Shiro【散列算法、Shiro会话、退出登录 、权限表设计、注解配置鉴权 】(五)-全面详解（学习总结---从入门到深化）

目录

 Shiro认证_散列算法

Shiro认证_过滤器 

Shiro认证_获取认证数据

Shiro认证_Shiro会话

Shiro认证_会话管理器

Shiro认证_退出登录 

Shiro认证_Remember Me 

 Shiro授权_权限表设计

Shiro授权_数据库查询权限

 Shiro授权_在Realm进行授权

Shiro授权_过滤器配置鉴权

Shiro授权_注解配置鉴权 

 Shiro授权_Thymeleaf中进行鉴权

 Shiro授权_缓存

---

 Shiro认证_散列算法

散列算法一般用于生成数据的摘要信息，是一种不可逆的算法，适 合于对密码进行加密。比如密码 admin ，产生的散列值是 21232f297a57a5a743894a0e4a801fc3 ，但在md5解密网站很容易的通过散列值 得到密码 admin 。所以在加密时我们可以加一些只有系统知道的干扰 数据，这些干扰数据称之为“盐”，并且可以进行多次加密，这样生 成的散列值相对来说更难破解。

 Shiro支持的散列算法：

Md2Hash、Md5Hash、Sha1Hash、Sha256Hash、 Sha384Hash、Sha512Hash

@SpringBootTest
public class Md5Test {
    @Test
    public void testMd5() {
        //使用MD5加密
        Md5Hash result1 = new Md5Hash("123");
        System.out.println("md5加密后的结果：" + result1);
        //加盐后加密,加密5次
        Md5Hash result2 = new Md5Hash("123","sxt",5);
        System.out.println("md5加盐加密后的结果：" + result2);
   }
}

接下来我们在项目中对密码进行加密：

1、修改数据库和实体类，添加盐字段，并修改数据库用户密码为加盐加密后的数据。

@Data
public class Users{
    private Integer uid;
    private String username;
    private String password;
    private String salt;
}

2、修改自定义Realm

@Component
public class MyRealm extends AuthorizingRealm {
    @Autowired
    private UserInfoMapper userInfoMapper;
    // 自定义认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 1.获取用户输入的用户名
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        // 2.根据用户名查询用户
        QueryWrapper wrapper = new QueryWrapper().eq("username",username);
        Users users = usersMapper.selectOne(wrapper);
        // 3.将查询到的用户封装为认证信息
        if (users == null) {
            throw new UnknownAccountException("账户不存在");
       }
        /**
         * 参数1：用户
         * 参数2：密码
         * 参数3：盐
         * 参数4：Realm名
         */
        return new SimpleAuthenticationInfo(users,
                users.getPassword(),
                ByteSource.Util.bytes(users.getSalt()),
                "myRealm");
   }
    // 自定义授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
   }
}

3、在注册自定义Realm时添加加密算法

// 配置加密算法
@Bean
public HashedCredentialsMatcher hashedCredentialsMatcher(){
    HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
  //加密算法
  hashedCredentialsMatcher.setHashAlgorithmName("md5");
    //加密的次数
  hashedCredentialsMatcher.setHashIterations(5);
    return hashedCredentialsMatcher;
}
// Realm
@Bean
public MyRealm getMyRealm(HashedCredentialsMatcher hashedCredentialsMatcher) {
    MyRealm myRealm = new MyRealm();
   // 设置加密算法
   myRealm.setCredentialsMatcher(hashedCredentialsMatcher);
    return myRealm;
}

4、启动项目，访问登录页http://localhost/login，测试登录功能。

Shiro认证_过滤器 

 在以上案例中，虽然有认证功能，但即使没有登录也可以访问系统 资源。如果要配置认证后才能访问资源，就需要使用过滤器拦截请 求。Shiro内置了很多过滤器：

 过滤器工厂配置过滤器链：

// 配置过滤器
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
    // 1.创建过滤器工厂
    ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
    // 2.过滤器工厂设置SecurityManager
    filterFactory.setSecurityManager(securityManager);
    // 3.设置shiro的拦截规则
    Map filterMap=new HashMap<>();
    // 不拦截的资源
    filterMap.put("/login.html","anon");
    filterMap.put("/fail.html","anon");
    filterMap.put("/user/login","anon");
    filterMap.put("/css/**","anon");
    // 其余资源都需要用户认证
    filterMap.put("/**","authc");
   // 4.将拦截规则设置给过滤器工厂
    filterFactory.setFilterChainDefinitionMap(filterMap);
    // 5.登录页面
    filterFactory.setLoginUrl("/login.html");
    return filterFactory;
}

