spring 통합 shiro 프레임 워 크 의 실현 절차 기록

shiro
Shiro 는 Apache 의 다음 오픈 소스 프로젝트 로 Apache Shiro 라 고 부 릅 니 다.이것 은 자바 프로젝트 와 쉽게 사용 할 수 있 는 안전 프레임 워 크 로 인증,권한 수여,암호 화,세 션 관 리 를 제공 합 니 다.spring Security 와 마찬가지 로 권한 을 가 진 안전 프레임 워 크 이지 만 Spring Security 에 비해 Shiro 는 비교적 간단 하고 알 기 쉬 운 권한 수여 방식 을 사 용 했 습 니 다.shiro 는 경량급 프레임 워 크 로 security 보다 간단 하고 security 만큼 복잡 하지 않 습 니 다.더 자세 한 소 개 는 홈 페이지http://shiro.apache.org/에서 알 수 있 듯 이 그녀 는 주로 다음 과 같은 기능 을 제공한다.
(1)인증(인증)
(2)인증(권한 부여)
(3)세 션 관리(세 션 관리)
(4)암호 화(암호 화)
우선 인증 서 비 스 는 그녀 를 통 해 신분 인증 을 완성 하고 사용자 가 실제 회원 인지 아 닌 지 를 판단 할 수 있 도록 하 는 것 이다.
그 다음으로 권한 수여 서 비 스 는'방문 통제'서비스,즉 그녀 로 하여 금 사용자 가 어떤 권한 을 가지 고 있 는 지 식별 하 게 하 는 것 이다.다시 한 번 말하자면 사용자 가 어떤 역할 을 하 는 지 판단 함으로써 그 에 게 어떤 조작 권한 을 부여 하 는 것 이다.
그리고 세 션 관리 서비스 도 있 습 니 다.이때 독립 된 Session 관리 프레임 워 크 는 우리 가 잘 아 는 Http Session 과 다 릅 니 다.
마지막 으로 Cryptography(암호 화)서 비 스 를 제공 하여 많은 암호학 적 알고리즘 을 봉인 했다.
오늘 저 는 다 말 하지 않 겠 습 니 다.그녀의 회화 관리 기능 에 중심 을 두 었 습 니 다.사실은 이것 도 거의 모든 웹 이 관련 될 것 입 니 다.
shiro 의 세 션 관리 서 비 스 를 말 하기 전에 이전의 세 션 관리 가 우리 가 어떻게 했 는 지 되 돌아 보 세 요.
1.처음에 저 희 는 웹 서버 의 Http Session 을 직접 사 용 했 습 니 다.즉,사용자 가 처음 들 어 오 면 웹 용 기 는 이 요청 에 session 을 만 든 다음 에 이 session 을 저장 하고 해당 하 는 session Id 를 쿠키 로 클 라 이언 트 에 전달 합 니 다.
클 라 이언 트 가 이 서버 에 다시 요청 을 보 내 면 자동 으로 이 sessionId 를 가 져 옵 니 다.그리고 웹 서버 는 클 라 이언 트 가 가 져 온 sessionId 에 따라 메모리 에 있 는 지 여 부 를 판단 합 니 다.(session 은 만 료 시간 이 있 으 므 로 웹.xml 파일 에서 설정 할 수 있 습 니 다)대응 하 는 session 을 찾 지 못 하면session 실효 시간 이 지 났 음 을 설명 합 니 다.이 때 웹 서버 는 다시 session 을 만 들 고 이전 과 마찬가지 로 이 새로운 session Id 를 클 라 이언 트 에 게 전달 합 니 다.
따라서 저 희 는 이러한 체 제 를 통 해 프로그램 에서 사용자 의 로그 인 세 션 을 관리 할 수 있 습 니 다.예 를 들 어 저 희 는 사용자 가 첫 번 째 로그 인 에 성공 한 후에 사용자 의 기본 정 보 를 session 에 저장 할 수 있 습 니 다(예 를 들 어session.setAttribute("user", "userInfo").다음 사용자 가 다시 방문 할 때 저 희 는 현재 session 의 user 정 보 를 얻 을 수 있 습 니 다.session.getAttribute("user") 사용자 가 만 료 되 었 는 지 판단 하고 얻 지 못 하면 다시 로그 인 하 라 고 알려 줍 니 다.
2.두 번 째 방식 은 바로 우리 가 정 보 를 저장 하 는 곳 을 제3자 미디어 로 옮 기 는 것 이다.예 를 들 어 캐 시,memecache 또는 Redis 가 모두 가능 하 다.이런 방식 은 주로 분포 식 시스템 의 등장 으로 인해 사용 된다.
이 경우 우리 스스로 sessionId 를 만들어 야 합 니 다.일반적으로 우 리 는 정 의 된 접두사user:login:token에 userid 를 추가 하거나 시간 스탬프 를 추가 해도 됩 니 다.그리고 저 희 는 이 sessionId 를 캐 시 키 로 하고 사용자 의 정 보 를 value 로 하여 캐 시 에 저장 하 며 실효 시간 을 설정 합 니 다.

