Shiro

簡介

• Apache Shiro是一個java的安全（權限）框架

• Shiro可以非常容易的開發出足夠好的應用，其不僅可以用在JavaSE環境，也可使用在JavaEE環境，

• Shiro可以完成認證、授權、加密、會話管理，Web集成，快取等，

• 下載地址：http://shiro.apache.org/

• 參考博客：https://www.cnblogs.com/progor/p/10970971.html

• 轉載博客：https://www.w3cschool.cn/shiro/co4m1if2.html
  

功能

Authorization：授權，即權限驗證，驗證某個已認證的用戶是否擁有某個權限；即判斷用戶是否能做事情，常見的如：驗證某個用戶是否擁有某個角色，或者細粒度的驗證某個用戶對某個資源是否具有某個權限；

Session Management：會話管理，即用戶登錄后就是一次會話，在沒有退出之前，它的所有資訊都在會話中；會話可以是普通 JavaSE 環境的，也可以是如 Web 環境的；

Cryptography：加密，保護資料的安全性，如密碼加密存盤到資料庫，而不是明文存盤；

Web Support：Web 支持，可以非常容易的集成到 Web 環境；

Caching：快取，比如用戶登錄后，其用戶資訊、擁有的角色 / 權限不必每次去查，這樣可以提高效率；

Concurrency：shiro 支持多執行緒應用的并發驗證，即如在一個執行緒中開啟另一個執行緒，能把權限自動傳播過去；

Testing：提供測驗支持；

Run As：允許一個用戶假裝為另一個用戶（如果他們允許）的身份進行訪問；

Remember Me：記住我，這個是非常常見的功能，即一次登錄后，下次再來的話不用登錄了，

記住一點，Shiro 不會去維護用戶、維護權限；這些需要我們自己去設計 / 提供；然后通過相應的介面注入給 Shiro 即可，

接下來我們分別從外部和內部來看看 Shiro 的架構，對于一個好的框架，從外部來看應該具有非常簡單易于使用的 API，且 API 契約明確；從內部來看的話，其應該有一個可擴展的架構，即非常容易插入用戶自定義實作，因為任何框架都不能滿足所有需求，

首先，我們從外部來看 Shiro 吧，即從應用程式角度的來觀察如何使用 Shiro 完成作業，

可以看到：應用代碼直接互動的物件是 Subject，也就是說 Shiro 的對外 API 核心就是 Subject；其每個 API 的含義：

Subject：主體，代表了當前 “用戶”，這個用戶不一定是一個具體的人，與當前應用互動的任何東西都是 Subject，如網路爬蟲，機器人等；即一個抽象概念；所有 Subject 都系結到 SecurityManager，與 Subject 的所有互動都會委托給 SecurityManager；可以把 Subject 認為是一個門面；SecurityManager 才是實際的執行者；

SecurityManager：安全管理器；即所有與安全有關的操作都會與 SecurityManager 互動；且它管理著所有 Subject；可以看出它是 Shiro 的核心，它負責與后邊介紹的其他組件進行互動，如果學習過 SpringMVC，你可以把它看成 DispatcherServlet 前端控制器；

Realm：域，Shiro 從從 Realm 獲取安全資料（如用戶、角色、權限），就是說 SecurityManager 要驗證用戶身份，那么它需要從 Realm 獲取相應的用戶進行比較以確定用戶身份是否合法；也需要從 Realm 得到用戶相應的角色 / 權限進行驗證用戶是否能進行操作；可以把 Realm 看成 DataSource，即安全資料源，

也就是說對于我們而言，最簡單的一個 Shiro 應用：

1. 應用代碼通過 Subject 來進行認證和授權，而 Subject 又委托給 SecurityManager；

2. 我們需要給 Shiro 的 SecurityManager 注入 Realm，從而讓 SecurityManager 能得到合法的用戶及其權限進行判斷，

從以上也可以看出，Shiro 不提供維護用戶 / 權限，而是通過 Realm 讓開發人員自己注入，

接下來我們來從 Shiro 內部來看下 Shiro 的架構，如下圖所示：=

Subject：主體，可以看到主體可以是任何可以與應用互動的 “用戶”；

SecurityManager：相當于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher；是 Shiro 的心臟；所有具體的互動都通過 SecurityManager 進行控制；它管理著所有 Subject、且負責進行認證和授權、及會話、快取的管理，