Shiro认证_获取认证数据

 用户认证通过后，有时我们需要获取用户信息，比如在网站顶部显 示：欢迎您，XXX。获取用户信息的写法如下：

@RequestMapping("/user/getUsername")
@ResponseBody
public String getUsername(){
    Subject subject = SecurityUtils.getSubject();
    // 获取认证数据
    Users users = (Users)subject.getPrincipal();
    return users.getUsername();
}

Shiro认证_Shiro会话

 Shiro提供了完整的企业级会话管理功能，不依赖于Web容器，不管 JavaSE还是JavaEE环境都可以使用。

// 使用Shiro提供的会话对象
@RequestMapping("/user/session")
@ResponseBody
public void session(){
    // 1.获取Subject
    Subject subject = SecurityUtils.getSubject();
    // 2.获取会话
    Session session = subject.getSession();
    // 会话id
    System.out.println("会话id:"+session.getId());
    // 会话的主机地址
    System.out.println("会话的主机地址:"+session.getHost());
    // 设置会话过期时间
    session.setTimeout(1000*10);
    // 获取会话过期时间
    System.out.println("会话过期时间:"+session.getTimeout());
    // 会话开始时间
    System.out.println("会话开始时间:"+session.getStartTimestamp());
    // 会话最后访问时间
    System.out.println("会话最后访问时间:"+session.getLastAccessTime());
    // 会话设置数据
    session.setAttribute("name","百战不败");
}
@RequestMapping("/user/getSession")
@ResponseBody
public void getSession(){
    Subject subject = SecurityUtils.getSubject();
    Session session = subject.getSession();
    System.out.println(session.getAttribute("name"));
}

Shiro认证_会话管理器

Shiro中提供了会话管理器，可以对会话对象进行配置和监听，用法如下：

1、创建会话监听器

@Component
public class MySessionListener implements SessionListener {
    //会话创建时触发
    @Override
    public void onStart(Session session) {
        System.out.println("会话创建：" + session.getId());
   }
    //会话过期时触发
    @Override
    public void onExpiration(Session session) {
        System.out.println("会话过期：" + session.getId());
   }
    //退出/会话过期时触发
    @Override
    public void onStop(Session session) {
       System.out.println("会话停止：" + session.getId());
   }
}

2、在会话管理器中配置会话监听器

// 会话管理器
@Bean
public SessionManager
sessionManager(MySessionListener sessionListener) {
    // 创建会话管理器
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    // 创建会话监听器集合
    List listeners = new ArrayList();
    listeners.add(sessionListener);
    // 将监听器集合设置到会话管理器中
    sessionManager.setSessionListeners(listeners);
    // 全局会话超时时间（单位毫秒），默认30分钟,设置为5秒
    sessionManager.setGlobalSessionTimeout(5*1000);
    // 是否开启删除无效的session对象，默认为true
    sessionManager.setDeleteInvalidSessions(true);
    // 是否开启定时调度器进行检测过期session，默认为true
    sessionManager.setSessionValidationSchedulerEnabled(true);
    return sessionManager;
}

3、在SecurityManager中配置会话管理器

@Bean
public DefaultWebSecurityManager securityManager(MyRealm myRealm,MyRealm2
myRealm2,SessionManager sessionManager){
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 自定义Realm放入SecurityManager中
    // securityManager.setRealm(myRealm);
    // 设置Realm管理者(需要设置在Realm之前)
    securityManager.setAuthenticator(modularRealmAuthenticator());
    List realms = new ArrayList();
    realms.add(myRealm);
    //realms.add(myRealm2);
    securityManager.setRealms(realms);
    securityManager.setSessionManager(sessionManager);
    return securityManager;
}

