SSM整合Shiro实现RBAC(八)

戒色诗: 二八佳人体似酥，腰间仗剑斩凡夫。虽然不见人头落，暗里教君骨髓枯。

在学习这一章节之前，一定要先学习一下老蝴蝶写的这篇文章: SSM实现权限管理(三)

一. 前期准备

一.一 数据库准备

数据库仍然使用的是 rbac数据库， 将 privilage 表数据改变一下， 为 菜单网址也添加 percode 属性。

一.二 前端页面准备

与前面基本一致 。

一.三 SSM框架准备

web.xml 和依赖，都需要添加。

二. SSM 整合Shiro 实现RBAC

通过 SSM 整合Shiro, 就是将 以前 shiro.ini 里面的配置内容，放置到 spring.xml 配置文件里面，

同样，要注入自定义的Realm, 设置securityManager,密码， 过滤器等内容。

但 spring整合 Shiro, 远比利用 shiro.ini 配置文件功能强大得多。

为了比较区别， 将上一章节的 shiro.ini 配置文件拿过来

[main]
#加密类
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
#加密方式
credentialsMatcher.hashAlgorithmName=md5
#加密次数
credentialsMatcher.hashIterations=10
#存储散列后的密码是否为16进制 
credentialsMatcher.storedCredentialsHexEncoded=false
#配置自定义realm
myRealm=com.yjl.shiro.MyRealm
#配置加密
myRealm.credentialsMatcher=$credentialsMatcher
#注入自定义的realm
securityManager.realm=$myRealm

#配置权限
authc.loginUrl=/User/toLogin
#跳转到权限不足的路径
roles.unauthorizedUrl=/NoPermission/NoPermission
perms.unauthorizedUrl=/NoPermission/NoPermission

[urls]
#静态页面可以访问
/static/**=anon
#跳转到登录页面和登录方法可以访问
/User/toLogin=anon
/User/login=anon
#跳转到主页，需要认证
/Main/toMain=authc
/Privilege/getPrivilegeByUId=authc
#执行方法，不仅需要认证，还需要有相应的方法
/Dept/add=authc,perms["dept:add"]
/Dept/update=authc,perms["dept:update"]
/Dept/list=authc,perms["dept:list"]
/Dept/delete=authc,perms["dept:delete"]
/User/toList=authc,perms["user:toList"]
#退出登录
/User/logout=logout
#其他的一切资源，都需要认证
/**=authc

二.一 添加 pom.xml 依赖

相比较以前，只多了一个 shiro-all 的依赖信息。

<!-- shiro依赖 -->
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-all</artifactId>
	<version>1.2.2</version>
</dependency>

二.二 web.xml 配置过滤器

<!-- 配置shiro 的过滤器 ，注意 filter-name的名称-->
<filter>
	<filter-name>shiroFilter</filter-name>
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	<!-- 配置生命周期，由web控制 -->
	<init-param>
		<param-name>targetFilterLifecycle</param-name>
		<param-value>true</param-value>
	</init-param>
	<!--一般不配置 targetBeanName参数，默认与filter-name 相同即可 -->
</filter>

<filter-mapping>
	<filter-name>shiroFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

二.三 编写后端代码

目录结构如下:

与前面的基本一致，没有太大的改动。

二.三.一 PrivilgeMapper 信息

注意， PrivilegeMapper.java 和 对应的 .xml 文件里面 仍然有一个根据员工编号和类型查询员工的权限方法

/*
     * 根据员工编号，查询员工的权限信息
     * */
	List<Privilege> findByUid(@Param(value="uId") Integer uId,@Param(value="type") Integer type);

对应 xml配置文件:

<select id="findByUid" resultMap="BaseResultMap">
    select 
    <include refid="Base_Column_List" />
    from privilege a where a.id in (
		select rp.pid from user_role ur left join role_privilege rp
		on ur.rid=rp.rid
		where ur.uid=#{uId,jdbcType=INTEGER}
	)
	<if test="type != null and type !=''" >
      and a.type=#{type,jdbcType=INTEGER}
    </if>
  </select>

这也是与前面一样的， 比较重要，故单独列一下。

二.三.二 登录和注销功能

@RequestMapping("/login")
	@ResponseBody
	public Map<String,Object> login(User userInfo){
		Map<String,Object> dataMap=new HashMap<String,Object>();
		
