样；示例“/user/**=perms[“user:create”]”	无
port	PortFilter	端口拦截器，主要属性：port（80）：可以通过的端口；示例“/test= port[80]”，如果用户访问该页面是非80，将自动将请求端口改为80并重定向到该80端口，其他路径/参数等都一样	无
rest	HttpMethodPermissionFilter	rest风格拦截器，自动根据请求方法构建权限字符串（GET=read, POST=create,PUT=update,DELETE=delete,HEAD=read,TRACE=read,OPTIONS=read, MKCOL=create）构建权限字符串；示例“/users=rest[user]”，会自动拼出“user:read,user:create,user:update,user:delete”权限字符串进行权限匹配（所有都得匹配，isPermittedAll）	无
ssl	SslFilter	SSL拦截器，只有请求协议是https才能通过；否则自动跳转会https端口（443）；其他和port拦截器一样；	无

3、Web集成完整案例

基于HelloShiro继续集成

【1】编写pom.xml

<?xml version="1.0" encoding="UTF-8"?><project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"><modelVersion>4.0.0</modelVersion><groupId>org.example</groupId><artifactId>HelloShiro</artifactId><version>1.0-SNAPSHOT</version><packaging>war</packaging><name>HelloShiro Maven Webapp</name><!-- FIXME change it to the project's website --><url>http://www.example.com</url><dependencies><dependency><groupId>commons-logging</groupId><artifactId>commons-logging</artifactId><version>1.1.3</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-core</artifactId><version>1.3.2</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-web</artifactId><version>1.3.2</version></dependency><dependency><groupId>junit</groupId><artifactId>junit</artifactId><version>4.11</version></dependency><dependency><groupId>javax.servlet</groupId><artifactId>javax.servlet-api</artifactId><version>3.0.1</version><scope>provided</scope></dependency><dependency><groupId>jstl</groupId><artifactId>jstl</artifactId><version>1.2</version></dependency><dependency><groupId>taglibs</groupId><artifactId>standard</artifactId><version>1.1.2</version></dependency></dependencies><build><plugins><!-- tomcat7插件,命令： mvn tomcat7:run -DskipTests --><plugin><groupId>org.apache.tomcat.maven</groupId><artifactId>tomcat7-maven-plugin</artifactId><version>2.2</version><configuration><uriEncoding>utf-8</uriEncoding><port>8080</port><path>/platform</path></configuration></plugin><!-- compiler插件, 设定JDK版本 --><plugin><groupId>org.apache.maven.plugins</groupId><artifactId>maven-compiler-plugin</artifactId><version>3.1</version><configuration><source>8</source><target>8</target><showWarnings>true</showWarnings></configuration></plugin></plugins></build>
</project>

【2】编写shiro.ini文件

#声明自定义的realm，且为安全管理器指定realms
[main]
definitionRealm=com.xh.shiro.realm.DefinitionRealm
securityManager.realms=$definitionRealm
#用户退出后跳转指定JSP页面
logout.redirectUrl=/login.jsp
#若没有登录，则被authc过滤器重定向到login.jsp页面
authc.loginUrl = /login.jsp
[urls]
/login=anon
#发送/home请求需要先登录
/home= authc
#发送/order/list请求需要先登录
/order-list = roles[admin]
#提交代码需要order:add权限
/order-add = perms["order:add"]
#更新代码需要order:del权限
/order-del = perms["order:del"]
#发送退出请求则用退出过滤器
/logout = logout

【3】编写LoginService

package com.xh.shiro.service;import org.apache.shiro.authc.UsernamePasswordToken;/*** @Description：登录服务*/
public interface LoginService {/*** @param token 登录对象* @return* @Description 登录方法*/boolean login(UsernamePasswordToken token);/*** @Description 登出方法*/void logout();
}

package com.xh.shiro.service.impl;import com.xh.shiro.service.LoginService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;/*** @Description：登录服务*/
public class LoginServiceImpl implements LoginService {@Overridepublic boolean login(UsernamePasswordToken token) {Subject subject = SecurityUtils.getSubject();try {subject.login(token);}catch (Exception e){return false;}return subject.isAuthenticated();}@Overridepublic void logout() {Subject subject = SecurityUtils.getSubject();subject.logout();}
}

