springrain技术详解(1)-shiro基本权限控制

最新推荐文章于 2020-08-25 16:49:52 发布
最新推荐文章于 2020-08-25 16:49:52 发布
阅读量1.5k 收藏 1
点赞数
作者: admin  分类: shirospringspringrain  发布时间: 2013-12-10 10:07  ė23 浏览数  62条评论

shiro是一个非常强大灵活的权限控制框架,属于apache的顶级项目.springrain使用shiro实现了权限控制功能.

 

下图充分说明了shiro的体系架构

归根到底,权限控制无非是利用过滤器控制访问的认证和授权,shiro也不例外.我们来看看shiro是怎么实现的吧.

要在web中使用shiro,总共分三步:

第一步:在web.xml中配置shiro的过滤器,建议是应用的第一个过滤器,springrain示例配置如下:

01 <filter>
02 <filter-name>shiroFilter</filter-name>
03 <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
04 <init-param>
05 <param-name>targetFilterLifecycle</param-name>
06 <param-value>true</param-value>
07 </init-param>
08 </filter>
09 <filter-mapping>
10 <filter-name>shiroFilter</filter-name>
11 <url-pattern>/*</url-pattern>
12 <dispatcher>REQUEST</dispatcher>
13 <dispatcher>FORWARD</dispatcher>
14 <dispatcher>INCLUDE</dispatcher>
15 <dispatcher>ERROR</dispatcher>
16 </filter-mapping>

这个shiroFilter其实是个spring bean,等下会重点说这个bean,dispatcher这个标签是为了在forward和redirect的情况下也需要经过过滤器

第二步:配置spring-shiro,springrain配置是applicationContext-shiro.xml

01 <!-- 权限管理器 -->
02 <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
03 <!-- 数据库认证的实现 org.springrain.frame.shiro.ShiroDbRealm -->
04 <property name="realm" ref="shiroDbRealm" />
05 <!-- session 管理器 -->
06 <property name="sessionManager" ref="sessionManager" />
07 <!-- 缓存管理器 -->
08 <property name="cacheManager" ref="shiroCacheManager" />
09 </bean>
10 <!-- session管理器 -->
11 <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
12 <!-- 超时时间 -->
13 <property name="globalSessionTimeout" value="1800000"/>
14 <!-- session存储的实现 -->
15 <property name="sessionDAO" ref="shiroSessionDao"/>
16 <!-- sessionIdCookie的实现,用于重写覆盖容器默认的JSESSIONID -->
17 <property name="sessionIdCookie" ref="sharesession"/>
18 <!-- 定时检查失效的session -->
19 <property name="sessionValidationSchedulerEnabled" value="true" />
20 </bean>
21  
22 <!-- sessionIdCookie的实现,用于重写覆盖容器默认的JSESSIONID -->
23 <bean id="sharesession" class="org.apache.shiro.web.servlet.SimpleCookie">
24 <!-- cookie的name,对应的默认是 JSESSIONID -->
25 <constructor-arg name="name" value="SHAREJSESSIONID"/>
26 </bean>
27 <!-- session存储的实现 -->
28 <bean id="shiroSessionDao" class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO" />
29  
30 <!-- 缓存管理实现 -->
31 <bean id="shiroCacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" />
32  
33 <!-- shiro的主过滤器,beanId 和web.xml中配置的filter name需要保持一致 -->
34 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"
35 depends-on="frameperms">
36 <!-- 安全管理器 -->
37 <property name="securityManager" ref="securityManager" />
38 <!-- 默认的登陆访问url -->
39 <property name="loginUrl" value="/login" />
40 <!-- 登陆成功后跳转的url -->
41 <property name="successUrl" value="/index" />
42 <!-- 没有权限跳转的url -->
43 <property name="unauthorizedUrl" value="/unauth" />
44 <!-- 访问地址的过滤规则,从上至下的优先级,如果有匹配的规则,就会返回,不会再进行匹配 -->
45 <property name="filterChainDefinitions">
46 <value>
47 /js/** = anon
48 /css/** = anon
49 /images/** = anon
50 /myimg/**= anon
51 /unauth = anon
52 /getCaptcha=anon
53 /login = anon
54 /favicon.ico = anon
55 /index = user
56 /logout = logout
57 /menu/leftMenu=user
58 /**/ajax/** = user
59 /** = user,frameperms
60 </value>
61 </property>
62 <!-- 声明自定义的过滤器 -->
63 <property name="filters">
64 <map>
65 <entry key="frameperms" value-ref="frameperms"></entry>
66 </map>
67 </property>
68 </bean>
69 <!-- 起效权限注解,这个很少在web项目中用到,一般是控制url的访问,不是在controller中声明权限注解 -->
70 <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

