shiro

最新推荐文章于 2021-04-27 11:42:03 发布
最新推荐文章于 2021-04-27 11:42:03 发布
阅读量229 收藏
点赞数
分类专栏: 其他 文章标签: shiro

shiro配置文件:
转载:http://kdboy.iteye.com/blog/1169637/

Apache Shiro的配置主要分为四部分:
对象和属性的定义与配置
URL的过滤器配置
静态用户配置
静态角色配置
其中,由于用户、角色一般由后台进行操作的动态数据,因此Shiro配置一般仅包含前两项的配置。

Apache Shiro的大多数组件是基于POJO的,因此我们可以使用POJO兼容的任何配置机制进行配置,例如:Java代码、Sping XML、YAML、JSON、ini文件等等。下面,以Spring XML的配置方式为例,并且对其中的一些配置参数进行一些简单说明。

Shiro对象的配置:
主要是对Shiro各个组件的实现进行定义配置,主要组件在前文已做过简单介绍,这里不再一一说明。
Xml代码 收藏代码

<bean id="securityManager" class="org.apache.shiro.mgt.DefaultSecurityManager">  
        <property name="cacheManager" ref="cacheManager"/>  
        <property name="sessionMode" value="native"/>  
        <!-- Single realm app.  If you have multiple realms, use the 'realms' property instead. -->  
        <property name="realm" ref="myRealm"/>  
        <property name="sessionManager" ref="sessionManager"/>   
</bean>

Shiro过滤器的配置
Shiro主要是通过URL过滤来进行安全管理,这里的配置便是指定具体授权规则定义。
Xml代码 收藏代码

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
   <!-- 安全管理器 -->
        <property name="securityManager" ref="securityManager" />
        <!-- 默认的登陆访问url -->
        <property name="loginUrl" value="/hpzc/login" />
        <!-- 登陆成功后跳转的url -->
        <property name="successUrl" value="/hpzc/index" />
        <!-- 没有权限跳转的url -->
        <property name="unauthorizedUrl" value="/unauth" />
        <!-- 读取初始自定义权限内容 -->
        <!-- Shiro权限过滤过滤器定义 -->
    <property name="filters">
            <map>
                <entry key="cas" value-ref="casFilter"/>
                <entry key="authc" value-ref="formAuthenticationFilter"/>
            </map>
        </property>
    <property name="filterChainDefinitions">  
        <value>  
            # some example chain definitions:  
            /admin/** = authc, roles[admin]  
            /docs/** = authc, perms[document:read]  
            /** = authc  
            # more URL-to-FilterChain definitions here  
        </value>  
    </property>  
</bean>

URL过滤器配置说明:
Shiro可以通过配置文件实现基于URL的授权验证。FilterChain定义格式:
URL_Ant_Path_Expression = Path_Specific_Filter_Chain
每个URL配置,表示匹配该URL的应用程序请求将由对应的过滤器进行验证。
例如:
[urls]
/index.html = anon
/user/create = anon
/user/** = authc
/admin/** = authc, roles[administrator]
/rest/** = authc, rest
/remoting/rpc/** = authc, perms[“remote:invoke”]

URL表达式说明
1、URL目录是基于HttpServletRequest.getContextPath()此目录设置
2、URL可使用通配符,**代表任意子目录
3、Shiro验证URL时,URL匹配成功便不再继续匹配查找。所以要注意配置文件中的URL顺序,尤其在使用通配符时。

Filter Chain定义说明
1、一个URL可以配置多个Filter,使用逗号分隔
2、当设置多个过滤器时,全部验证通过,才视为通过
3、部分过滤器可指定参数,如perms,roles

Shiro内置的FilterChain

这里写图片描述

备注:anon,user等都是过滤器,有的是shrio默认自带的,也可以自己定义,例如配置中的role,permission,cas验证等

正确配置:
<!-- 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="myRealm" />
</bean>
错误配置:启动报错DefaultWebSecurityManager bean找不到
<bean id="securityManager" class="org.apache.shiro.mgt.DefaultSecurityManager"></bean>