		//1. 获取 Subject
		Subject subject=SecurityUtils.getSubject();
		//2. 配置Token
		//配置用户名和密码
		UsernamePasswordToken token=new UsernamePasswordToken(userInfo.getCode(), userInfo.getPassword());
		try{
			//进行登录
			subject.login(token);
			
			Session session=subject.getSession();
			User user=(User)subject.getPrincipal();
			session.setAttribute("loginUser", user);
			dataMap.put("response_status",true);
		}catch(Exception e){
			e.printStackTrace();
			dataMap.put("response_status",false);
			dataMap.put("error_msg","001");
		}
		
		return dataMap;
		
	} 
	@RequestMapping("/logout")
	//退出登录
	public String logout(HttpSession session){
		//注销
		session.invalidate();
		return "login";
	}

二.四 编写自定义 Realm

这个跟前面也一样， 路径为: com.yjl.shiro.MyRealm

package com.yjl.shiro;

import java.util.List;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;

import com.yjl.mapper.PrivilegeMapper;
import com.yjl.mapper.UserMapper;
import com.yjl.pojo.Privilege;
import com.yjl.pojo.User;

public class MyRealm extends AuthorizingRealm{
	@Autowired
	private UserMapper userMapper;
	@Autowired
	private PrivilegeMapper privilegeMapper;
	@Override
	public String getName() {
		return "myRealm";
	}
	//授权
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection paramPrincipalCollection) {
		//获取当前的登录用户
		System.out.println("获取权限");
		User user=(User)paramPrincipalCollection.getPrimaryPrincipal();
	
		if(user==null){
			return null;
		}
		//根据 id,获取相应的权限信息
		
		List<Privilege> privilegeList=privilegeMapper.findByUid(user.getId(),null);
		
		SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
		
		for(Privilege priInfo:privilegeList){
			//仍然放置的是权限的标识 ， 注意，这儿获取的是所有的非一级 权限，包括菜单和按钮。
			if(priInfo!=null&&priInfo.getPercode()!=null){
				info.addStringPermission(priInfo.getPercode());
			}
		}
		return info;
		
	}
	//认证
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken paramAuthenticationToken)
			throws AuthenticationException {
		System.out.println("进入认证");
		String code=(String)paramAuthenticationToken.getPrincipal();
		//根据用户名，去查询相应的数据
		User user=userMapper.selectInfoByCode(code);	
		if(user==null){
			//没有查询出来
			return null;
		}
		SimpleAuthenticationInfo simpleAuthenticationInfo=
				new SimpleAuthenticationInfo(user,user.getPassword(),
						//传入转换后的盐
						ByteSource.Util.bytes(user.getSalt()),getName());
		return simpleAuthenticationInfo;
		
	}
}

二.五 配置shiro 文件

文件的名称是 applicationContext-shiro.xml ，在读取 spring配置文件时，也读取进来了。 不用单独配置。

web.xml 文件中:

<!-- 启动spring -->
  <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath:spring/applicationContext-*.xml</param-value>
  </context-param>

二.五.一 配置密码加密验证

<!-- 凭证匹配器 -->  
<bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">  
    <property name="hashAlgorithmName" value="md5"/>  
    <property name="hashIterations" value="10"/>  
    <property name="storedCredentialsHexEncoded" value="false"/>  
</bean> 

与 以前的 shiro.ini 文件

#加密类
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
#加密方式
credentialsMatcher.hashAlgorithmName=md5
#加密次数
credentialsMatcher.hashIterations=10
#存储散列后的密码是否为16进制 
credentialsMatcher.storedCredentialsHexEncoded=false

是匹配的。

二.五.二 配置自定义realm, 注入密码匹配器

<!-- 配置自定义的ream -->
<bean id="myRealm" class="com.yjl.shiro.MyRealm">
	<!-- 配置密码管理 -->
	<property name="credentialsMatcher" ref="credentialsMatcher"></property>
</bean>

与以前的

#配置自定义realm
myRealm=com.yjl.shiro.MyRealm
#配置加密
myRealm.credentialsMatcher=$credentialsMatcher

是匹配的。

二.五.三 配置 securityManager 对象，注入自定义Realm

<!-- 配置securityManager, 将一些信息注入到里面 -->

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
	<property name="realm" ref="myRealm"></property>
</bean>

与以前的:

