在Grails中使用Shiro安全框架

先安装插件 shiro-1.1.4

然后初始化（windows环境参数要加冒号，其它环境不用）
cd myoa
grails shiro-quick-start "--prefix=myoa."

会创建或修改以下文件 先允许修改，然后再用idea的diff功能人工整合
| Environment set to development.....
> User.groovy already exists. Overwrite? [y/n] y
| Created file grails-app/domain/myoa/User.groovy
| Created file grails-app/domain/myoa/Role.groovy
| Created file grails-app/realms/myoa/DbRealm.groovy
| Created file grails-app/controllers/myoa/AuthController.groovy
| Created file grails-app/views/auth/login.gsp
> SecurityFilters.groovy already exists. Overwrite? [y/n] y
| Created file grails-app/conf/myoa/SecurityFilters.groovy

半路出家的麻烦
因为系统已经开发了一段时间，已经有一个User对象，当时用的属性名“name/password”;而shrio也会生成一个User对象，用的“username/passwordHash”。

权衡之后，重构原来的User对象动静太大，还是重构shrio生成出来的文件吧，发现倒是不难：
1. login.gsp 不需要修改，因为会有一个token对象介于gsp和User对象之间
2. AuthController 不需要修改，只需要加一句把user对象存入session的，因为我的gsp大多用到了这个对象：SessionTool.loginUser = User.findByName(authToken.username)
3. DbRealm.groovy 修改User部分的引用，其它不用改

小有点成就感
花了1天时间，基本掌握了shiro框架，控制可以依赖框架，但权限需要自己设计
花了2天时间，可以从系统自动生成所有controller、action的权限表，然后设计了UI界面方便编辑和管理。




修改密码加密算法
The default realm basically hashes the password provided in the authentication token using SHA256 and then compares the hash to the password hash stored in the user domain instance.
If the hashes are the same, the user is authenticated. Now, SHA256 has known vulnerabilities, so you may want to use something a little more secure. If that's the case, you need to do two things.

First, when you create a user (such as in BootStrap ) you need to hash the password using the alternative algorithm
new Sha512Hash("password").toHex()

Second, you need to override the credentialMatcher bean, for example by adding the following to your grails-app/conf/spring/resources.groovy file:
import org.apache.shiro.authc.credential.Sha512CredentialsMatcherbeans = {
    credentialMatcher(Sha512CredentialsMatcher) {
        storedCredentialsHexEncoded = true
    }
    …
}

评论

6 楼 alanland 2013-12-22  

~ ~ 讲的很详细啊

5 楼 pauljohn21 2013-07-18  

能不能给份demo谢谢  819820211@qq.com

4 楼 pauljohn21 2013-07-17  

能不能给一份你作的demo谢谢

3 楼 Jcat 2013-03-11  

lijingzhi 写道

请教:从系统自动生成所有controller、action的权限表怎么弄啊，如果是动态脚手架也可以自动生成吗？

其实原理是，shiro plugin是基于controller和action来控制权限的，比如book:read,write就代表对BookController的read和write可以访问。

只要读取到应用所有的controller和action的名字，然后做了一个界面来操作这些名字（拼出复合shiro权限语法的字符串），就成为了整个应用的权限控制例子了。

至于读取所有controller的名字，可以参考create-app后，自动生成的index页面：GrailsApplication.controllerClasses

脚手架产生的action，也会被读进来。

2 楼 lijingzhi 2013-03-10  

请教:从系统自动生成所有controller、action的权限表怎么弄啊，如果是动态脚手架也可以自动生成吗？

1 楼 renlijuan 2013-02-17  

          
那个可不可以把你的源代码发一份给我？