【4】修改SecurityServiceImpl

package com.xh.shiro.service.impl;import com.xh.shiro.service.SecurityService;
import com.xh.shiro.utils.DigestsUtil;import java.util.ArrayList;
import java.util.List;
import java.util.Map;public class SecurityServiceImpl implements SecurityService {@Overridepublic Map<String,String> findPasswordByLoginName(String loginName) {//模拟数据库中存储的密文信息return  DigestsUtil.entryptPassword("123");}@Overridepublic List<String> findRoleByloginName(String loginName) {List<String> list = new ArrayList<>();if ("admin".equals(loginName)){list.add("admin");}list.add("dev");return list;}@Overridepublic List<String>  findPermissionByloginName(String loginName) {List<String> list = new ArrayList<>();if ("jay".equals(loginName)){list.add("order:list");list.add("order:add");list.add("order:del");}return list;}
}

【5】添加web层内容

【5.1】LoginServlet

package com.itheima.shiro.web;import com.itheima.shiro.service.LoginService;
import com.itheima.shiro.service.impl.LoginServiceImpl;
import org.apache.shiro.authc.UsernamePasswordToken;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;package com.xh.shiro.web;import com.xh.shiro.service.LoginService;
import com.xh.shiro.service.impl.LoginServiceImpl;
import org.apache.shiro.authc.UsernamePasswordToken;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;/*** @Description：登录方法*/
@WebServlet(urlPatterns = "/login")
public class LoginServlet extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {doPost(req, resp);}@Overrideprotected void doPost(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {//获取输入的帐号密码String username = req.getParameter("loginName");String password = req.getParameter("password");//封装用户数据，成为Shiro能认识的token标识UsernamePasswordToken token = new UsernamePasswordToken(username, password);LoginService loginService = new LoginServiceImpl();//将封装用户信息的token进行验证boolean isLoginSuccess = loginService.login(token);if (!isLoginSuccess) {//重定向到未登录成功页面resp.sendRedirect("login.jsp");return;}req.getRequestDispatcher("/home").forward(req, resp);}
}

【5.2】HomeServlet

package com.xh.shiro.web;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;/*** @Description：系统home页面*/
@WebServlet(urlPatterns = "/home")
public class HomeServlet extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {doPost(req, resp);}@Overrideprotected void doPost(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {req.getRequestDispatcher("home.jsp").forward(req, resp);}
}

【5.3】OrderAddServlet

package com.xh.shiro.web;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;/*** @Description：添加页码*/
@WebServlet(urlPatterns = "/order-add")
public class OrderAddServlet extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {doPost(req, resp);}@Overrideprotected void doPost(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {req.getRequestDispatcher("order-add.jsp").forward(req, resp);}}

【5.4】OrderListServlet

package com.xh.shiro.web;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;/*** @Description：订单列表*/
@WebServlet(urlPatterns = "/order-list")
public class OrderListServlet extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {doPost(req, resp);}@Overrideprotected void doPost(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {req.getRequestDispatcher("order-list.jsp").forward(req, resp);}
}

【5.5】LogoutServlet

package com.xh.shiro.web;import com.xh.shiro.service.LoginService;
import com.xh.shiro.service.impl.LoginServiceImpl;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;/*** @Description：登出*/
@WebServlet(urlPatterns = "/logout")
public class LogoutServlet extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {doPost(req, resp);}@Overrideprotected void doPost(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {LoginService loginService = new LoginServiceImpl();loginService.logout();}}