#配置自定义realm
myRealm=com.yjl.shiro.MyRealm
#配置加密
myRealm.credentialsMatcher=$credentialsMatcher
#注入自定义的realm
securityManager.realm=$myRealm

是匹配的。

securityManager 不仅可以注入自定义Realm，还可以注入缓存，session管理，记住我等功能。

二.五.四 配置 生命周期

<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->  
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> 

与 web.xml 中 shiroFilter 部分的 targetFilterLifecycle 属性为 true 相对应。

二.五.五 配置 shiroFilter 过滤器

<!-- 配置shiroFilter 规则 ,与web.xml的过滤器中的 targetBeanName 名称保持一致-->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager"></property>	
		
		<!-- 配置登录，登录成功和没有权限的三个路径 ,以前的main 部分-->
		<property name="loginUrl" value="/User/toLogin"></property>
		<!-- <property name="successUrl" value="/Main/toMain"></property>  -->
		<property name="unauthorizedUrl" value="/Privilege/noPrivilege"></property>
		
		<!-- 配置规则 ,即urls部分-->
		<property name="filterChainDefinitions">
			<value>
				<!-- 配置拦截器 -->
				/static/**=anon
		 		/User/toLogin=anon
		 		/User/login=anon
		 		/User/logout=logout
		 		/Main/toMain=authc
		 		<!-- 没有配置的路径走认证 -->
		 		/**=authc
			</value>
		</property>
	</bean>

常用的，主要分为五个部分，下面依次讲解。

注意点: 该工厂 ShiroFilterFactoryBean 实例化bean 的 必须是 shiroFilter ,这个名称必须要与 web.xml中关于shiro配置的 filter-name 的名称相同。

二.五.五.一 注入 securityManager 对象

	<property name="securityManager" ref="securityManager"></property>	

二.五.五.二 配置 loginUrl 路径

	<property name="loginUrl" value="/User/toLogin"></property>

loginUrl 指的是 ,如果用户没有认证，或者没有通过认证，跳转到哪?

一般跳转到去登录页面的那个方法。

与以前 [main] 里面的

#配置权限
authc.loginUrl=/User/toLogin

对应。

二.五.五.三 配置 successUrl 路径

一般不配置这一个路径。

这个路径指的是，如果员工认证通过，跳转到哪? 认证通过，会跳转到主页， 但跳转到主页，一般都是通过程序代码固化下来，并不在这儿进行配置。 这个路径的实际意义是， 如果认证通过，就跳转到上一次要访问的页面。

即，如果用户 admin 想访问 用户的界面， /项目名/User/toList, 当用户手动输入这个网址时，发现没有认证，就会跳转到登录的界面，当用户登录成功后， 这个时候，会跳转到哪呢? 并不会跳转到主页那，而是跳转到上一次想访问的那个页面， 即 /项目名/User/toList 页面， 展示用户的相应信息。 这个功能还是非常好的，所以一般不配置这个属性值。

二.五.五.四 配置 unauthorizedUrl 路径

<property name="unauthorizedUrl" value="/Privilege/noPrivilege"></property>

unauthorizedUrl 指的是权限不足时，跳转到哪?

与以前 [main] 部分的

#跳转到权限不足的路径
roles.unauthorizedUrl=/NoPermission/NoPermission
perms.unauthorizedUrl=/NoPermission/NoPermission

相对应。

二.五.五.五 filterChainDefinitions 配置拦截器

<!-- 配置规则 ,即urls部分-->
<property name="filterChainDefinitions">
	<value>
		<!-- 配置拦截器 -->
		/static/**=anon
 		/User/toLogin=anon
 		/User/login=anon
 		/User/logout=logout
 		/Main/toMain=authc
 		<!-- 没有配置的路径走认证 -->
 		/**=authc
	</value>
</property>

这个与以前的 [urls] 部分

[urls]
#静态页面可以访问
/static/**=anon
#跳转到登录页面和登录方法可以访问
/User/toLogin=anon
/User/login=anon
#跳转到主页，需要认证
/Main/toMain=authc
/Privilege/getPrivilegeByUId=authc
#执行方法，不仅需要认证，还需要有相应的方法
/Dept/add=authc,perms["dept:add"]
/Dept/update=authc,perms["dept:update"]
/Dept/list=authc,perms["dept:list"]
/Dept/delete=authc,perms["dept:delete"]
/User/toList=authc,perms["user:toList"]
#退出登录
/User/logout=logout
#其他的一切资源，都需要认证
/**=authc

