shiro与spring

最新推荐文章于 2023-07-10 19:11:43 发布
最新推荐文章于 2023-07-10 19:11:43 发布
阅读量166 收藏 1
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DHY002/article/details/99621133
版权

spring.xml文件配置

	<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
	
		<!-- 1.配置 securityManager管理器-->
		<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		    <!-- 缓存管理器 -->
		    <property name="cacheManager" ref="cacheManager"/>
		    <!-- 配置session的管理方式 -->
		    <!-- <property name="sessionMode" value="native"/> -->
		    <!-- <property name="realm" ref="shiroRealm"/> -->
		    <property name="authenticator" ref="modularRealmAuthenticator" />
			<!-- 配置多个realms,必须放在authenticator属性后面 -->
			<property name="realms">
				<list>
					<ref bean="shiroRealm" />
				</list>
			</property>

		</bean>
		<bean id="modularRealmAuthenticator" class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
			<!-- 设置多个Realm的策略 -->
			<property name="authenticationStrategy">
			    <bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy"></bean>
			</property>
		</bean>
		
		<!-- 2.配置缓存管理器,可以设置缓存 -->
		<!-- 2.1 添加ehcache的jar包和配置文件 -->
		<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
		    <!-- <property name="cacheManager" ref="ehCacheManager"/> -->
		    <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/> 
		</bean>
	
		<!-- 3.配置实现了realm接口的bean -->
		<!-- <bean id="demoshiro" class="com.znsd.shiro.demo.DemoShiro"></bean> -->
		
		<!-- 4.配置lifecycleBeanPostProcessor,可以自动调用配置在spring中的shrio对象生命周期方法。 -->
		<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
		
		<!-- 5.启用IOC容器中的shiro注解,但必须在配置 lifecycleBeanPostProcessor 后才会生效。-->
		<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
		          depends-on="lifecycleBeanPostProcessor"/>
		<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		    <property name="securityManager" ref="securityManager"/>
		</bean>
		 <!-- 添加自定义的Relm规则 -->
			<bean id="shiroRealm" class="com.znsd.shiro.demo.DemoShiro">
			    <property name="credentialsMatcher">
				    <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
					    <!-- 指定使用MD5加密方式加密前台密码 -->
					    <property name="hashAlgorithmName" value="MD5" />
					    <!-- 指定使用MD5加密的次数 -->
					    <property name="hashIterations" value="10" />
				    </bean>
			    </property>
			</bean>
		<!-- 
		    6.配置shiroFilter过滤器相关的属性。
		    6.1 id必须 和web.xml中配置的filter-name一致。
		-->
		<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		    <property name="securityManager" ref="securityManager"/>
		    <property name="loginUrl" value="/login"/>
		    <property name="successUrl" value="/admin/index"/>
		    <property name="unauthorizedUrl" value="/unauthorized"/>
		    <!-- 
		        配置哪些页面需要被保护,以及访问该页面所需要的权限。
		        anon: 表示可以匿名访问。
		        authc:表示需要登录之后才可以访问。
		    -->
		    <property name="filterChainDefinitions">
		        <value>
		            /loginpost=anon
		            /index=roles[admin]
		            /login = anon
		            /index.jsp = anon
		            /loginout=logout
		            /** = authc
		        </value>
		    </property>
		</bean>
		
		
</beans>

实现了realm接口

	public class DemoShiro extends AuthorizingRealm{

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		
		//①、把AuthenticationToken转换为UsernamePasswordToken。
		UsernamePasswordToken upToken = (UsernamePasswordToken) token;
		//②、从UsernamePasswordToken中获取username
		String username = upToken.getUsername();
		//③、调用数据库的方法,从数据库中查询username对应的记录。
		UserService userService = new UserService();
		User user = userService.login(username);
		//④、若用户不存在,则可以跑出UnknownAccountException异常。
		if(user == null) {
			throw new UnknownAccountException("用户不存在.");
		}
		//⑤、根据用户信息的情况,决定是否需要抛出其它AuthenticationException异常。
		if(user.isIslock()) {
			throw new LockedAccountException("用户被锁定");
		}
		//⑥、根据用户的情况,来构建AuthenticationInfo对象并返回。
		AuthenticationInfo info = new SimpleAuthenticationInfo(user.getName(), user.getPass(), this.getName());
		return info;

		
	}

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals)  {
		System.out.println(123321+"__________");
		// 授权方法的步骤:
		// 1、从PrincipalCollection中来获取登录用户的信息。
		String username = (String) principals.getPrimaryPrincipal();
		System.out.println(username);
		// 2、利用登录用户的信息来验证当前用户的角色或者权限。
		Set<String> roles = new HashSet<>();
		roles.add("user");
		if ("admin".equals(username)) {
		    roles.add("admin");
		    System.out.println("admin权限");
		}
		// 3、创建SimpleAuthorizationInfo,并设置其roles属性。
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
		// 4、返回SimpleAuthorizationInfo对象
		return info;

	}
	
	/*@Test
	public void test() {
		SimpleHash sh=new SimpleHash("MD5","123123",null,10);
		System.out.println(sh);
	}*/
	