【6】添加JSP

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>Title</title>
</head>
<body>
<form method="post" action="${pageContext.request.contextPath}/login"><table><tr><th>登陆名称</th><td><input type="text"  name="loginName"></td></tr><tr><th>密码</th><td><input type="password" name="password"></td></tr><tr><td colspan="2"><input type="submit" value="提交"/></td></tr></table></form>
</body>
</html>

home.jsp系统页

<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head><title></title>
</head>
<body>
<h6><a href="${pageContext.request.contextPath}/logout">退出</a><a href="${pageContext.request.contextPath}/order-list">列表</a><a href="${pageContext.request.contextPath}/order-add">添加</a>
</h6>
</body>
</html>

order-add.jsp订单添加（伪代码）

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>Title</title>
</head>
<body>
添加页面
</body>
</html>

order-list.jsp订单列表

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%--导入jstl标签库--%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<html>
<head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>用户列表jsp页面</title><style>table {border:1px solid #000000}table th{border:1px solid #000000}table td{border:1px solid #000000}</style></head>
<body>
<table cellpadding="0" cellspacing="0" width="80%"><tr><th>编号</th><th>公司名称</th><th>信息来源</th><th>所属行业</th><th>级别</th><th>联系地址</th><th>联系电话</th></tr><tr><td>1</td><td>传智播客</td><td>网络营销</td><td>互联网</td><td>普通客户</td><td>津安创意园</td><td>0208888887</td></tr><tr><td>2</td><td>黑马程序员</td><td>j2ee</td><td>互联网</td><td>VIP客户</td><td>津安创意园</td><td>0208888887</td></tr><tr><td>3</td><td>黑马程序员</td><td>大数据</td><td>互联网</td><td>VIP客户</td><td>津安创意园</td><td>0208888887</td></tr>
</table>
</body></html>

【7】测试

【7.1】启动

在这里插入图片描述

【7.2】登录过滤

访问http://localhost:8080/platform/home的时候，会被
在这里插入图片描述

在这里插入图片描述

【7.3】角色过滤

使用“admin”用户登录，密码：123

在这里插入图片描述

登录成功之后：

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tkGCqi9z-1642943449762)(image\1580713214523.png)]$

此时点击“列表”，因为当前admin用户是有admin角色

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vMHutvdK-1642943449762)(image\1580713320621.png)]$
所有可以正常访问
点击“添加”，因为当前admin用户是没有order:add的资源

在这里插入图片描述
所以回401

【7.4】资源过滤

点击“退出”

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bxdy1UL2-1642943449763)(image\1580713654616.png)]$

使用“jay”用户登录，密码为123

在这里插入图片描述

点击“添加”

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LleXThPf-1642943449764)(image\1580713818625.png)]$

因为SecurityServiceImpl中为jay用户添加如下的资源

在这里插入图片描述

点击“添加”之后正常访问

点击“列表”之后，因为“jay”用户没有“admin”角色，所以访问受限

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EUIkD4cH-1642943449765)(image\1580713925370.png)]$

4、web项目授权

前面我们学习了基于ini文件配置方式来完成授权，下面我们来看下其他2种方式的授权

【1】基于代码

【1.1】登录相关

Subject 登录相关方法	描述
isAuthenticated()	返回true 表示已经登录，否则返回false。

【1.2】角色相关

Subject 角色相关方法	描述
hasRole(String roleName)	返回true 如果Subject 被分配了指定的角色，否则返回false。
hasRoles(List roleNames)	返回true 如果Subject 被分配了所有指定的角色，否则返回false。
hasAllRoles(CollectionroleNames)	返回一个与方法参数中目录一致的hasRole 结果的集合。有性能的提高如果许多角色需要执行检查（例如，当自定义一个复杂的视图）。
checkRole(String roleName)	安静地返回，如果Subject 被分配了指定的角色，不然的话就抛出AuthorizationException。
checkRoles(CollectionroleNames)	安静地返回，如果Subject 被分配了所有的指定的角色，不然的话就抛出AuthorizationException。
checkRoles(String… roleNames)	与上面的checkRoles 方法的效果相同，但允许Java5 的var-args 类型的参数