AuthorizingRealm:
权限验证类,需要继承此类 自定义验证方法,如用户查询,验证码验证,过滤器过滤等!
doGetAuthenticationInfo 身份验证
doGetAuthorizationInfo 权限验证

UsernamePasswordToken:
用户类 可以继承之后自定义。

public class ShiroRealm extends AuthorizingRealm {

    @Autowired
    private TpUserMapper tpUserDao;
    @Autowired
    private TpRoleMapper tpRoleDao;
    @Autowired
    private TpPermissionMapper tpUpermissonDao;

    public ShiroRealm() {
        super();
    }

    /**
     * Shiro 身份验证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken)
            throws AuthenticationException {
        ShiroToken token = (ShiroToken) authcToken;
        // 数据库查询权限
        TpUser user = tpUserDao.loginAuth(token.getUsername(), token.getPswd());
        if (user != null) {
            return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
        }
        //
        return null;
    }

    /**
     * Shiro权限验证
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        TpUser user = (TpUser) principals.getPrimaryPrincipal();
        int uid = user.getId();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        // 根据用户ID查询角色(role),放入到Authorization里。
        Set<String> roles = tpRoleDao.selectByUserId(uid);
        info.setRoles(roles);
        // // 根据用户ID查询权限(permission),放入到Authorization里。
        Set<String> permissions = tpUpermissonDao.selectByUserId(uid);
        info.setStringPermissions(permissions);
        return info;
    }

}
public class ShiroToken extends UsernamePasswordToken implements Serializable {

    private static final long serialVersionUID = 1L;

    public ShiroToken(String username, String pswd) {
        super(username, pswd);
        this.pswd = pswd;

    }

    // 登录密码[字符串类型] 因为父类是char[] ] 因为父类中password是char[]类型
    // 所以子类如果子类其他类型的password会报错

    private String pswd;