相对应。

发现，并没有 /Dept/add，/Dept/list ... 等权限的配置。

一个系统中，会有很多的权限，不能添加一个就在 filterChainDefinitions 部分配置一个，那么就太烦繁了， 一般都是通过 注解的方式进行配置权限。

关于注解方式配置权限，老蝴蝶下面会讲解。

二.五.六 applicationContext-shiro.xml 配置文件合并

将上面的这些部分，进行合并，得到一个总的配置信息。

<!-- 凭证匹配器 -->  
	<bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">  
	    <property name="hashAlgorithmName" value="md5"/>  
	    <property name="hashIterations" value="10"/>  
	    <property name="storedCredentialsHexEncoded" value="false"/>  
	</bean>  
	
	
	<!-- 配置自定义的ream -->
	<bean id="myRealm" class="com.yjl.shiro.MyRealm">
		<!-- 配置密码管理 -->
		<property name="credentialsMatcher" ref="credentialsMatcher"></property>
	</bean>
	
	
	<!-- 配置securityManager, 将一些信息注入到里面 -->
	
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="myRealm"></property>
	</bean>
	
	<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->  
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> 

	<!-- 配置shiroFilter 规则 ,与web.xml的过滤器中的 targetBeanName 名称保持一致-->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager"></property>	
		
		<!-- 配置登录，登录成功和没有权限的三个路径 ,以前的main 部分-->
		<property name="loginUrl" value="/User/toLogin"></property>
		<!-- <property name="successUrl" value="/Main/toMain"></property>  -->
		<property name="unauthorizedUrl" value="/Privilege/noPrivilege"></property>
		
		<!-- 配置规则 ,即urls部分-->
		<property name="filterChainDefinitions">
			<value>
				<!-- 配置拦截器 -->
				/static/**=anon
		 		/User/toLogin=anon
		 		/User/login=anon
		 		/User/logout=logout
		 		/Main/toMain=authc
		 		<!-- 没有配置的路径走认证 -->
		 		/**=authc
			</value>
		</property>
	</bean>

二.六 前端页面

前端页面的配置信息，与以前基本一致，故不重复写了。

重点提一下， dept.jsp 页面的按钮标识控制部分。

dept.jsp 页面设置标识:

<shiro:hasPermission name="dept:add">
		<script>
			 sessionStorage.setItem("dept_update",true);
		</script>
	</shiro:hasPermission>
	<shiro:hasPermission name="dept:update">
		<script>
			 sessionStorage.setItem("dept_update",true);
		</script>
	</shiro:hasPermission>
	<shiro:hasPermission name="dept:delete">
		<script>
			 sessionStorage.setItem("dept_delete","true")
		</script>
	</shiro:hasPermission>
<script type="text/javascript" src="${pageContext.request.contextPath}/static/js/dept.js"></script>

dept.js 脚本里面获取标识:

//看是否有添加的权限
var add=sessionStorage.getItem("dept_add");
if(add){
	$("#add").show();
}else{
	$("#add").hide();
}
//看修改和删除是否显示和隐藏
function operateFormatter(value, row, index) {
	var update=sessionStorage.getItem("dept_update");
	var del=sessionStorage.getItem("dept_delete");
	//console.log("update:"+update+",del:"+del);
	var udpateIcon="";
	if(update){
		udpateIcon='<a class="update text-primary" href="javascript:void(0)" data-toggle="tooltip" title="修改">'
			+'<i class="fa fa-pencil"></i>&nbsp修改&nbsp;&nbsp;&nbsp;&nbsp;</a>';
	}
	var delIcon="";
	if(del){
		 delIcon='<shiro:hasPermission name="dept:delete"><a class="delete text-danger" href="javascript:void(0)" data-toggle="tooltip" title="撤销">'
			+'<i class="fa fa-minus"></i>&nbsp;删除&nbsp;</a></shiro:hasPermission">';
	}
	return udpateIcon+delIcon;
}

二.七 测试验证

输入网址: http://localhost:8080/SSM_Shiro_RBAC/User/toLogin

输入admin,1234 进行测试 (错误的密码情况就不测试了)