【1.3】资源相关

Subject 资源相关方法	描述
isPermitted(Permission p)	返回true 如果该Subject 被允许执行某动作或访问被权限实例指定的资源，否则返回false
isPermitted(List perms)	返回一个与方法参数中目录一致的isPermitted 结果的集合。
isPermittedAll(Collectionperms)	返回true 如果该Subject 被允许所有指定的权限，否则返回false有性能的提高如果需要执行许多检查（例如，当自定义一个复杂的视图）
isPermitted(String perm)	返回true 如果该Subject 被允许执行某动作或访问被字符串权限指定的资源，否则返回false。
isPermitted(String…perms)	返回一个与方法参数中目录一致的isPermitted 结果的数组。有性能的提高如果许多字符串权限检查需要被执行（例如，当自定义一个复杂的视图）。
isPermittedAll(String…perms)	返回true 如果该Subject 被允许所有指定的字符串权限，否则返回false。
checkPermission(Permission p)	安静地返回，如果Subject 被允许执行某动作或访问被特定的权限实例指定的资源，不然的话就抛出AuthorizationException 异常。
checkPermission(String perm)	安静地返回，如果Subject 被允许执行某动作或访问被特定的字符串权限指定的资源，不然的话就抛出AuthorizationException 异常。
checkPermissions(Collection perms)	安静地返回，如果Subject 被允许所有的权限，不然的话就抛出AuthorizationException 异常。有性能的提高如果需要执行许多检查（例如，当自定义一个复杂的视图）
checkPermissions(String… perms)	和上面的checkPermissions 方法效果相同，但是使用的是基于字符串的权限。

【1.4】案例

【1.4.1】创建项目

HelloShiro

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-efhktjAr-1642943449765)(image/1580799013486.png)]

【1.4.2】修改shiro.ini

#声明自定义的realm，且为安全管理器指定realms
[main]
definitionRealm=com.itheima.shiro.realm.DefinitionRealm
securityManager.realms=$definitionRealm
#用户退出后跳转指定JSP页面
logout.redirectUrl=/login.jsp
#若没有登录，则被authc过滤器重定向到login.jsp页面
authc.loginUrl = /login.jsp
[urls]
/login=anon
#发送/home请求需要先登录
#/home= authc
#发送/order/list请求需要先登录
#/order-list = roles[admin]
#提交代码需要order:add权限
#/order-add = perms["order:add"]
#更新代码需要order:del权限
#/order-del = perms["order:del"]
#发送退出请求则用退出过滤器
/logout = logout

【1.4.3】登录相关

修改HomeServlet的doPost方法

package com.xh.shiro.web;import org.apache.shiro.SecurityUtils;
import org.apache.shiro.subject.Subject;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;/*** @Description：系统home页面*/
@WebServlet(urlPatterns = "/home")
public class HomeServlet extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {doPost(req, resp);}@Overrideprotected void doPost(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {//通过subjectd对象去判断是否登录Subject subject = SecurityUtils.getSubject();boolean flag  = subject.isAuthenticated();if (flag){resp.sendRedirect("home.jsp");}else {req.getRequestDispatcher("/login").forward(req, resp);}}
}

访问http://localhost:8080/platform/home 进行debug

在这里插入图片描述

此时我们通过subject.isAuthenticated()判断是否登录，如果登录则重定向到home.jsp,如果没有登录则转发到/login对应的servlet

【1.4.4】角色相关

修改OrderListServlet的doPost方法，判断是否有admin角色，如果有则转发order-list.jsp,没有则转发/login

package com.xh.shiro.web;import org.apache.shiro.SecurityUtils;
import org.apache.shiro.subject.Subject;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;/*** @Description：订单列表*/
@WebServlet(urlPatterns = "/order-list")
public class OrderListServlet extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {doPost(req, resp);}@Overrideprotected void doPost(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {Subject subject = SecurityUtils.getSubject();//判断当前角色boolean flag = subject.hasRole("admin");if (flag){req.getRequestDispatcher("order-list.jsp").forward(req, resp);}else {req.getRequestDispatcher("/login").forward(req, resp);}}
}