Authenticator：認證器，負責主體認證的，這是一個擴展點，如果用戶覺得 Shiro 默認的不好，可以自定義實作；其需要認證策略（Authentication Strategy），即什么情況下算用戶認證通過了；

Authrizer：授權器，或者訪問控制器，用來決定主體是否有權限進行相應的操作；即控制著用戶能訪問應用中的哪些功能；

Realm：可以有 1 個或多個 Realm，可以認為是安全物體資料源，即用于獲取安全物體的；可以是 JDBC 實作，也可以是 LDAP 實作，或者記憶體實作等等；由用戶提供；注意：Shiro 不知道你的用戶 / 權限存盤在哪及以何種格式存盤；所以我們一般在應用中都需要實作自己的 Realm；

SessionManager：如果寫過 Servlet 就應該知道 Session 的概念，Session 呢需要有人去管理它的生命周期，這個組件就是 SessionManager；而 Shiro 并不僅僅可以用在 Web 環境，也可以用在如普通的 JavaSE 環境、EJB 等環境；所以呢，Shiro 就抽象了一個自己的 Session 來管理主體與應用之間互動的資料；這樣的話，比如我們在 Web 環境用，剛開始是一臺 Web 服務器；接著又上了臺 EJB 服務器；這時想把兩臺服務器的會話資料放到一個地方，這個時候就可以實作自己的分布式會話（如把資料放到 Memcached 服務器）；

SessionDAO：DAO 大家都用過，資料訪問物件，用于會話的 CRUD，比如我們想把 Session 保存到資料庫，那么可以實作自己的 SessionDAO，通過如 JDBC 寫到資料庫；比如想把 Session 放到 Memcached 中，可以實作自己的 Memcached SessionDAO；另外 SessionDAO 中可以使用 Cache 進行快取，以提高性能；

CacheManager：快取控制器，來管理如用戶、角色、權限等的快取的；因為這些資料基本上很少去改變，放到快取中后可以提高訪問的性能

Cryptography：密碼模塊，Shiro 提高了一些常見的加密組件用于如密碼加密 / 解密的，

到此 Shiro 架構及其組件就認識完了，接下來挨著學習 Shiro 的組件吧，

快速開始

• 搭建一個spring boot專案

• 匯入依賴

• 組態檔

依賴檔案

 <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <version>2.3.3.RELEASE</version>
        </dependency>
?
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>2.3.3.RELEASE</version>
            <optional>true</optional>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.6.0</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.mybatis.spring.boot/mybatis-spring-boot-starter -->
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.3</version>
        </dependency>
?
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>2.3.3.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.6.0</version>
        </dependency>
?
        <!-- https://mvnrepository.com/artifact/org.slf4j/jcl-over-slf4j -->
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>jcl-over-slf4j</artifactId>
            <version>2.0.0-alpha1</version>
        </dependency>
?
        <!-- https://mvnrepository.com/artifact/org.slf4j/slf4j-log4j12 -->
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-log4j12</artifactId>
            <version>2.0.0-alpha1</version>
            <scope>test</scope>
        </dependency>
?
        <!-- https://mvnrepository.com/artifact/log4j/log4j -->
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
        </dependency>
     <!-- shiro和thymeleaf的整合包 -->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>
 </dependencies>

組態檔

• shiro.ini

# -----------------------------------------------------------------------------
# Users and their assigned roles
#
# Each line conforms to the format defined in the
# org.apache.shiro.realm.text.TextConfigurationRealm#setUserDefinitions JavaDoc
# -----------------------------------------------------------------------------
[users]
# user 'root' with password 'secret' and the 'admin' role
root = secret, admin
# user 'guest' with the password 'guest' and the 'guest' role
guest = guest, guest
# user 'presidentskroob' with password '12345' ("That's the same combination on
# my luggage!!!" ;)), and role 'president'
presidentskroob = 12345, president
# user 'darkhelmet' with password 'ludicrousspeed' and roles 'darklord' and 'schwartz'
darkhelmet = ludicrousspeed, darklord, schwartz
# user 'lonestarr' with password 'vespa' and roles 'goodguy' and 'schwartz'
lonestarr = vespa, goodguy, schwartz
?
# -----------------------------------------------------------------------------
# Roles with assigned permissions
#
# Each line conforms to the format defined in the
# org.apache.shiro.realm.text.TextConfigurationRealm#setRoleDefinitions JavaDoc
# -----------------------------------------------------------------------------
[roles]
# 'admin' role has all permissions, indicated by the wildcard '*'
admin = *
# The 'schwartz' role can do anything (*) with any lightsaber:
schwartz = lightsaber:*
# The 'goodguy' role is allowed to 'drive' (action) the winnebago (type) with
# license plate 'eagle5' (instance specific id)
goodguy = winnebago:drive:eagle5