    public String getPswd() {
        return pswd;
    }

    public void setPswd(String pswd) {
        this.pswd = pswd;
    }
}
牛城小将
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro1.5.3
05-11
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。你提到的 "shiro1.5.3" 是Shiro框架的一个特定版本,包含了该版本的所有核心组件和相关...
shiro1.6版本
09-07
Apache Shiro 是一个强大且易用的Java安全框架,提供了身份验证、授权、加密和会话管理功能,简化了企业级应用的安全实现。在本文中,我们将深入探讨Apache Shiro 1.6版本的重要更新,以及它如何修复了一个绕过认证...
一篇博客带你入门shiro
了不起的盖茨比的博客
04-27 385
1.写在前面 我跳槽几家公司,发现公司都是使用shiro来做权限认证的,但是我发现自己从来没有用过,同时也看不懂,但是这个shiro框架用的也很多,于是我不得不去学习shiro,今天我带领大家一篇博客搞定shiro。 2.本篇博客的概述 3.shiro简介 我们学习的第一手段当然是去官网找对应的例子,这里提供了shiro的官网,那么shiro是个什么东西呢?我们先来看官网的介绍。 笔者这儿做一个简单的翻译吧。Apache Shiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和
Shiro
Tang
04-29 1万+
文章目录一、初识shiro1.shiro简介:2.框架图说明:3.从外部查看shiro框架4.内部结构框架5.常见单词说明6.Shiro中的shiro.ini说明:(1) 、main(2)、users(3)、roles(4)urls6.第一个案例:①项目总体图:添加依赖:②添加shiro.ini文件③认证操作:④实现: 一、初识shiro 1.shiro简介: 官网 Apache Shiro是一...
shiro1.7.1.zip
04-12
在使用Shiro 1.7.1时,开发者可以根据具体需求选择合适的模块进行集成,例如,Web应用可能会主要依赖`shiro-core`、`shiro-web`和`shiro-spring`,而需要进行复杂加密操作的应用可能需要`shiro-crypto-hash`和`shiro...
shiro_tool.zip
11-18
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。在"shiro_tool.zip"这个压缩包中,我们可以推测可能包含了一些关于Shiro使用的工具类、...
shiro学习
力超的博客
10-08 231
Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应 该尽可能掩盖复杂的地方,露出一个干净而直观的 API,来简化开发人员在使他们的应用程序安全上的努力。 以下是你可以用 Apache Shiro 所做的事情: 验证用户来核...
shiro-大致梳理一下shiro框架
xxx
03-09 1842
参考链接:http://jinnianshilongnian.iteye.com/blog/2018936(张开涛老司机的博客)一 shiro的功能(如下图)二 shiro认证授权的大致过程(一) application如何去调用shiro的东西:1 从下面的代码中可以看出来:我们在application中只需要两个东西就可以完整一次验证:subject和UsernamePasswordToken...
shiro 入门讲解(一)
李永亮的专栏
05-10 1902
声明:本文纯属个人理解 shiro 是一个权限管理框架,它能够完成认证、授权、加密、会话管理等功能。认证和授权为权限控制的核心,简单来说,“认证”就是证明你是谁? Web 应用程序一般做法通过表单提交用户名及密码达到认证目的。“授权”即是否允许已认证用户访问受保护资源 这里为大家推荐两篇非常不错的博客,建议初学者可以先看看这两篇博客,对shiro有个初步了解以后再来跟着我一起学习,一些基本的解
Shiro之详细入门附Demo
ZT的专栏
05-17 6218
第一步:Apache Shiro简介: Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应 该尽可能掩盖复杂的地方,露出一个干净而直观的 API,来简化开发人员在使他们的应用程序安全上的努力。 以下是你可以用 Apac
shiro权限比对的一些坑
逝水流年染轻尘的博客
04-04 2391
  最近在做shiro权限控制的时候,搭建完了环境给同事使用,同事使用的时候发现了一个bug,让我看看,bug是这样的,       在freemarke中使用shiro标签,&lt;@shiro.hasPermission name="sys:user:1111"&gt;&lt;/@shiro.hasPermission&gt;发现标签不起作用,而这个权限在数据库是没有配置,查询出来的授权管理的...
Shiro详解
qq_36807862的博客
08-07 1万+
Shiro 简介 简介 • Apache Shiro 是 Java 的一个安全(权限)框架。 • Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境。 • Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 • 下载:http://shiro.apache.org/ 功能简介 • 基本功能点如下图所示:...
shiro(二) 简单搭建shiro
linhui258的博客
07-19 2353
下面先简单的搭建一个demo,此demo是集成入spring mvc使用的。 一、准备所需要的表 DROP TABLE IF EXISTS `sys_permission`; CREATE TABLE `sys_permission` ( `id` varchar(255) NOT NULL, `url` varchar(255) DEFAULT NULL COMMENT '链接地址...
一篇适合小白的Shiro教程
热门推荐
潮汐先生的专栏
12-02 6万+
Shiro的基本使用Shiro简介什么是ShiroShiro核心架构SubjectSecurityManagerAuthenticatorAuthorizerRealmSessionManagerSessionDAOCacheManagerCryptographyShiro中的认证什么是认证三个概念SubjectPrincipalcredential认证的实现Shiro认证的源码分析Shiro使用自定义Relam实现认证CustomerRealmCustomerRealmAuthenticatorTest测
Shiro的基于字符串通配符的权限表达式
qq_28000789的博客
01-15 6855
深入理解Apache Shiro的Permissions 自己的理解:了解shiro的权限表达式有助于我们看到表达式就知道这个表达式的含义,我们就可以很方便的对资源设置权限时知道应该给这个资源什么样的权限表达式了。 比如:我们有四张表:机构organization、用户user、角色role、资源resource ![我们有四张表机构organzition、](https://img-blog.c...
Apache Shiro 安全框架教程
Apache Shiro 教程 Apache Shiro 是一个 Java 安全框架,目前越来越多的人使用它,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值