frameperms是自定义的过滤器,除了那些特殊url,其他的菜单都在数据库,查询用户权限判断,下一篇文章介绍下权限相关的表结构.
另外不建议在web项目使用类似 admin:user:edit这种方式控制权限,这种方式等同给url又起了一个别名,这样虽然看起来比较容易理解,但是相当死板和麻烦.建议直接使用url判断权限
authc 和 user的区别是 user包含 rememberme,authc不包含,就这一点区别.

第三步:实现数据库认证和权限过滤

数据库认证shiroDbRealm的代码:

http://git.oschina.net/chunanyong/springrain/blob/master/springrain/src/org/springrain/frame/shiro/ShiroDbRealm.java

自定义权限过滤frameperms的代码:

http://git.oschina.net/chunanyong/springrain/blob/master/springrain/src/org/springrain/frame/shiro/FramePermissionsAuthorizationFilter.java

另外 springrain 没有使用authc实现登陆,而是使用一个普通的controller方法进行登陆
org.springrain.frame.controller.BaseController.loginPost(User, HttpSession, Model, HttpServletRequest)
其中
//会调用 shiroDbRealm 的认证方法
//org.springrain.frame.shiro.ShiroDbRealm.doGetAuthenticationInfo(AuthenticationToken)
user.login(token);