• log4j.properties

log4j.rootLogger=INFO, stdout
?
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n
?
# General Apache libraries
log4j.logger.org.apache=WARN
?
# Spring
log4j.logger.org.springframework=WARN
?
# Default Shiro logging
log4j.logger.org.apache.shiro=INFO
?
# Disable verbose logging
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN

• application.yml

spring:
  datasource:
    username: root
    password: root
    url: jdbc:mysql://localhost:3306/dm_svr?useUnicode=true&characterEncoding=UTF-8&useJDBCCompliantTimezoneShift=true&useLegacyDatetimeCode=false&serverTimezone=UTC
    driver-class-name: com.mysql.jdbc.Driver

自定義realm類

該類要繼承AuthorizingRealm類并實作它的兩個方法：doGetAuthorizationInfo（授權），doGetAuthenticationInfo（認證）

import com.shiro.springshiro.pojo.User;
import com.shiro.springshiro.service.UserService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
?
/**
 * @Author chenchunmei
 * @Date 2020/9/2 14:58
 * @Version 1.0
 * 自定義的UserRealm
 */
public class UserRealm extends AuthorizingRealm {
?
    @Autowired
    private UserService userService;
?
    //授權
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("執行了授權");
        //創建一個授權物件
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //所有登陸的用戶都授權user:add這個權限,這樣沒有做到資源權限的控制
        //info.addStringPermission("user:add");
        //通過認證的方法獲取傳來的當前用戶
        User currentUser = (User) principalCollection.getPrimaryPrincipal();
        //從資料庫中獲取該用戶的資源權限
        info.addStringPermission(currentUser.getPerms());
        //回傳給做授權的校驗
        return info;
    }
?
    //認證
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("執行了認證");
        //用戶物件
        UsernamePasswordToken userToken = (UsernamePasswordToken) authenticationToken;
        //從資料庫中取用戶
        User user = userService.login(userToken.getUsername());
        //判斷該用戶是否存在
        if(user == null){//不存在回傳Null,認證那邊獲取到null就會報沒有該用戶的例外
            return null;
        }
        //密碼認證，是shiro進行校驗
        return new SimpleAuthenticationInfo("",user.getPassword(),"");
    }
}
?

撰寫Shiro配置類

要向Spring Boot注入三大物件

• ShiroFilterFactoryBean

• DefaultWebSecurityManager

  • 該類如何獲取自定義的Realm類呢？？

    • Spring Boot提供了一個注解@Qualifier("注入的方法名或別名")

• 自定義的Realm物件

簡單例子：

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
?
import java.util.LinkedHashMap;
import java.util.Map;
?
/**
 * @Date 2020/9/2 14:52
 * @Version 1.0
 */
@Configuration//注入到Spring Boot中作為配置類
public class ShiroConfig {
    
    //Shiro的過濾工廠
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("manager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(defaultWebSecurityManager);
        return bean;
    }
    
    //默認Web安全管理器
    @Bean("manager")//別名
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm);
        return securityManager;
    }
    
    //自定義的Realm類
    @Bean
    public UserRealm userRealm(){
        UserRealm userRealm = new UserRealm();
        return userRealm;
    }
    
}

強化例子

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
?
import java.util.LinkedHashMap;
import java.util.Map;
?
/**
 * @Date 2020/9/2 14:52
 * @Version 1.0
 */
@Configuration
public class ShiroConfig {
?
    //ShiroFillterFactoryBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
?
        //設定安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        //anon:無需認證就可以訪問
        //authc:必須認證才能訪問
        //user：必須擁有記住我功能才能使用
        //perms:擁有對某個資源的權限才能訪問
        //role:擁有某個角色權限才能訪問
        //map.put("view/add","authc");
        //map.put("view/update","authc");
        Map<String, String> map = new LinkedHashMap<>();
        //某個用戶擁有的資源權限才能訪問
        map.put("/view/add","perms[user:add]");
        map.put("/view/update","perms[user:update]");
        //登陸認證才能訪問
        map.put("/view/*","authc");
        //過濾器鏈
        bean.setFilterChainDefinitionMap(map);
        //如果沒有權限就跳轉到這個路徑請求
        bean.setUnauthorizedUrl("/unauthor");
        //沒有認證就跳到登陸請求
        bean.setLoginUrl("/toLogin");
        return bean;
    }
    //DefaultWebSecurityManager
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //將自定的Realm添加到安全管理器
        securityManager.setRealm(userRealm);
        return securityManager;
    }
?
    //創建Releam物件
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }
}
?