Shiro认证_退出登录 

在系统中一般都有退出登录的操作。退出登录后Shiro会销毁会话和 认证数据。在Shrio中，退出登录的写法如下：

1、编写退出登录控制器

@RequestMapping("/user/logout")
public String logout(){
    Subject subject = SecurityUtils.getSubject();
    // 退出登录
    subject.logout();
    // 退出后跳转到登录页
    return "redirect:/login";
}

2、在主页面添加退出登录按钮

html>
<html>
<head>
    <meta charset="UTF-8">
    <title>主页面title>
head>
<body>
  <h1>主页面h1>
  <h2><a href="/user/logout">退出登录a>h2>
body>
html>

Shiro认证_Remember Me 

Remember Me为“记住我”功能，即登录成功后，下次访问系统时无 需重新登录。当使用“记住我”功能登录后，Shiro会在浏览器Cookie 中保存序列化后的认证数据。之后浏览器访问项目时会携带该 Cookie数据，这样不登录也可以完成认证。

当然，为了安全起见，并不是所有资源都可以通过“记住我”访问。 比如在电商系统中，查询商品等操作可以不登录，但是支付时往往 需要重新登录，Shiro支持配置什么资源可以通过“记住我”访问。

 实现“记住我”功能的写法如下：

1、序列化所有实体类

@Data
public class Users implements Serializable
{
    private Integer uid;
    private String username;
    private String password;
    private String salt;
}

2、配置Cookie生成器和记住我管理器

// Cookie生成器
@Bean
public SimpleCookie simpleCookie() {
    SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
    // Cookie有效时间，单位：秒
    simpleCookie.setMaxAge(20);
    return simpleCookie;
}
// 记住我管理器
@Bean
public CookieRememberMeManager cookieRememberMeManager(SimpleCookie simpleCookie) {
    CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
    // Cookie生成器
    cookieRememberMeManager.setCookie(simpleCookie);
    // Cookie加密的密钥
    cookieRememberMeManager.setCipherKey(Base64.decode("6ZmI6I2j3Y+R1aSn5BOlAA=="));
    return cookieRememberMeManager;
}
@Bean
public DefaultWebSecurityManager securityManager(MyRealm myRealm,
                                          
      MyRealm2 myRealm2,SessionManager sessionManager,
                                          
     CookieRememberMeManager rememberMeManager){
     DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 自定义Realm放入SecurityManager中
    // securityManager.setRealm(myRealm);
    // 设置Realm管理者(需要设置在Realm之前)
    securityManager.setAuthenticator(modularRealmAuthenticator());
    List realms = new ArrayList();
    realms.add(myRealm);
    //realms.add(myRealm2);
    securityManager.setRealms(realms);
    securityManager.setSessionManager(sessionManager);
    securityManager.setRememberMeManager(rememberMeManager);
    return securityManager;
}

3、修改登录表单

<form class="form" action="/user/login" method="post">
    <input type="text" placeholder="用户名" name="username">
    <input type="password" placeholder="密码" name="password">
    <input type="checkbox" name="rememberMe" value="on">记住我<br>
    <button type="submit" id="loginbutton">登录button>
form>

4、修改登录控制器

@RequestMapping("/user/login")
public String login(String username,String password,String rememberMe) {
    try {
        usersService.userLogin(username,password,rememberMe);
        return "main";
   } catch (DisabledAccountException e) {
        System.out.println("账户失效");
        return "fail";
   } catch (ConcurrentAccessException e){
        System.out.println("竞争次数过多");
        return "fail";
   } catch (ExcessiveAttemptsException e){
        System.out.println("尝试次数过多");
        return "fail";
   } catch (UnknownAccountException e) {
        System.out.println("用户名不正确");
        return "fail";
   } catch (IncorrectCredentialsException e) {
        System.out.println("密码不正确");
        return "fail";
   } catch (ExpiredCredentialsException e) {
        System.out.println("凭证过期");
        return "fail";
   }
}

