Shiro核心配置类解析

最新推荐文章于 2024-08-11 22:20:54 发布
最新推荐文章于 2024-08-11 22:20:54 发布
阅读量113 收藏
点赞数 1
文章标签: java spring Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JavaMyDream/article/details/138825214
版权 
@Configuration
@Import({ShiroBeanConfiguration.class,
        ShiroAnnotationProcessorConfiguration.class,
        ShiroWebConfiguration.class,
        ShiroWebFilterConfiguration.class,
        ShiroRequestMappingConfig.class})
public class ShiroConfig {

    // 非注解版本
    // @Bean
    public ShiroFilterChainDefinition shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();

        // 以“admin”角色登录的用户
        chainDefinition.addPathDefinition("/login/**", "anon");
        chainDefinition.addPathDefinition("/admin/**", "authc, roles[ROLE_ADMIN]");

        // 具有“document:read”权限的登录用户
        chainDefinition.addPathDefinition("/docs/**", "authc, perms[sys:user:select]");

        // 所有其他路径都需要登录用户
        chainDefinition.addPathDefinition("/**", "authc");
        return chainDefinition;
    }

}

// 处理Shiro相关Bean的类,因为Shiro提供了EventBus机制,还有提供了初始化和销毁的类,用于整合Spring
class ShiroBeanConfiguration {

    // 处理Shiro的Bean初始化和销毁的后置处理器
    // 主要用来处理Destroyable,Initializable
    // 1. ((Destroyable) obj).destroy();
    // 2. ((Initializable) obj).init();
    @Bean
    @Override
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    // 事件分发器
    @Bean
    @Override
    protected EventBus eventBus() {
        return new DefaultEventBus();
    }

    // Bean的后置处理器,找Bean中是否存在shiro的@Subscribe的Bean,负责发送一步事件
    @Bean
    @Override
    public ShiroEventBusBeanPostProcessor shiroEventBusAwareBeanPostProcessor() {
        return new ShiroEventBusBeanPostProcessor(eventBus());
    }
}

// 处理授权认证注解的后置处理器
class ShiroAnnotationProcessorConfiguration {
    // 导入一个创建AOP代理对象的后置处理器
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    protected DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        return new DefaultAdvisorAutoProxyCreator();
    }

    // 导入一个人切面,为存在  new Class[] { RequiresPermissions.class, RequiresRoles.class,RequiresUser.class, RequiresGuest.class, RequiresAuthentication.class};
    // 这些注解的类生成代理对象,并且进行拦截
    @Bean
    protected AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

// Shiro的核心注解注册到SpringWeb中的配置,都是默认配置
class ShiroWebConfiguration {

    // 保存Subject的DAO
    @Bean
    @Override
    protected SubjectDAO subjectDAO() {
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        subjectDAO.setSessionStorageEvaluator(sessionStorageEvaluator());
        return subjectDAO;
    }

    // 控制哪些Session需要进行持久化
    @Bean
    @Override
    protected SessionStorageEvaluator sessionStorageEvaluator() {
        return new DefaultWebSessionStorageEvaluator();
    }

    // 创建Session的工厂
    @Bean
    @Override
    protected SessionFactory sessionFactory() {
        return new SimpleSessionFactory();
    }

    // 保存Session的DAO,默认保存在内存中
    @Bean
    @Override
    protected SessionDAO sessionDAO() {
        return new MemorySessionDAO();
    }

    // Shiro中存储Session(JSSessionId)Cookie的模板,Shiro会按照这个模板存储Session的相关信息
    @Bean(name = "sessionCookieTemplate")
    @Override
    protected Cookie sessionCookieTemplate() {
        return buildCookie(
                sessionIdCookieName,
                sessionIdCookieMaxAge,
                sessionIdCookiePath,
                sessionIdCookieDomain,
                sessionIdCookieSecure,
                sessionIdCookieSameSite);
    }