圖解

Shiro整合Thymeleaf

Thymeleaf命名空間

xmlns:th="http://www.thymeleaf.org" 
xmlns:shiro="http://www.thymeleaf.org/thymeleaf-extras-shiro"

登陸介面

@RequestMapping("/login")
public String login(String username, String password, Model model){
    //獲取當前用戶
    Subject subject = SecurityUtils.getSubject();
    //封裝用戶的登陸資料
    UsernamePasswordToken token = new UsernamePasswordToken(username, password);
    try{
        subject.login(token);
        //登陸認證后才將該用戶的token放到session中回傳給前端
        Session session = subject.getSession();
        session.setAttribute("loginUser",token);
        return "index";
    }catch (UnknownAccountException e){
        model.addAttribute("msg","用戶名不存在");
        log.info("用戶名不存在 ====="+e.getMessage());
        return "login";
    }catch(IncorrectCredentialsException e){
        model.addAttribute("msg","密碼錯誤");
        log.info("密碼錯誤 ====="+e.getMessage());
        return "login";
    }
?
}

配置整合Shiro和Thymeleaf的ShiroDialect到Spring Boot中

 //整合ShiroDialect：用來整合thymeleaf和shiro
@Bean
public ShiroDialect getShiroDialect(){
    return new ShiroDialect();
}

整個Demo的代碼

config包下的配置類

• ShiroConfig

package com.shiro.springshiro.config;
?
import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
?
import java.util.LinkedHashMap;
import java.util.Map;
?
/**
 * @Date 2020/9/2 14:52
 * @Version 1.0
 */
@Configuration
public class ShiroConfig {
?
    //ShiroFillterFactoryBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
?
        //設定安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        //anon:無需認證就可以訪問
        //authc:必須認證才能訪問
        //user：必須擁有記住我功能才能使用
        //perms:擁有對某個資源的權限才能訪問
        //role:擁有某個角色權限才能訪問
        //map.put("view/add","authc");
        // map.put("view/update","authc");
        Map<String, String> map = new LinkedHashMap<>();
?
        map.put("/view/add","perms[user:add]");
        map.put("/view/update","perms[user:update]");
        map.put("/view/*","authc");
        bean.setFilterChainDefinitionMap(map);
        bean.setUnauthorizedUrl("/unauthor");
        bean.setLoginUrl("/toLogin");
        return bean;
    }
    //DefaultWebSecurityManager
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm);
        return securityManager;
    }
?
    //創建Releam物件
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }
?
    //整合ShiroDialect：用來整合thymeleaf和shiro
    @Bean
    public ShiroDialect getShiroDialect(){
        return new ShiroDialect();
    }
}

• UserRealm

package com.shiro.springshiro.config;
?
import com.shiro.springshiro.pojo.User;
import com.shiro.springshiro.service.UserService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
?
/**
 * @Date 2020/9/2 14:58
 * @Version 1.0
 * 自定義的UserRealm
 */
public class UserRealm extends AuthorizingRealm {
?
    @Autowired
    private UserService userService;
?
    //授權
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("執行了授權");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //通過認證的方法獲取傳來的當前用戶
        User currentUser = (User) principalCollection.getPrimaryPrincipal();
        //從資料庫中獲取該用戶的資源權限
        info.addStringPermission(currentUser.getPerms());
        return info;
    }
?
    //認證
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("執行了認證");
?
        //用戶名驗證
        UsernamePasswordToken userToken = (UsernamePasswordToken) authenticationToken;
        User user = userService.login(userToken.getUsername());
        if(user == null){
            return null;
        }
?
        //密碼驗證
        return new SimpleAuthenticationInfo(user,user.getPassword(),"");
    }
}