访问http://localhost:8080/platform/order-list

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ec219Uoo-1642943449765)(image\1580801658680.png)]$

因为此时我未登录，也就是说当前没有admin角色，这是通过subject.hasRole(“admin”)返回未false

【1.4.5】资源相关

修改OrderAddServlet

package com.xh.shiro.web;import org.apache.shiro.SecurityUtils;
import org.apache.shiro.subject.Subject;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;/*** @Description：添加页码*/
@WebServlet(urlPatterns = "/order-add")
public class OrderAddServlet extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {doPost(req, resp);}@Overrideprotected void doPost(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {Subject subject = SecurityUtils.getSubject();//判断是否有对应资源boolean flag = subject.isPermitted("order:add");if (flag){req.getRequestDispatcher("order-add.jsp").forward(req, resp);}else {req.getRequestDispatcher("/login").forward(req, resp);}}
}

访问http://localhost:8080/platform/order-add

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mvQh69Kq-1642943449766)(image\1580802789329.png)]$

因为此时我未登录，也就是说当前没有order:add资源，通过 subject.isPermitted(“order:add”)返回未false

【2】基于Jsp标签

【2.1】使用方式

Shiro提供了一套JSP标签库来实现页面级的授权控制，在使用Shiro标签库前，首先需要在JSP引入shiro标签：

<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

【2.2】相关标签

标签	说明
< shiro:guest >	验证当前用户是否为“访客”，即未认证（包含未记住）的用户
< shiro:user >	认证通过或已记住的用户
< shiro:authenticated >	已认证通过的用户。不包含已记住的用户，这是与user标签的区别所在
< shiro:notAuthenticated >	未认证通过用户。与guest标签的区别是，该标签包含已记住用户
< shiro:principal />	输出当前用户信息，通常为登录帐号信息
< shiro:hasRole name=“角色”>	验证当前用户是否属于该角色
< shiro:lacksRole name=“角色”>	与hasRole标签逻辑相反，当用户不属于该角色时验证通过
< shiro:hasAnyRoles name=“a,b”>	验证当前用户是否属于以下任意一个角色
<shiro:hasPermission name=“资源”>	验证当前用户是否拥有制定权限
<shiro:lacksPermission name=“资源”>	与permission标签逻辑相反，当前用户没有制定权限时，验证通过

【2.3】案例

【2.3.1】新建项目

HelloShiro

在这里插入图片描述

【2.3.2】修改home.jsp

<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head><title></title>
</head>
<body>
<h6><a href="${pageContext.request.contextPath}/logout">退出</a><shiro:hasRole name="admin"><a href="${pageContext.request.contextPath}/order-list">列表</a></shiro:hasRole><shiro:hasPermission name="order:add"><a href="${pageContext.request.contextPath}/order-add">添加</a></shiro:hasPermission>
</h6>
</body>
</html>

【2.3.3】测试

访问http://localhost:8080/platform/login

使用admin/123登录

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8oOQgyNa-1642943449766)(image\1580806179855.png)]$

这个时候我们只能看见“列表”，看不见“添加”，点击“退出”

使用jay/123登录

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0Ng6jC6U-1642943449766)(image\1580806253525.png)]$

这个时候我们只能看见“添加”，看不见“列表”，点击“退出”

