Apache Shiro 实战：数据库驱动的权限控制

Apache Shiro是一个强大的Java安全框架，它提供了身份验证、授权、会话管理和加密等功能，用于构建安全的应用程序。Shiro可以轻松地与数据库进行交互，从而实现动态、灵活的用户权限管理。在这个例子中，我们将深入理解如何使用Shiro与数据库配合来控制用户的访问权限。 首先，Shiro通过配置`urls`来指定不同URL路径所需的访问权限。例如： ```ini [urls] /login.jsp=anon /admin/admin.jsp=authc,roles[admin] /guest/=authc,roles[guest] ``` 这表示`/login.jsp`页面允许匿名访问，而`/admin/admin.jsp`页面则需要用户经过认证(`authc`)且角色为`admin`。`/guest/`匹配所有以`guest/`开头的URL，同样需要用户认证并拥有`guest`角色。这种配置方式使得我们能够便捷地管理每个页面的访问权限。 接下来，我们需要实现与数据库的交互，通常我们会使用Shiro的`JDBCRealm`。`JDBCRealm`允许我们从数据库中获取用户、角色和权限信息。以下是一个简化的示例： 1. 配置Shiro的`JDBCRealm`：在Shiro的配置文件中，我们需要指定数据源、用户名、密码以及SQL查询语句，如下： ```xml <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close"> <property name="driverClassName" value="com.mysql.jdbc.Driver"/> <property name="url" value="jdbc:mysql://localhost:3306/mydb"/> <property name="username" value="root"/> <property name="password" value="password"/> </bean> <bean id="realm" class="org.apache.shiro.realm.jdbc.JdbcRealm"> <property name="dataSource" ref="dataSource"/> <property name="usersQuery" value="SELECT username, password, enabled FROM users WHERE username=?"/> <property name="rolesQuery" value="SELECT username, role FROM user_roles WHERE username=?"/> <property name="permissionsQuery" value="SELECT role, permission FROM role_permissions WHERE role=?"/> </bean> ``` 2. 前端页面：登录页面`login.jsp`包含一个表单，用户输入用户名和密码，然后提交给登录处理Servlet。 ```html <form action="LoginSelvet" method="post"> username:<input type="text" name="username"/><br> password:<input type="text" name="password"/><br> <input type="submit" value="login"/> </form><br> ``` 3. 登录处理：Servlet接收到表单数据后，调用Shiro的API进行认证，如`SecurityUtils.getSubject().login(token)`，其中`token`通常是`UsernamePasswordToken`。 4. 权限控制：一旦用户成功登录，Shiro会自动处理权限检查。例如，当试图访问`/admin/admin.jsp`时，Shiro会检查用户是否具备`admin`角色。 5. Web.xml配置：在`web.xml`中，我们需要配置Shiro过滤器链，如下： ```xml <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 通过这种方式，Shiro可以根据配置的规则和从数据库获取的用户信息，动态地决定用户是否可以访问特定的资源。如果用户试图访问他们无权访问的页面，Shiro会自动重定向到错误页面或进行其他处理。 Apache Shiro通过与数据库的集成，为开发者提供了一种灵活、可扩展的方式来管理用户的权限。通过配置URL规则和使用`JDBCRealm`，我们可以方便地从数据库获取和验证用户信息，实现细粒度的权限控制。这对于构建复杂的企业级应用尤其重要，确保了系统的安全性。