5、修改登录Service

@Service
public class UsersService {
    @Autowired
    private DefaultWebSecurityManager securityManager;
    public void userLogin(String username,String password,String rememberMe) throws AuthenticationException
{
      SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token=new UsernamePasswordToken(username,password);
        if (rememberMe != null){
       // 如果用户选择记住我，则生成记住我Cookie
            token.setRememberMe(true);
       }
        subject.login(token);
   }
}

6、配置过滤器，配置可以通过“记住我”访问的资源。

@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
    // 1.创建过滤器工厂
    ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
    // 2.过滤器工厂设置SecurityManager
    filterFactory.setSecurityManager(securityManager);
    // 3.设置shiro的拦截规则
    Map filterMap=new HashMap<>();
    // 不拦截的资源
    filterMap.put("/login.html","anon");
    filterMap.put("/fail.html","anon");
    filterMap.put("/user/login","anon");
    filterMap.put("/static/**","anon");
    // 其余资源都需要认证，authc过滤器表示需要认证才能进行访问; 
    //user过滤器表示配置记住我或认证都可以访问
    //filterMap.put("/**","authc");
    filterMap.put("/user/pay","authc");
    filterMap.put("/**", "user");
    // 4.将拦截规则设置给过滤器工厂
    filterFactory.setFilterChainDefinitionMap(filterMap);
    // 5.登录页面
    filterFactory.setLoginUrl("/login.html");
    return filterFactory;
}

7、编写支付控制器

// 支付
@RequestMapping("/user/pay")
@ResponseBody
public String pay(){
    return "支付功能";
}

 Shiro授权_权限表设计

授权即认证通过后，系统给用户赋予一定的权限，用户只能根据权 限访问系统中的某些资源。所以在数据库中，用户需要和权限关 联。除了用户表和权限表，还需要创建角色表，他们之间的关系如下：

 用户角色，角色权限都是多对多关系，即一个用户拥有多个角色， 一个角色拥有多个权限。如：张三拥有总经理和股东的角色，而总 经理拥有查询工资、查询报表的权限；股东拥有查寻股权的权限， 这样张三就拥有了查询工资、查询报表、查询股权的权限。

接下来我们创建除users外的其余表：

CREATE TABLE `role`  (
  `rid` int(11) NOT NULL AUTO_INCREMENT,
  `roleName` varchar(255) CHARACTER SET utf8
COLLATE utf8_general_ci NULL DEFAULT NULL,
  `roleDesc` varchar(255) CHARACTER SET utf8
COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`rid`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 4
CHARACTER SET = utf8 COLLATE =
utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `role` VALUES (1,'总经理','管理整个公司');
INSERT INTO `role` VALUES (2,'股东','参与公司决策');
INSERT INTO `role` VALUES (3,'财务','管理公司资产');
CREATE TABLE `permission`  (
  `pid` int(11) NOT NULL AUTO_INCREMENT,
`permissionName` varchar(255) CHARACTER
SET utf8 COLLATE utf8_general_ci NULL
DEFAULT NULL,
  `url` varchar(255) CHARACTER SET utf8
COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`pid`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 4
CHARACTER SET = utf8 COLLATE =
utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `permission` VALUES (1,'查询报表', '/reportform/find');
INSERT INTO `permission` VALUES (2,'查询工资', '/salary/find');
INSERT INTO `permission` VALUES (3,'查询税务', '/tax/find');
CREATE TABLE `users_role`  (
  `uid` int(255) NOT NULL,
  `rid` int(11) NOT NULL,
  PRIMARY KEY (`uid`, `rid`) USING BTREE,
  INDEX `rid`(`rid`) USING BTREE,
  CONSTRAINT `users_role_ibfk_1` FOREIGN KEY
(`uid`) REFERENCES `users` (`uid`) ON DELETE
RESTRICT ON UPDATE RESTRICT,
  CONSTRAINT `users_role_ibfk_2` FOREIGN KEY
(`rid`) REFERENCES `role` (`rid`) ON DELETE
RESTRICT ON UPDATE RESTRICT
) ENGINE = InnoDB CHARACTER SET = utf8
COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `users_role` VALUES (1, 2);
INSERT INTO `users_role` VALUES (1, 3);
CREATE TABLE `role_permission`  (
  `rid` int(11) NOT NULL,
  `pid` int(11) NOT NULL,
  PRIMARY KEY (`rid`, `pid`) USING BTREE,
  INDEX `pid`(`pid`) USING BTREE,
  CONSTRAINT `role_permission_ibfk_1`
FOREIGN KEY (`rid`) REFERENCES `role`
(`rid`) ON DELETE RESTRICT ON UPDATE
RESTRICT,
  CONSTRAINT `role_permission_ibfk_2`
FOREIGN KEY (`pid`) REFERENCES `permission`
(`pid`) ON DELETE RESTRICT ON UPDATE
RESTRICT ) ENGINE = InnoDB CHARACTER SET = utf8
COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `role_permission` VALUES (1, 1);
INSERT INTO `role_permission` VALUES (2, 1);
INSERT INTO `role_permission` VALUES (1, 2);
INSERT INTO `role_permission` VALUES (3, 2);
INSERT INTO `role_permission` VALUES (1, 3);
INSERT INTO `role_permission` VALUES (2, 3);