}

doGetAuthenticationInfo()方法是用来判定权限是否足够
doGetAuthorizationInfo()方法是添加权限的

在控制层判定密码是否正确

	@RequestMapping(value = "/loginpost" , method = RequestMethod.POST)
	public String loginpost(User user) {
			//获取当前的Subject
			Subject currentUser = SecurityUtils.getSubject();
			        
			// 测试当前用户是否已经被认证,即是否已经登录。
			if (!currentUser.isAuthenticated()) {
				// 把用户名和密码封装为UsernamePasswordToken对象
				UsernamePasswordToken token 
					= new UsernamePasswordToken(user.getName(), user.getPass());
				// 记住密码
				token.setRememberMe(true);
				try {
					// 执行登录
					currentUser.login(token); //实际上调用Realm中的doGetAuthenticationInfo方法
					System.out.println("login");
					return "redirect:/index";
				} catch (UnknownAccountException e) { // 其他异常,是其他异常的父类
					 System.err.println("用户不存在");
				}catch(LockedAccountException e) {
					System.err.println("账户锁定");
				}catch(IncorrectCredentialsException e) {
					System.err.println("密码不正确");
				}catch (AuthenticationException ae) {
					System.out.println("权限不组");
				}
		}
		return "login";
	}

web.xml配置

	<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns="http://xmlns.jcp.org/xml/ns/javaee"
	xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
	id="WebApp_ID" version="3.1">
	<display-name>shiro</display-name>
	<welcome-file-list>
		<welcome-file>index.html</welcome-file>
		<welcome-file>index.htm</welcome-file>
		<welcome-file>index.jsp</welcome-file>
		<welcome-file>default.html</welcome-file>
		<welcome-file>default.htm</welcome-file>
		<welcome-file>default.jsp</welcome-file>
	</welcome-file-list>

	<!-- spring配置文件 -->
	<context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>classpath:spring.xml</param-value>
	</context-param>
	<listener>
		<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
	</listener>
	<!-- SpringMVC的配置文件 -->
	<servlet>
		<servlet-name>springDispatcherServlet</servlet-name>
		<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
		<init-param>
			<param-name>contextConfigLocation</param-name>
			<param-value>classpath:springmvc.xml</param-value>
		</init-param>
		<load-on-startup>1</load-on-startup>
	</servlet>
	<servlet-mapping>
		<servlet-name>springDispatcherServlet</servlet-name>
		<url-pattern>/</url-pattern>
	</servlet-mapping>

	<!-- 添加shiro过滤器,用来拦截shiro请求 -->
	<filter>
	    <filter-name>shiroFilter</filter-name>
	    <filter-class>
		    org.springframework.web.filter.DelegatingFilterProxy
	    </filter-class>
	    <init-param>
	        <param-name>targetFilterLifecycle</param-name>
	        <param-value>true</param-value>
	    </init-param>
	</filter>
	<filter-mapping>
	    <filter-name>shiroFilter</filter-name>
	    <url-pattern>/*</url-pattern>
	</filter-mapping>
		