需要注意的是，这里只是页面是否显示内容，不能防止盗链的发生

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

MyBatis（MySQL）分组后组内排序
MySQL根据字段进行分组后组内排序要求： 根据status进行划分组，再从组内选择一个字段进行排序这里我们使用更新时间update_time 进行降序排序分组操作： 根据status进行分组通过over(partition by status)进行分组操作组内排序&#xff1…...
2024/5/6 9:27:34
element图片滚动
效果图： 不多bb直接上代码 <div class"demo-image__lazy"><el-image v-for"url in imgs" :key"url" :src"url" ></el-image> </div> .demo-image__lazy {height: 300px;overflow-y: auto; }这…...
2024/4/14 5:56:48
AutoCAD许可限制，许可加入白名单
从事产品研发设计的工程师对三维设计软件AutoCAD应该并不陌生，尤其是在整车厂或零部件研发企业中。大部分企业不得不依托软件设计工具或者是工业软件以提升产品研发效率，但是，有一个问题在企业中不得不考虑，就是设计工具的使用许可…...
2024/4/14 5:57:33
摄影|照片宣传网页设计(html + css3 + JavaScript)
💖简介： 微信小程序模板，H5模板，响应式布局模板，定制化项目简历模板、学习资料、面试题库【关注我，都给你】💖 工具下载链接😎😎😎： vsCode 前端…...
2024/4/20 17:32:26
超声波模块（HC_SR04）串口打印距离
1 超声波模块 2超声波模块原理 3 结合主要讲解代码 1 实物图引脚 2超声波模块原理我们在初始化都要发送和接收端拉低首先给输出端至少 10us的高电平持续时间之后要把它拉低等待输入高电平打开定时器计算高电平持续的时间最后一步等待高电平的结束 …...
2024/5/3 22:18:40
盒子减速滑动案例
利用JS实现一个盒子的减速滑动 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"><meta http-equiv"X-UA-Compatible" content"IEedge"><meta name"viewport" content"w…...
2024/5/3 14:03:29
题目翻译8
https://acs.jxnu.edu.cn/problem/HDU1034 糖果分享游戏描述：一些学生围成一个圈面对着站在圈里的老师。一开始每个学生有偶数块糖果。在老师吹响口哨的同时，每个学生把他的一半的糖果给右边的那个人，任何学生最后有奇数块糖果&#xff0c…...
2024/4/20 5:27:38
易语言内存逆向教程（PC电脑端方向最新）+送图色基础+多线程中控（类人猿）
语言内存老教程非常多，但是很多已经不适合当前的游戏，当前已经新工具和思路原理，市面上大部分教程已经过时的了。我的课程都是最新的方法，综合各家所长的，让大家学有所成的。一分钱一分货，希望大家喜欢我的…...
2024/4/14 5:57:33
Pytorch：保存函数pytorch.save()和加载函数pytorch.load()的使用
在Pytorch中，保存和加载操作通常是成对发生的，我们使用pytorch.save()和pytorch.load()函数来分别完成这两个功能。在训练模型时，我们可以将训练得到的模型、模型的权重、优化器的参数甚至一些Tensor都保存下来，在以后使用到该模型…...
2024/5/3 21:35:27
ubuntu下使用vscode阅读内核源码或uboot源码使用技巧——search.excludefiles.exclude
各位玩家你们在阅读内核源码时，一般都使用什么工具呢？欢迎到文章末尾投上你的一票！ 内核源码和uboot源码一般囊括的文件都很多很多，未删减的都能上万个文件，使用一款称手的阅读源码软件可能可以让你的工作效率提高一个…...
2024/4/14 5:57:38
python_文件操作
文件操作相关模块概述名称说明io模块文件流的输入和输出操作input outputos模块基本操作系统功能，包括文件操作glob模块查找符合特定规则的文件路径名fnmatch模块使用模式来匹配文件路径名fileinput模块处理多个输入文件filecmp模块用于文件的比较cvs模块用于csv文…...
2024/5/3 12:09:08
BGR转灰度图、HSV及二值化
这次我们将操作封面的图片 #include<iostream> #include<opencv2/opencv.hpp>using namespace cv; using namespace std;int main() {Mat img imread("F:\\image\\7.jpg");Mat gray, hsv;cvtColor(img, gray, COLOR_BGR2GRAY);cvtColor(img, hsv, COL…...
2024/4/14 5:57:58
十行Python代码替换证件照背景颜色
本文教大家通过Python程序替换证件照背景颜色，以后更换证件照背景就不会再苦恼了。思路： 先去掉原照片的背景颜色再添上新的背景颜色步骤很简单，思路清晰，操作起来也很简单，十行代码就可以搞定，保证看完…...
2024/4/15 18:10:30
蓝桥杯训练第八天打卡
文章目录题目一：斐波那契数题解：题目二：第 N 个泰波那契数题解：想法：题目一：斐波那契数斐波那契数，通常用 F(n) 表示，形成的序列称为斐波那契数列。该数列由 0 和 1 开始&#x…...
2024/4/18 22:44:16
58Linux磁盘分区机制59挂载的经典案例
文章目录linux分区挂载的经典案例linux分区挂载(mount) sblk列出有关所有可用或指定块设备的信息。挂载的经典案例选n增加分区永久挂载...
2024/5/3 18:23:09
23岁非计算机专业工科妹子裸辞转行程序员，给自己一年时间可行吗？
写在前面我从HR转行Python了，从小工科成绩好，大学里对编程也很感兴趣，只是因为一些家长的偏见，身边又没有喜欢计算机的女生，觉得自己是个异类（我绝对不是抠脚大汉型！人格担保取向正常&#xf…...
2024/4/14 14:51:40
Java安全学习笔记--反序列化漏洞利用链CC6链
测试环境： jdk1.8(jdk8u71) Commons Collections4.0 HashSet HashSet使用的是Hash表的数据结构，增删改查的时间复杂度为O(1)，Set是一种集合，元素没有添加顺序，集合中不会有重复元素，结合一下就大概知道Has…...
2024/4/7 16:43:07
Python 基础学习07 控制语句与函数
判别语句 1.顺序执行与控制语句 s1{1,2,3} s2{2,3,4} #if判别语句 if s1&s2 !set(): #空集合是set()print(s1&s2) {2, 3} 2.if判别语句结构 if <条件> : …...
2024/5/3 20:00:13
全站最硬核百万字强肝RocketMq源码火热更新中~（四十八）
入参就不多看了，方法主体是调用了remotingClient的 invokeAsync(addr, request, timeoutMillis, new InvokeCallback( ) 方法看下异步调用内部是怎么重写 operationComplete(ResponseFuture responseFuture) 方法的： if (null sendCallback &…...
2024/4/14 5:57:58
力扣19：删除链表的倒数第 N 个结点
题目描述给你一个链表，删除链表的倒数第 n 个结点，并且返回链表的头结点。例子 # 例1 输入：head [1,2,3,4,5], n 2 输出：[1,2,3,5]# 例2 输入：head [1], n 1 输出：[]# 例3 输入：head […...
2024/4/14 5:57:53

