0

ShiroConfig.java文件

@Configuration
 public class ShiroConfig {
    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        System.out.println("ShiroConfiguration.shirFilter()");
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //拦截器.
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();
        // 配置不会被拦截的链接 顺序判断,因为前端模板采用了thymeleaf,这里不能直接使用 ("/static/**", "anon")来配置匿名访问,必须配置到每个静态目录
        filterChainDefinitionMap.put("/css/**", "anon");
        filterChainDefinitionMap.put("/fonts/**", "anon");
        filterChainDefinitionMap.put("/img/**", "anon");
        filterChainDefinitionMap.put("/js/**", "anon");
        filterChainDefinitionMap.put("/shiroTest", "authc");
        //配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了
        filterChainDefinitionMap.put("/login/logout", "logout");
        filterChainDefinitionMap.put("/login/*", "anon");
        //<!-- 过滤链定义,从上向下顺序执行,一般将/**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;
        //<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
        filterChainDefinitionMap.put("/**", "authc");
        // 需要用户认证时自动重定向到指定登入页面
        shiroFilterFactoryBean.setLoginUrl("/login/login");
        // 登录成功后自动跳转到指定的页面
        shiroFilterFactoryBean.setSuccessUrl("/index/index");

        //未授权界面;
        shiroFilterFactoryBean.setUnauthorizedUrl("/error/403");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }


    @Bean
    public MyShiroRealm myShiroRealm(){
        MyShiroRealm myShiroRealm = new MyShiroRealm();
        return myShiroRealm;
    }


    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm()); //一定要通过上面的定义来加载自定义realm,否则在自定义realm中无法注入service层
        return securityManager;
    }

}

public class MyShiroRealm extends AuthorizingRealm {
    @Resource
    private UserService userService;


    /*主要是用来进行身份认证的,也就是说验证用户输入的账号和密码是否正确。*/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
            throws AuthenticationException {
        System.out.println("进行身份认证中...");
        //获取用户的输入的账号.
        String userName = (String)token.getPrincipal();
        String password = new String((char[]) token.getCredentials()); //shiro会把密码转为字符,所以这里需要把字符转字符串
        System.out.println("用户输入的账号:"+userName);
        System.out.println("用户输入的密码:"+password);

        //通过username从数据库中查找 User对象.
        //实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法
        System.out.println("从数据库获取数据中...");
        User user = userService.queryByName(userName);

//        System.out.println("数据库保存的密码:");

        if(user == null ||  !user.getPasswd().equals(password)){
            throw new AccountException("用户名或密码不正确");
        }
        
        ByteSource credentialsSalt = ByteSource.Util.bytes(userName);
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                user, //这里传入的是user对象,比对的是用户名,直接传入用户名也没错,但是在授权部分就需要自己重新从数据库里取权限
                user.getPasswd(), //密码
                credentialsSalt,//
                getName()  //realm name
        );
        return authenticationInfo;
    }

    //权限信息,包括角色以及权限
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("认证成功进行授权中...");
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        //如果身份认证的时候没有传入User对象,这里只能取到userName
        //也就是SimpleAuthenticationInfo构造的时候第一个参数传递需要User对象
        User user  = (User)principals.getPrimaryPrincipal();

        String rolePermission = "/shiroTest"; //模拟数据库查询出来的用户角色对应的权限
        authorizationInfo.addStringPermission(rolePermission);
        return authorizationInfo;
    }

}


百度了一天没找到解决办法,认证成功后死活没有进入授权的方法中
2019-07-20 提问
1 个回答
1

已采纳

注意 login 只会调用到 Realm 中的 doGetAuthenticationInfo() 方法.

subject.login(passwordToken);

当调用判断权限的方法, 才会触发 doGetAuthorizationInfo() 方法, 然后缓存.

subject.hasRole();
subject.checkPermission();

具体可以阅读源码, 或者打断点 debug 了解方法调用栈.

撰写答案

推广链接