1、权限控制的实现
2、两种实现权限管理的方法
1)底层基于拦截器或者过滤器实现
2)底层基于代理技术实现,为Action创建代理对象,由代理对象进行权限校验(实际上Transtion事务注解也是将Service变成动态代理对象)
3、apache shiro框架的使用
shiro框架的核心功能:
- 认证
- 授权
- 会话管理
- 加密
shiro框架认证流程:
- Application Code:应用程序代码,由开发人员负责开发的
- Subject:框架提供的接口,代表当前用户对象
- SecurityManager:框架提供的接口,代表安全管理器对象
- Realm:可以开发人员编写,框架也提供一些,类似于Dao,用于访问权限数据
在项目中应用shiro框架进行认证:
一、在realm中进行认证(login)
第一步:引入shiro框架相关的jar
第二步:在web.xml中配置spring框架提供的用于整合shiro框架的过滤器(一定要在Struts的过滤器前)
<!--过滤器,整合shiro--> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
启动tomcat服务器,抛出异常:spring工厂中不存在一个名称为“shiroFilter”的bean对象
第三步:在spring配置文件中配置bean,id为shiroFilter
第四步:配置安全管理器
<!-- *************************配置shiro框架的过滤工厂************************* --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <property name="loginUrl" value="/login.jsp"/> <property name="successUrl" value="/index.jsp"/> <property name="unauthorizedUrl" value="/unauthorized.jsp"/> <!--设定URL级别拦截策略--> <property name="filterChainDefinitions"> <value> /css/** = anon /js/** = anon /images/** = anon /validatecode.jsp* = anon /login.jsp = anon /userAction_login.action = anon /page_base_staff.action = perms["staff-list"] /* = authc </value> </property> </bean> <!--配置安全管理器--> <bean name="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="bosRealm"/> </bean>
第五步:修改UserAction中的login方法,使用shiro提供的方式进行认证操作
/** * 用户登录,使用shiro框架提供的方式进行认证操作 */ public String login(){ //从Session中获取生成的验证码 String validatecode = (String) ServletActionContext.getRequest().getSession().getAttribute("key"); //校验验证码是否输入正确 if(StringUtils.isNotBlank(checkcode) && checkcode.equals(validatecode)){ //使用shiro框架提供的方式进行认证操作 Subject subject = SecurityUtils.getSubject();//获得当前用户对象,状态为“未认证” AuthenticationToken token = new UsernamePasswordToken(model.getUsername(), MD5Utils.md5(model.getPassword()));//创建用户名密码令牌对象 try{ subject.login(token); }catch(Exception e){ e.printStackTrace(); return "login"; } TUser user = (TUser) subject.getPrincipal(); ServletActionContext.getRequest().getSession().setAttribute("loginUser", user); return "home"; }else{ //输入的验证码错误,设置提示信息,跳转到登录页面 this.addActionError("输入的验证码错误!"); return "login"; } }
第六步:自定义realm
public class BOSRealm extends AuthorizingRealm { @Autowired private IUserDao userDao; //认证方法 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token){ System.out.println("realm中的认证方法执行了。。。。"); UsernamePasswordToken mytoken = (UsernamePasswordToken)token; String username = mytoken.getUsername(); //根据用户名查询数据库中的密码 TUser user = userDao.findUserByUserName(username); if(user == null){ //用户名不存在 return null; } //如果能查询到,再由框架比对数据库中查询到的密码和页面提交的密码是否一致;第一个参数是subject.getPrincipal的返回值类型,第二个是密码,第三个是任意字符串 AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName()); return info; } //授权方法 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { return null; // retutn是return给安全管理器,return null的话会抛出异常 } }
并注入给安全管理器
<!--配置安全管理器--> <bean name="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="bosRealm"/> </bean> <!--注册自定义的realm--> <bean name="bosRealm" class="cn.x5456.bos.web.realm.BOSRealm"/>
二、使用shiro的方法注解方式权限控制
第一步:在spring配置文件中开启shiro注解支持
<!-- 开启shiro框架注解支持 --> <bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"> <!-- 必须使用cglib方式为Action对象创建代理对象 --> <!-- 原因:使用jdk版本代理的话,根本没有Action中的方法 --> <property name="proxyTargetClass" value="true"/> </bean> <!-- 配置shiro框架提供的切面类,用于创建代理对象 --> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>
第二步:在Action的方法上使用shiro注解
第三步:在realm中进行授权
//授权方法 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); // 获取用户对象 TUser user1 = (TUser) SecurityUtils.getSubject().getPrincipal(); TUser user2 = (TUser) principals.getPrimaryPrincipal(); System.out.println(user1==user2); // TODO 根据用户对象查询数据库进行授权 // 直接(不查数据库)为用户授权 info.addStringPermission("staff-list"); return info; }
第四步:在struts.xml中配置全局异常捕获,当shiro框架抛出权限不足异常时,跳转到权限不足提示页面
<global-results> <result name="login" type="redirect">/login.jsp</result> <result name="unauthorized" type="redirect">/redirect.jsp</result> </global-results> <global-exception-mappings> <exception-mapping exception="org.apache.shiro.authz.UnauthorizedException" result="unauthorized"/> </global-exception-mappings>
三、使用shiro提供的页面标签方式权限控制
第一步:在jsp页面中引入shiro的标签库
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
第二步:使用shiro的标签控制页面元素展示
四、总结
URL拦截权限控制(基于过滤器实现)
方法注解权限控制(基于代理技术实现)
页面标签权限控制(标签技术实现)
代码级别权限控制(基于代理技术实现)
4、参数同名问题
参数同名问题,会先给model赋值
1)删除model中的字段
2)将page从model中get出来,在给pagebean赋值
5、EasyUI的combotree的使用
combotree插件不能像ztree一样使用简单json