黑马程序员-由浅入深掌握Shiro权限框架（4）web项目集成shiro

文章目录

第四章 Web项目集成Shiro

1、Web集成原理分析

【1】web集成的配置

【1.1】新建项目

【1.2】pom.xml配置

【1.3】web.xml配置

【2】SecurityManager对象创建

2、Shiro默认过滤器

【1】认证相关

【2】授权相关

3、Web集成完整案例

【1】编写pom.xml

【2】编写shiro.ini文件

【3】编写LoginService

【4】修改SecurityServiceImpl

【5】添加web层内容

【5.1】LoginServlet

【5.2】HomeServlet

【5.3】OrderAddServlet

【5.4】OrderListServlet

【5.5】LogoutServlet

【6】添加JSP

【7】测试

【7.1】启动

【7.2】登录过滤

【7.3】角色过滤

【7.4】资源过滤

4、web项目授权

【1】基于代码

【1.1】登录相关

【1.2】角色相关

【1.3】资源相关

【1.4】案例

【1.4.1】创建项目

【1.4.2】修改shiro.ini

【1.4.3】登录相关

【1.4.4】角色相关

【1.4.5】资源相关

【2】基于Jsp标签

【2.1】使用方式

【2.2】相关标签

【2.3】案例

【2.3.1】新建项目

【2.3.2】修改home.jsp

相关文章

最新文章