看起来，是正常的，

然后，当手动输入 部门的添加功能呢, http://localhost:8080/SSM_Shiro_RBAC/Dept/add

响应是正常的， 这是因为我们没有配置具体的权限验证呢。

三. 注解式配置具体权限

在 applicationContext-shiro.xml 中的 filterChainDefinitions 属性中，虽然可以像 shiro.ini 那样，配置具体的权限，但是当权限过多时，再那样配置，就不太好了。

所以 shiro 提供了注解式配置。

注解名称	意义
@RequiresPermissions	必须具有权限
@RequiresAuthentication	必须通过认证
@RequiresGuest	匿名访客
@RequiresRoles	必须具有角色
@RequiresUser	是否被记忆，两个含义，一个成功认证的，二是记住我登录的

只需要在某个具体的方法上面加入相应的注解即可。

如: 在 部门的 add() 方法上面 ，添加 @RequiresPermissions("Dept:add") 注解

@RequiresPermissions("dept:add")
@RequestMapping("/add")
@ResponseBody
public Map<String,Object> add(){
	System.out.println("实现部门添加的方法");
	Map<String,Object> map=new HashMap<String,Object>();
	map.put("response_status",true);
	return map;
}

shiro 会先看一下，当前会话登录的用户，是否具有 权限 Dept:add ，如果有才执行 add 方法，如果没有，不执行，抛出异常。

会从 MyRealm 里面的 doGetAuthorizationInfo（） 返回对象里面取数据进行比较。

一般常用的，就是 权限验证。

@Target({java.lang.annotation.ElementType.TYPE, java.lang.annotation.ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiresPermissions
{
  String[] value();
  
  Logical logical() default Logical.AND;
}

默认是 AND

配置单个权限:

@RequiresPermissions("dept:add")

表示具有权限 dept:add 才执行

配置多个权限与:

@RequiresPermissions({"dept:add","dept:update"})

表示具有权限 dept:add和 dept:update, 两个权限同时具有才执行

配置多个权限或:

@RequiresPermissions(value={"dept:add","dept:update"},logical=Logical.OR)

表示具有权限 dept:add 或者 dept:update 任意一个均可。

四. 注解式声明 Shiro 权限

直接在方法上 添加 @RequiresPermissions("dept:add") 注解是不生效的，必须要动态代理一下。

由于 权限注解被放置在 Action类的方法上，所以配置动态代理，必须要配置在 springmvc.xml 文件里面。

applicationContext-shiro.xml 文件不用动。

四.一 配置注解

<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager"></property>
</bean>
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" 
	depends-on="lifecycleBeanPostProcessor">
	<property name="proxyTargetClass" value="true"></property>
</bean> 

四.二 验证

admin 没有 部门的 添加权限， 当手动输入添加的地址时，会报错。

org.springframework.web.util.NestedServletException: Request processing failed; nested exception is org.apache.shiro.authz.UnauthorizedException: Subject does not have permission [dept:add]

当输入 delete 网址时:

说明，注解权限是可以的。

需要处理一下异常，如果没有权限的话，就跳转到 无权限那个提示页面。

四.三 springmvc.xml 捕获异常

关于 SpringMVC 的异常处理，可以看老蝴蝶以前写的 SpringMVC系列文章。

<!-- 配置异常 -->
<bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
	<property name="exceptionMappings">
		 <props>
		 	<!-- 每个异常类，对应一个jsp -->
		 	 <!-- 没有权限，到哪个具体的页面 -->
        	<prop key="org.apache.shiro.authz.AuthorizationException">noPrivilege</prop>
        	<!-- 没有认证通过 -->
        	<prop key="org.apache.shiro.authc.AuthenticationException">login</prop>
			<!-- 可继续添加多个 ,如StudentException -->
		</props>
	</property>
</bean>

配置好之后，重新测试

当登录成功后，再输入 部门添加的网址后，

注意观察控制台的打印信息:

发现，自定义Realm 中的授权方法，被执行了很多次， 每一个注解方法，每一个前端的 shiro:hasPermission 判断，都需要执行一下这个方法，频繁地取数据， 影响数据库的效率， 所以我们需要做缓存的处理。 老蝴蝶下一章节再讲缓存。

本章节代码链接为:

链接：https://pan.baidu.com/s/1qjZcQfKQa4f_SdCjXvTtxQ 
提取码：ko9l 

“