本文出自 9iu.org,转载时请注明出处及相应链接。

本文永久链接: http://www.9iu.org/2013/12/10/springrain1-shiro.html

0
冰色阳光
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springrain-master.zip
03-20
springrain-system-web,基于K8S + apisix/istio 实现云原生微服务.
SpringBoot+Shiro学习(七):Filter过滤器管理
weixin_34258782的博客
12-16 1248
先从我们写的一个自定义Filter来看: public class RoleOrFilter extends AuthorizationFilter { @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) t...
springrain技术详解(2)-权限表结构
zhenjw
08-18 613
在实际项目中,权限控制是必须要放到数据库管理的,我们来看下springrain是怎么设计权限的表结构吧先上ER图 t_org是部门表,考虑到员工兼职,所以有t_user_org 中间表. t_menu是菜单表,字段 type 是标示是菜单资源还是普通资源  菜单资源的意义就是导航菜单,会显示到左侧导航,普通资源就是菜单内的按钮或者提交路径,这个时候 pid的意义就比较重要了,pid就...
springrain技术详解(3)-shiro的filterChainDefinitions
zhenjw
08-18 157
springrain使用shiro控制权限,配置filterChainDefinitions结合数据库校验权限. shiro在web.xml中配置全局过滤器,springrain配置的是一个spring bean “shiroFilter”,在这个bean中可以根据访问路径再配置不同的过滤器, shiro 默认自带的过滤器如下: Filter Name Class anon ...
springrain -权限表结构 分析设计 Jfinal 代码生成器
gredn的专栏
04-20 1270
http://www.9iu.org/2013/12/11/springrain2-basetable.html springrain开源项目 springrain技术详解(1)-shiro基本权限控制 springrain技术详解(2)-权限表结构 springrain技术详解(3)-shiro的filterChainDefinitions sp
SpringBoot集成Shiro(自定义过滤器、自定义Token、加盐加密、记住密码、自动登录、Session管理)...
海若的博客
07-10 929
导入依赖 <!--thymeleaf集成shiro模版--> <dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro<...
springrain
01-22
springrainspring的极简封装,spring一站式开发的范例. springrain本身就是一个完整的eclipse项目,spring一站式开发的范例,包含spring core,spring jdbc,spring mvc.可以认为就是一个spring的demo. springrain ...
springrain云原生微服务实现
11-16
云原生微服务实现
springrain云原生微服务实现 v1.0.zip
最新发布
04-02
springrain云原生微服务实现 v1.0.zip
Apache_Shiro_使用手册中文版
02-10
shiro是一个非常强大灵活的权限控制框架,属于apache的顶级项目.springrain使用shiro实现权限控制功能!
shiro框架源码解析与改造(二)---ShiroFilterFactoryBean
ljz2016的博客
07-26 1598
ShiroFilterFactoryBean是shiro框架的核心起始类,是shiro框架一切流程的源头。 上文已经知道,DelegatingFilterProxy会从springmvc容器中查找这个类,并代理执行。 那么ShiroFilterFactoryBean类具体是干什么的呢? 查看源码可以看到ShiroFilterFactoryBean实现了 FactoryBean接口,所以真正注...
Shiro 核心功能案例讲解 基于SpringBoot 有源码
weixin_34393428的博客
02-28 252
Shiro 核心功能案例讲解 基于SpringBoot 有源码 从实战中学习Shiro的用法。本章使用SpringBoot快速搭建项目。整合SiteMesh框架布局页面。整合Shiro框架实现用身份认证,授权,数据加密功能。通过本章内容,你将学会用户权限的分配规则,SpringBoot整合Shiro的配置,Shiro自定义Realm的创建...
GITHUB开源SpringBoot2.0权限管理系统
qq_35086451的博客
04-03 4604
基于SpringBoot2.0的权限管理系统 易读易懂、界面简洁美观。 核心技术采用Spring、MyBatis、Shiro没有任何其它重度依赖。直接运行即可用 用户管理:用户是系统操作者,该功能主要完成系统用户配置。 部门管理:配置系统组织机构(公司、部门、小组),树结构展现支持数据权限。 岗位管理:配置系统用户所属担任职务。 菜单管理:配置系统菜单,操作权限...
shiro笔记
lx_nhs的博客
09-03 333
shirospring整合, applicationContext-shiro.xml: &amp;amp;amp;amp;amp;amp;amp;amp;lt;?xml version=&amp;amp;amp;amp;amp;amp;amp;quot;1.0&amp;amp;amp;amp;amp;amp;amp;quot; encoding=&amp;amp;amp;amp;amp;amp;amp;quot;UTF-8&amp;amp;amp;amp;amp
Shiro ShiroFilterFactoryBean
weixin_38982591的博客
08-25 1496
首先看下继承关系,实现了FactoryBean,BeanPostProcessor两个接口 BeanPostProcessor 接口 @Override public Object postProcessBeforeInitialization(Object bean, String beanName) throws BeansException { if (bean instanceof Filter) { log.debug("Found filter chain candidate .
shiro拦截器处理链执行顺序
weixin_30625691的博客
12-05 1176
shiro拦截器处理链执行顺序 A1:根据<filter-name>到spring容器查找实现bean,并根据配置把相应的url请求委托给它去执行。 A21:SpringShiroFilter是ShiroFilterFactoryBean的内部类,会执行doFilter()方法。A21没有重写父类的doFilter方法,因此会去寻找父类中的实现,最终调用OncePerR...
apache shiro RememberMe 为false的一个问题解说
koproblem的专栏
04-11 3150
刚刚有一个网友 问我一个问题说他登录的时候 设置了 UsernamePasswordToken token = new UsernamePasswordToken( currUser.getAccount(), currUser.getPwd()); token.setRememberMe(true); 然后 在登录方法里看到 token 对象里的isRememberMe()方法返回的
shiro-02经典权限五张表
热门推荐
lx_nhs的博客
12-05 2万+
注:  所有shiro使用方法都是围绕springrain项目进行的. 具体的springrain项目demo可以在之前的博客中找到.经典权限五张表指的是:  ①用户表  ②用户-角色表  ③角色表  ④角色权限表  ⑤权限表ER图:  t_org是部门表,考虑到员工兼职,所以有t_user_org 中间表. t_menu是菜单表,字段 type 是标示是菜单资源还是普通资源 菜单资
springmvc整个shiro实现Perms的权限认证(细粒度)(三)
xcc_2269861428的博客
07-14 9374
前言:上一篇文章讲述了如何使用角色url进行粗粒度验证。地址:https://blog.csdn.net/xcc_2269861428/article/details/95768417 这篇说下如何使用perms进行细粒度验证,已经我写代码过程中碰见的坑。 看下角色界面 我在数据库中分别为2个就是设置了perms权限 用户界面 图中可以看出,xcc是没有角色管理权限的,所以不...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值