</web-app>
๑鄧๑
关注
专栏目录
shiro官方教程中文版和spring整合说明文档
12-06
shiro的官方教程以及spring整合说明二和一打包下载......
springboot整合shiro基础版本
weixin_44740485的博客
01-05 830
springboot整合shiro基础版本一、项目依赖二、application.properties配置文件的编写三、准备一个index.jsp和一个login.jsp页面四、创建shiro的配置类五、创建一个自定义的realm六创建controller类 一、项目依赖 <!--shiro的相关依赖--> <dependency> <groupId>org.apache.shiro</groupId>
ShiroSpringBoot整合
qq_57907966的博客
12-23 960
Componentpublic class MyRealm extends AuthorizingRealm {//这里继承的是AuthorizingRealm是AuthenticatingRealm的子类//自定义授权方法@Override}//自定义登录认证方法@Override//1、获取用户身份信息//2、调用业务层获取用户信息(数据库表中)//3、将数据进行封装if (user!}}}这里调用了service层进行用户的查询。
shiro-spring-boot-starter针对不同Spring Boot版本
伟夫子的博客
07-10 1762
对于Spring Boot 2.4.10,无法找到shiro-spring-boot-starter的2.7.2版本,这是一个错误的版本号。需要注意的是,不同Spring Boot版本,要选择匹配的shiro-spring-boot-starter版本,才能保证兼容性。所以2.7.2版本无法与Spring Boot 2.4.10匹配使用。而不是2.7.2版本
shirospring集成基础Hello案例详解
08-25
ShiroSpring集成基础Hello案例详解 Shiro是一个开源的Java安全框架,提供了身份验证、授权、密码学和会话管理等功能。ShiroSpring集成可以提供一个完整的安全解决方案。本文将详细介绍ShiroSpring集成基础...
shirospring web 项目集成.pdf
08-13
ShiroSpring Web项目集成可以为Web应用带来安全功能,例如用户认证与授权。本指南将详细探讨ShiroSpring Web项目集成的过程,并分析Shiro在其中的作用和集成的关键点。 ### 1. ShiroSpring框架的整合 ...
spring-boot-shiro:Apache ShiroSpring Boot的集成
01-30
Apache ShiroSpring Boot集成 GitHub: : 用法 首先安装到本地仓库。 双向v2.0下为2.0.0版本,主要将Spring Boot升级到2.0.4.RELEASE,Shiro升级到1.4.0 mvn clean install pom.xml < groupId>...
shirospring 整合、动态过滤链、以及认证、授权.docx
07-20
Apache Shiro 是一个轻量级的安全管理框架,与 Spring Security 相比,它的认证和授权流程更为简单易懂。Shiro 提供了原生会话(native-session)机制,允许在不依赖容器的 Session 实现情况下,存储和管理用户的...
shirospring整合工程源代码
03-08
ShiroSpring整合,可以充分利用两者的优点,实现更高效、更灵活的安全管理。 在"shirospring整合工程源代码"中,我们可以看到以下几个关键的知识点: 1. **Shiro的核心组件**: - **Authentication(认证)...
Shiro安全框架【SpringBoot版】
mmklo的博客
10-04 2462
Apache Shiro 是一款功能强大的且易于使用的Java的安全框架。Shiro可以完成:认证、加密、会话管理、与web集集成等。借助SHiro可以帮助我们快速轻松的保护任何应用程序。shiro官网:Apache Shiro | Simple. Java. Security.与Shiro的特性密不可分:SpringSecurity基于Spring开发,项目若使用Spring 可以与SpringSecurity作权限更加方便,而Shiro需要与Spring进行整合Spring Security功能更加丰富
教你 Shiro 整合 SpringBoot,避开各种坑
weixin_33725239的博客
04-30 1900
最近搞了下 Shiro 安全框架,找了一些网上的博客文章,但是一到自己实现的时候就遇到了各种坑,需要各种查资料看源码以及各种测试。 那么这篇文章就教大家如何将 Shiro 整合到 SpringBoot 中,并避开一些小坑,这次实现了基本的登陆以及角色权限,往后的文章也讲解了其他的功能,如 《教你 Shiro + SpringBoot 整合 JWT》 附上源码:github.com/HowieYu...
SpringBoot学习-(二十五)SpringBoot整合Shiro(详细版本
大白能的博客
04-25 3379
整合内容包括 自定义realm,实现认证和授权 自定义加密,实现密码加密验证 自定义Cachemanager、Cache,实现Shiro的cache管理,存储在redis中 自定义SessionManager、SessionDao、SessionIdCookie,实现Shiro的session管理,存储在redsi中 自定义RememberMeManager、RemeberMeCookie,实...
spring整合shiro系列 (四) spring boot shiro 整合(新版)
m0_37723564的博客
01-17 648
之前写了两篇有关shirospring的文章,结合目前java开发spring boot框架是大势,所以有必要将shirospring boot进行一次整合。我在使用spring boot的时候比较明显的一个感触就是原来spring的xml配置后面都使用java bean的形式替代了。总体看java代码的程度更加纯粹了。首先是springshiro整合所需要的一些依赖 <dependency> <groupId>org.apache.
Shiro-与Spring整合
BtWangZhi的博客
06-02 453
anon:不需要认证即可访问 authBasic: authc:需要认证即可访问 user:需要存在用户才可访问 logout:退出 perms授权 roles ssl安全协议 port端口号
ShiroSpring Security对比
热门推荐
零點的专栏
09-04 12万+
Shiro简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
Shiro 教程基于SSM(SpringMVC + Spring + Mybatis)EHCache版本
sojson.com站长的专栏
01-04 581
一、Shiro简介 Apache Shiro 是 Java  的一个安全框架。我们经常看到它被拿来和 Spring  的 Security  来对比。大部分人认为 Shiro  比 Security  要简单。我的观点赞成一半一半吧。 首先 Shiro  确实和 Security  是同类型的框架,主要用来做安全,也就是我们俗称的权限校验(控制)。居多人对 Shrio  的定义为好...
Spring 整合 Apache Shiro 实现各等级的权限管理
goodyuedandan的博客
08-10 9974
Spring 整合 Apache Shiro 实现各等级的权限管理  2015-10-25  JAVA, SECURITY, SHIROSPRING Background 前几个月在做一个常规的权限隔离功能的时候,恰好使用过Apache Shiro. Apache Shiro 是一款Java的安全框架,通常用作Web应用的权限校验,身份验证. A
Shiro整合Spring的配置及解释
↓ ↓ ↓ ↓
03-13 1826
Shiro整合Spring的配置详解1.首先加入ShiroSpring对应的jar包,我是使用的maven添加.附上pom文件:&lt;properties&gt; &lt;!-- spring版本 --&gt; &lt;spring.version&gt;4.1.7.RELEASE&lt;/spring.version&gt; &lt;!-- Shiro版本 --&gt...
ShiroSpringSecurity
最新发布
09-02
ShiroSpring Security都是Java Web应用安全框架,用于实现用户认证和授权功能。它们各有优势和适用场景。 根据引用,Shiro相对于Spring Security来说更容易使用,实现上更简单,并且基本的授权认证功能对大多数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值