Shiro授权_数据库查询权限

在认证后进行授权需要根据用户id查询到用户的权限，写法如下：

1、编写用户、角色、权限实体类

@Data
public class Users implements Serializable
{
    private Integer uid;
    private String username;
    private String password;
    private String salt;
}
// 角色
@Data
public class Role implements Serializable{
    private Integer rid;
    private String roleName;
    private String roleDesc;
}
// 权限
@Data
public class Permission implements Serializable{
    private Integer pid;
    private String permissionName;
    private String url;
}

2、修改UsersMapper接口

// 根据用户id查询权限
List findPermissionById(Integer id);

3、在resources目录中编写UsersMapper的映射文件

"1.0" encoding="UTF-8"?>
mapper
        PUBLIC "-//mybatis.org//DTD Mapper3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.tong.myshiro1.mapper.UsersMapper">
    <select id="findPermissionById" resultType="com.tong.myshiro1.domain.Permission">
       SELECT DISTINCT permission.pid,permission.permissionName,permission.url FROM
           users
               LEFT JOIN users_role on users.uid = users_role.uid
               LEFT JOIN role on users_role.rid = role.rid
               LEFT JOIN role_permission on role.rid = role_permission.rid
               LEFT JOIN permission on role_permission.pid = permission.pid
       where users.uid = #{uid}
    select>
mapper>

4、测试方法

@SpringBootTest
public class UserMapperTest {
    @Autowired
    private UsersMapper usersMapper;
    @Test
    public void testFindPermissionById(){
        List permissions = usersMapper.findPermissionById(1);
        permissions.forEach(System.out::println);
   }
}

 Shiro授权_在Realm进行授权

 在自定义Realm中可以自定义授权方法：

// 自定义授权方法
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    //1.拿到用户认证信息
    Users users = (Users) principalCollection.getPrimaryPrincipal();
    //2.从数据库中查询权限
    List permissions = usersMapper.findPermissionById(users.getUid());
    //3.遍历权限对象，将所有权限名交给Shiro管理
    SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
    for (Permission permission : permissions) {
         authorizationInfo.addStringPermission(permission.getUrl());
   }
    return authorizationInfo;
}

Shiro授权_过滤器配置鉴权

 Shiro可以根据用户拥有的权限，控制具体资源的访问，这一过程称 为鉴权。在Shiro中，可以通过过滤器进行鉴权配置：

// 配置过滤器
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
    // 1.创建过滤器工厂
    ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
    // 2.过滤器工厂设置SecurityManager
   filterFactory.setSecurityManager(securityManager);
    // 3.设置shiro的拦截规则
    Map filterMap=new HashMap<>();
    // 不拦截的资源
    filterMap.put("/login.html","anon");
    filterMap.put("/fail.html","anon");
    filterMap.put("/user/login","anon");
    filterMap.put("/css/**","anon");
    // 鉴权过滤器，要写在/**之前，否则认证都无法通过
    filterMap.put("/reportform/find","perms[/reportform/find]");
    filterMap.put("/salary/find","perms[/salary/find]");
    filterMap.put("/staff/find","perms[/staff/find]");
    // 其余资源都需要认证，authc过滤器表示需要认证才能进行访问; 
    //user过滤器表示配置记住我或认证都可以访问
    //filterMap.put("/**","authc");
    filterMap.put("/user/pay","authc");
    filterMap.put("/**", "user");
    