controller包

• MyController

package com.shiro.springshiro.controller;
?
import com.shiro.springshiro.pojo.User;
import com.shiro.springshiro.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
?
/**
 * @Date 2020/9/2 11:24
 * @Version 1.0
 */
@Controller
public class MyController {
?
    //日志門面，
    private static final transient Logger log = LoggerFactory.getLogger(MyController.class);
?
    @GetMapping({"/","/index"})
    public String toIndex(){
?
        return "index";
    }
?
    @GetMapping("/view/add")
    public String add(){
        return "view/add";
    }
?
    @GetMapping("/view/update")
    public String update(){
        return "view/update";
    }
?
    @GetMapping("/toLogin")
    public String toLogin(){
        return "login";
    }
?
    @RequestMapping("/login")
    public String login(String username, String password, Model model){
        //獲取當前用戶
        Subject subject = SecurityUtils.getSubject();
        //封裝用戶的登陸資料
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try{
            subject.login(token);
            //登陸認證后才將該用戶的token放到session中回傳給前端
            Session session = subject.getSession();
            session.setAttribute("loginUser",token);
            return "index";
        }catch (UnknownAccountException e){
            model.addAttribute("msg","用戶名不存在");
            log.info("用戶名不存在 ====="+e.getMessage());
            return "login";
        }catch(IncorrectCredentialsException e){
            model.addAttribute("msg","密碼錯誤");
            log.info("密碼錯誤 ====="+e.getMessage());
            return "login";
        }
?
    }
?
    @RequestMapping("/unauthor")
    @ResponseBody
    public String unauthor(){
        return "該用戶未授權";
    }
}

mapper包

• UserMapper

package com.shiro.springshiro.mapper;
?
import com.shiro.springshiro.pojo.User;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;
import org.springframework.stereotype.Repository;
?
/**
 * @Date 2020/9/2 17:22
 * @Version 1.0
 */
@Mapper
@Repository
public interface UserMapper {
?
    @Select("select * from user where username = #{username}")
    public User login(String usernmae);
}

service包

package com.shiro.springshiro.service;
?
import com.shiro.springshiro.pojo.User;
?
/**
 * @Date 2020/9/2 17:25
 * @Version 1.0
 */
public interface UserService {
?
    public User login(String usernmae);
}

package com.shiro.springshiro.service.impl;
?
import com.shiro.springshiro.mapper.UserMapper;
import com.shiro.springshiro.pojo.User;
import com.shiro.springshiro.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
?
/**
 * @Date 2020/9/2 17:26
 * @Version 1.0
 */
@Service
public class UserServiceImpl implements UserService {
?
    @Autowired
    private UserMapper userMapper;
?
    @Override
    public User login(String usernmae) {
        return userMapper.login(usernmae);
    }
}

pojo包

package com.shiro.springshiro.pojo;
?
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
?
/**
 * @Date 2020/9/2 17:20
 * @Version 1.0
 */
@Data
@AllArgsConstructor
@NoArgsConstructor
public class User {
?
    private int id;
    private String username;
    private String password;
    private String perms;
}

前端檔案

• index

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org"
      xmlns:shiro="http://www.thymeleaf.org/thymeleaf-extras-shiro">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
?
<h1>首頁</h1>
<div th:if="${session.loginUser == null}">
    <h3><a href=https://www.cnblogs.com/ccm-mei/archive/2020/11/03/"/toLogin">登錄</a></h3>
</div>
?
<div shiro:hasPermission="user:add">
    <a href=https://www.cnblogs.com/ccm-mei/archive/2020/11/03/"/view/add">add</a>
</div>
<div shiro:hasPermission="user:update">
    <a href=https://www.cnblogs.com/ccm-mei/archive/2020/11/03/"/view/update">update</a>
</div>
<div>
    <a href=https://www.cnblogs.com/ccm-mei/archive/2020/11/03/"/view/delete">delete</a>
</div>
?
</body>
</html>

• login

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<p th:text="${msg}" style="color: red"></p>
<form action="/login">
    用戶名：<input type="text" name="username"/><br>
    密碼：<input type="password" name="password"/><br>
    <input type="submit"/>
?
</form>
?
</body>
</html>

• add,update,delete一樣

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>add</h1>
?
</body>
</html>

標籤：其他

上一篇：JVM系列十五（物件分配注意項）.

下一篇：螞蟻上市員工人均一套大 House，阿里程式員身價和這匹配嗎？