Apache Shiro 实现数据库驱动的权限管理

"Apache Shiro 基于服务器的用户权限管理" Apache Shiro 是一个强大且易用的Java安全框架，用于处理身份验证、授权、会话管理和加密等安全相关问题。在描述中提到的场景中，Shiro 被用来管理用户权限并与数据库进行交互，确保用户访问权限的正确性。下面我们将详细探讨如何使用 Shiro 实现这些功能。 首先，Shiro 的核心组件之一是 `SecurityManager`，它是整个 Shiro 框架的入口点，负责协调各个安全相关的服务。在Web应用中，`SecurityManager`通常与Servlet容器集成，如通过`Filter`来保护应用的URL。 在配置文件中，Shiro 使用 `[urls]` 部分来定义URL和对应的访问控制策略。例如： ```ini [urls] /login.jsp = anon /admin/admin.jsp = authc, roles[admin] /guest/ = authc, roles[guest] ``` 这里的 `anon` 表示任何人都可以访问 `/login.jsp`，而访问 `/admin/admin.jsp` 需要经过认证（`authc`）并且用户角色必须是 `admin`（`roles[admin]`）。类似地，所有以 `/guest/` 开头的URL都要求用户认证成功且角色为 `guest`。 前端页面中，如 `login.jsp` 提供了一个简单的登录表单，用户输入用户名和密码后提交到 `LoginServlet` 进行处理。登录成功后，Shiro 会创建一个会话，并在其中存储用户的认证信息。 在 `index.jsp` 中，有两个链接指向 `admin.jsp` 和 `guest.jsp`，Shiro 会根据用户的角色来决定他们是否具有访问这些页面的权限。 接下来，我们看 `web.xml` 的配置。在标准的Servlet应用中，Shiro 通常通过 `Filter` 来实现URL的拦截和权限检查。配置如下： ```xml <web-app ...> ... <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> <dispatcher>FORWARD</dispatcher> <dispatcher>INCLUDE</dispatcher> <dispatcher>ERROR</dispatcher> </filter-mapping> ... </web-app> ``` 在这个配置中，`ShiroFilter` 被映射到了所有的请求路径，它会检查每个请求并根据配置的权限规则执行相应的操作。 为了实现与数据库的交互，Shiro 提供了 `JDBCRealm`，它可以从数据库中加载用户、角色和权限信息。要使用 `JDBCRealm`，你需要配置数据库连接和SQL查询，以便Shiro能从中获取用户信息。例如，你可能需要提供获取用户角色和权限的SQL语句。 ```java @Bean public Realm myRealm() { JdbcRealm realm = new JdbcRealm(); realm.setDataSource(dataSource); realm.setUserRolesQuery("SELECT role_name FROM user_roles WHERE username = ?"); realm.setPermissionsLookupEnabled(true); realm.setRolePermissionsQuery("SELECT permission FROM role_permissions WHERE role_name = ?"); return realm; } ``` 在上述代码中，`dataSource` 是数据库数据源，而查询语句则根据你的数据库结构进行定制。 Apache Shiro 提供了一种灵活且易于理解的方式来管理用户权限，包括与数据库的交互，从而实现了基于角色的访问控制（RBAC）。通过配置URL规则，Shiro 可以确保用户只能访问他们被授权的页面，为Web应用提供了强大的安全性。