　　jedisClient.set(tokenKey, JsonUtil.toJSONString(userInfo));
　　jedisClient.expire(tokenKey, TOKEN_LOSE_SECONDS);

저 희 는 생 성 된 이 tokenkey 를 쿠키 를 통 해 클 라 이언 트 에 전달 해 야 합 니 다.CookieUtils.setCookie(request, response, "TT_TOKEN", tokenKey);이렇게 하면 저 희 는 사용자 가 다음 에 방문 할 때(차단기 정의)쿠키 에서 해당 하 는 tokenKey 를 꺼 낸 다음 에 이 tokenKey 로 캐 시 에 해당 하 는 값 을 가 져 올 수 있 습 니 다.가 져 오지 못 하면 이 key 가 효력 을 잃 었 음 을 나타 내 고 사용자 에 게 다시 등록 하 라 고 알려 줍 니 다.
주:tokenKey 는 매우 중요 합 니 다.캐 시 와 클 라 이언 트 를 연결 하 는 관건 입 니 다.
3.마지막 하 나 는 바로 우리 shiro 방식 입 니 다.생각 도 비슷 하고 코드 도 간단 합 니 다.그럼 제 가 바로 코드 를 올 리 겠 습 니 다.
1)、applicationContext-shiro.xml 파일 을 새로 만 듭 니 다.

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
 xmlns:context="http://www.springframework.org/schema/context" xmlns:p="http://www.springframework.org/schema/p"
 xmlns:aop="http://www.springframework.org/schema/aop" xmlns:tx="http://www.springframework.org/schema/tx"
 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
 xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-4.0.xsd
 http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-4.0.xsd
 http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-4.0.xsd http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-4.0.xsd
 http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-4.0.xsd">

 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
 <property name="securityManager" ref="securityManager"></property>
 <property name="loginUrl" value="/loginPage"></property>
 <property name="unauthorizedUrl" value="/pages/unauthorized.jsp"/>
 <property name="filterChainDefinitions">
 <value>
 /jcaptcha* = anon
 /logout = anon
 </value>
 </property>
 </bean>

 <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
 <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"></property>
 <property name="arguments" ref="securityManager"></property>
 </bean>
 <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
 <property name="cacheManager" ref="cacheManager"></property>
 <property name="sessionManager" ref="sessionManager"></property>
 </bean>
 <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
 <property name="sessionDAO" ref="sessionDAO"></property>
 </bean>
 <bean id="sessionDAO" class="com.smart.core.shiro.MySessionDAO"></bean>　　//           
 <bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"></bean>
</beans>

2),웹.xml 에 해당 하 는 filter 를 설정 합 니 다:

<filter>
 <filter-name>shiroFilter</filter-name>
 <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
 <init-param>
  <param-name>targetFilterLifecycle</param-name>
  <param-value>true</param-value>
 </init-param>
 </filter>
 <filter-mapping>
 <filter-name>shiroFilter</filter-name>
 <url-pattern>/*</url-pattern>
 </filter-mapping>

3)실현 클래스 를 작성 하여 AbstractSessionDAO 를 계승 하여 해당 하 는 방법 을 실현 한다.

package com.jdd.core.shiro;

import com.smart.core.redis.RedisManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.UnknownSessionException;
import org.apache.shiro.session.mgt.eis.AbstractSessionDAO;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.SerializationUtils;
import java.io.*;
import java.util.ArrayList;
import java.util.Collection;

public class MySessionDAO extends AbstractSessionDAO {

 @Autowired
 private RedisManager redisManager;

 @Override
 public void update(Session session) throws UnknownSessionException {
 redisManager.set(SerializationUtils.serialize(session.getId().toString()), SerializationUtils.serialize(session));
 redisManager.expire(SerializationUtils.serialize(session.getId().toString()), 60);
 }

 @Override
 public void delete(Session session) {
 redisManager.del(SerializationUtils.serialize(session.getId().toString()));
 }

 @Override
 public Collection<Session> getActiveSessions() {
 return new ArrayList<Session>();
 }