    // 4.将拦截规则设置给过滤器工厂
    filterFactory.setFilterChainDefinitionMap(filterMap);
    // 5.登录页面
    filterFactory.setLoginUrl("/login.html");
    return filterFactory;
}
// 编写测试控制器
@RestController
public class MyController {
    @GetMapping("/reportform/find")
    public String findReportform(){
        return "查询报表";
   }
    @GetMapping("/salary/find")
    public String findSalary(){
        return "查询工资";
   }
    @GetMapping("/staff/find")
    public String findStaff(){
        return "查询员工";
   }
}

此时如果权限不足会抛出401异常，我们可以自定义权限不足的跳转页面：

1、编写权限不足页面

html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>权限不足title>
head>
<body>
    <h1>您的权限不足，请联系管理员！h1>
body>
html>

2、配置权限不足的跳转页面

// 配置过滤器
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
    // 1.创建过滤器工厂
    ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
    // 2.过滤器工厂设置SecurityManager
    filterFactory.setSecurityManager(securityManager);
    // 3.设置shiro的拦截规则
    Map filterMap=new HashMap<>();
    // 不拦截的资源
    filterMap.put("/login.html","anon");
    filterMap.put("/fail.html","anon");
    filterMap.put("/noPermission.html","anon");
    filterMap.put("/user/login","anon");
    filterMap.put("/css/**","anon");
    // 鉴权过滤器
    filterMap.put("/reportform/find","perms[/reportform/find]");
    filterMap.put("/salary/find","perms[/salary/find]");
    filterMap.put("/staff/find","perms[/staff/find]");
    // 其余资源都需要认证，authc过滤器表示需要认证才能进行访问; 
    //user过滤器表示配置记住我或认证都可以访问
    //filterMap.put("/**","authc");
    filterMap.put("/user/pay","authc");
    filterMap.put("/**", "user");
    //4.将拦截规则设置给过滤器工厂
    filterFactory.setFilterChainDefinitionMap(filterMap);
    // 5.登录页面
    filterFactory.setLoginUrl("/login.html");
    // 6.权限不足访问的页面
    filterFactory.setUnauthorizedUrl("/noPermission.html");
    return filterFactory;
}

Shiro授权_注解配置鉴权 

 除了过滤器，Shiro也提供了一些鉴权的注解。我们可以使用注解配置鉴权。

@RequiresGuest：不认证即可访问的资源。

@RequiresUser：通过登录方式或“记住我”方式认证后可以访问资源。 @RequiresAuthentication：通过登录方式认证后可以访问资 源。

@RequiresRoles：认证用户拥有特定角色才能访问的资源

@RequiresPermissions：认证用户拥有特定权限才能访问的资源

1、在配置类开启Shiro注解 

// 开启shiro注解的支持
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
    AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
    advisor.setSecurityManager(securityManager);
    return advisor;
}
// 开启aop注解支持
@Bean
public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
    DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
    defaultAAP.setProxyTargetClass(true);
    return defaultAAP;
}

2、在控制器方法上添加鉴权注解

@GetMapping("/test/index")
@RequiresGuest
public String testIndex() {
    return "访问首页";
}
@GetMapping("/test/user")
@RequiresUser
public String testUser() {
    return "用户中心";
}
@GetMapping("/test/pay")
@RequiresAuthentication
public String testPay() {
    return "支付中心";
}
@GetMapping("/tax/find")
@RequiresPermissions("/tax/find")
public String taxFind() {
    return "查询税务";
}
@GetMapping("/address/find")
@RequiresPermissions("/address/find")
public String addressFind() {
    return "查询地址";
}

 Shiro授权_Thymeleaf中进行鉴权

 Shrio可以在一些视图技术中进行控制显示效果。例如Thymeleaf 中，只有认证用户拥有某些权限才会展示一些菜单。

1、在pom中引入Shiro和Thymeleaf的整合依赖

<dependency>
    <groupId>com.github.theborakompanionigroupId>
    <artifactId>thymeleaf-extrasshiroartifactId>
    <version>2.0.0version>
dependency>

2、在配置文件中注册ShiroDialect

@Bean
public ShiroDialect shiroDialect(){
    return new ShiroDialect();
}

3、在Thymeleaf中使用Shiro标签，控制前端的显示内容

html>
<html xmlns:th="http://www.thymeleaf.org"
    xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
<head>
    <meta charset="UTF-8">
    <title>主页面title>
head>
<body>
<h1>主页面h1>
<ul>
    <li shiro:hasPermission="/reportform/find">
      <a href="/reportform/find">查询报表a>li>
   <li shiro:hasPermission="/salary/find">
     <a href="/salary/find">查询工资a>li>
   <li shiro:hasPermission="/staff/find">
     <a href="/staff/find">查询员工a>li>
ul>
    <h2><a href="/user/logout">退出登录a>h2>
body>
html>
 

 Shiro授权_缓存

 在Shiro中，每次拦截请求进行鉴权，都会去数据库查询该用户的权 限信息。因为用户的权限信息在短时间内是不可变的，每次查询出 来的数据其实都是重复数据，此时就会非常浪费资源。所以一般我 们会将权限数据放在缓存中进行管理，这样我们就不用每次请求都 查询数据库，提升了系统性能。

缓存

缓存即存在于内存中的一块数据。数据库的数据是存储在硬盘上 的，而内存的读写效率要远远的高于数据库。但硬盘中保存的数据 是持久化数据，断电后依然存在；而内存中保存的是临时数据，随 时可能清空。所以我们为了提升系统性能，减少程序和数据库的交 互，会将经常查询但不常改变的，改变后对结果影响不大的数据放 入缓存中。

Shiro支持多种缓存产品，在课程中我们使用ehcache缓存用户的权限数据。

ehcache

ehcache是用来管理缓存的一个工具，其缓存的数据可以放在内存 中，也可以放在硬盘上。ehcache的核心是CacheManager，一切 的ehcache的应用都是从CacheManager开始的。

1、引入shiro和ehcache整合包

<dependency>
    <groupId>org.apache.shirogroupId>
    <artifactId>shiro-ehcacheartifactId>
    <version>1.9.0version>
dependency>

2、创建配置文件shiro-ehcache.xml

"1.0" encoding="UTF-8"?>
<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xsi:noNamespaceSchemaLocation="http://ehcache.org/ehcache.xsd"
         updateCheck="false">
    <diskStore path="java.io.tmpdir/Tmp_EhCache"/>
    
    <defaultCache
            maxElementsInMemory="10000"
            timeToIdleSeconds="120"
            timeToLiveSeconds="120"
            diskExpiryThreadIntervalSeconds="120"/>
    
    <cache name="authorizationCache"
           maxEntriesLocalHeap="2000"
           timeToIdleSeconds="0"
           timeToLiveSeconds="0">
    cache>
ehcache>

3、在配置文件创建CacheManager

// 创建CacheManager
@Bean
public EhCacheManager ehCacheManager() {
    EhCacheManager ehCacheManager = new EhCacheManager();
    ehCacheManager.setCacheManagerConfigFile( "classpath:shiro-ehcache.xml");
    return ehCacheManager;
}

4、在SecurityManager中配置CacheManager

@Bean
public DefaultWebSecurityManager securityManager(MyRealm myRealm,MyRealm2 myRealm2,
       SessionManager sessionManager, CookieRememberMeManager rememberMeManager,
       EhCacheManager ehCacheManager){
      DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 自定义Realm放入SecurityManager中
    // securityManager.setRealm(myRealm);
    // 设置Realm管理者(需要设置在Realm之前)
    securityManager.setAuthenticator(modularRealmAuthenticator());
    List realms = new ArrayList();
    realms.add(myRealm);
    //realms.add(myRealm2);
    securityManager.setRealms(realms);
    securityManager.setSessionManager(sessionManager);
    securityManager.setRememberMeManager(rememberMeManager);
    securityManager.setCacheManager(ehCacheManager);
    return securityManager;
}

5、启动项目，测试权限缓存。