 @Override
 protected Serializable doCreate(Session session) {　　　　//           ，  sessionId
 Serializable sid = this.generateSessionId(session);
 assignSessionId(session, sid);
 redisManager.set(SerializationUtils.serialize(session.getId().toString()), SerializationUtils.serialize(session));
 redisManager.expire(SerializationUtils.serialize(session.getId().toString()), 60);
 return sid;
 }

 @Override
 protected Session doReadSession(Serializable serializable) {　　//          sessionId  session，    ，          
 byte[] aa = redisManager.get(SerializationUtils.serialize(serializable.toString()));
 Session session = (Session) SerializationUtils.deserialize(aa);
 redisManager.set(SerializationUtils.serialize(serializable.toString()), SerializationUtils.serialize(session));
 redisManager.expire(SerializationUtils.serialize(serializable.toString()), 60);
 return session;
 } 
}

4)다음 단 계 는 로그 인 에 성공 한 후의 논리 에서 shiro 의 session 을 얻 은 다음 에 사용자 정 보 를 설정 하 는 것 입 니 다.

package com.smart.controller;
import com.smart.pojo.User;
import com.smart.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Controller
@RequestMapping("/user")
public class UserController {

 @Autowired
 private UserService userService;
 @Autowired
 private SecurityManager sm;　　//  SecurityManager

 private Logger logger = LoggerFactory.getLogger(UserController.class);

 @RequestMapping(value = "/loginPage")
 public String loginPage(){
 return "user/userLogin";
 }

 @RequestMapping(value = "/userLogin", method = RequestMethod.POST)
 public String userLogin(@RequestParam(value="name") String name, @RequestParam(value="pwd") String pwd, Model model){

 logger.info("enter userLogin...");
 User user = userService.getUserByNameAndPassword(name, pwd);
 if(user == null){
  logger.info("user is not exist...");
  model.addAttribute("login_error", "        ");
  return "user/userLogin";
 }

 SecurityUtils.setSecurityManager(sm);
 Subject currentUser = SecurityUtils.getSubject();　　　　
 currentUser.getSession().setAttribute("LOGIN_USER", user);　
 return "redirect:/employee/list";
 }
}

현재 사용 자 를 가 져 옵 니 다.shiro 에서 테 마 를 가 져 온 다음 에 해당 하 는 session 을 가 져 오고 사용자 정 보 를 설정 합 니 다.약간 Http session 의 동작 처럼 느껴 지지 않 습 니까?하하.
5)마지막 으로 springmvc 의 차단 기 를 정의 합 니 다.차단기 에서 해당 하 는 session 의 사용자 정 보 를 얻 고 얻 지 못 하면 로그 인 인터페이스 로 이동 합 니 다.

package com.smart.core.shiro;

import com.smart.pojo.User;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class LoginInterceptor implements HandlerInterceptor {

 private Logger logger = LoggerFactory.getLogger(LoginInterceptor.class);

 @Autowired
 private SecurityManager sm;

 @Override
 public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
 logger.info("enter LoginInterceptor...");
 HttpServletRequest request = httpServletRequest;
 HttpServletResponse response = httpServletResponse;
 logger.info("request uri===>"+request.getRequestURI());　　　　　　//          ，    ，        
 if(request.getRequestURI().contains("loginPage") || request.getRequestURI().contains("userLogin")){
  return true;
 }else{
  SecurityUtils.setSecurityManager(sm);
  Subject currentUser = SecurityUtils.getSubject();
  Object obj = currentUser.getSession().getAttribute("LOGIN_USER");
  if(obj==null){
  response.sendRedirect("http://localhost:8080/user/loginPage");
  return false;
  }else{
  User user = (User)obj;
  if(user==null || user.getName()==null){
   response.sendRedirect("http://localhost:8080/user/loginPage");
   return false;
  }else{
   return true;
  }
  }

 }

 }

 @Override
 public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

 }

 @Override
 public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

 }
}

여기까지 하면 거의 끝 납 니 다.지금 홈 페이지 정 보 를 직접 방문 하면 자동 으로 로그 인 페이지 로 넘 어 갑 니 다.
총결산
이상 은 이 글 의 전체 내용 입 니 다.본 논문 의 내용 이 여러분 의 학습 이나 업무 에 어느 정도 참고 학습 가치 가 있 기 를 바 랍 니 다.궁금 한 점 이 있 으 시 면 댓 글 을 남 겨 주 셔 서 저희 에 대한 지지 에 감 사 드 립 니 다.