    // Shiro中处理Remember-Me的Cookie的模板,Shiro会按照这个模板存储Session的相关信息
    @Bean(name = "rememberMeCookieTemplate")
    @Override
    protected Cookie rememberMeCookieTemplate() {
        return buildCookie(
                rememberMeCookieName,
                rememberMeCookieMaxAge,
                rememberMeCookiePath,
                rememberMeCookieDomain,
                rememberMeCookieSecure,
                rememberMeSameSite);
    }

    protected Cookie buildCookie(String name, int maxAge, String path, String domain, boolean secure, Cookie.SameSiteOptions sameSiteOption) {
        Cookie cookie = new SimpleCookie(name);
        cookie.setHttpOnly(true);
        cookie.setMaxAge(maxAge);
        cookie.setPath(path);
        cookie.setDomain(domain);
        cookie.setSecure(secure);
        cookie.setSameSite(sameSiteOption);
        return cookie;
    }

    // 处理RememberMe的管理器
    @Bean
    @Override
    protected RememberMeManager rememberMeManager() {
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(rememberMeCookieTemplate());
        return cookieRememberMeManager;
    }

    // 创建Subject的工厂
    @Bean
    @Override
    protected SubjectFactory subjectFactory() {
        return new DefaultSubjectFactory();
    }

    // 创建授权管理器
    @Bean
    @Override
    protected Authorizer authorizer() {
        ModularRealmAuthorizer authorizer = new ModularRealmAuthorizer();
        if (permissionResolver != null) {
            authorizer.setPermissionResolver(permissionResolver);
        }
        if (rolePermissionResolver != null) {
            authorizer.setRolePermissionResolver(rolePermissionResolver);
        }
        return authorizer;
    }

    // 默认的认证策略,至少一个Realm处理成功
    @Bean
    @Override
    protected AuthenticationStrategy authenticationStrategy() {
        return new AtLeastOneSuccessfulStrategy();
    }

    // 认证管理器
    @Bean
    @Override
    protected Authenticator authenticator() {
        ModularRealmAuthenticator authenticator = new ModularRealmAuthenticator();
        authenticator.setAuthenticationStrategy(authenticationStrategy());
        return authenticator;
    }

    // Session会话管理器
    @Bean
    @Override
    protected SessionManager sessionManager() {
        if (useNativeSessionManager) {
            return nativeSessionManager();
        }
        return new ServletContainerSessionManager();
    }

    // 本地Session管理,默认使用Servlet的HttpSession,持久化机制不太好用,如果使用Shiro内置的Session就比较方便
    protected SessionManager nativeSessionManager() {
        DefaultWebSessionManager webSessionManager = new DefaultWebSessionManager();
        webSessionManager.setSessionIdCookieEnabled(sessionIdCookieEnabled);
        webSessionManager.setSessionIdUrlRewritingEnabled(sessionIdUrlRewritingEnabled);
        webSessionManager.setSessionIdCookie(sessionCookieTemplate());

        webSessionManager.setSessionFactory(sessionFactory());
        webSessionManager.setSessionDAO(sessionDAO());
        webSessionManager.setDeleteInvalidSessions(sessionManagerDeleteInvalidSessions);

        return webSessionManager;
    }

    // Shiro的核心主键,安全管理器
    @Bean
    @Override
    protected SessionsSecurityManager securityManager(List<Realm> realms) {
        SessionsSecurityManager securityManager = createSecurityManager();
        securityManager.setAuthenticator(authenticator());
        securityManager.setAuthorizer(authorizer());
        securityManager.setRealms(realms);
        securityManager.setSessionManager(sessionManager());
        securityManager.setEventBus(eventBus);
        if (cacheManager != null) {
            securityManager.setCacheManager(cacheManager);
        }
        return securityManager;
    }

    @Override
    protected SessionsSecurityManager createSecurityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setSubjectDAO(subjectDAO());
        securityManager.setSubjectFactory(subjectFactory());
        securityManager.setRememberMeManager(rememberMeManager());
        return securityManager;
    }

    // 默认的过滤器链定义信息,创建的过滤器会引用该Bean的配置,来定义过滤器的需要拦截的路径
    @Bean
    @Override
    protected ShiroFilterChainDefinition shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
        chainDefinition.addPathDefinition("/**", "authc");
        return chainDefinition;
    }

    // Shiro整合SpringMVC需要使用到的路径解析工具类,因为Shiro有自己的路径规则
    @Bean
    @Override
    protected ShiroUrlPathHelper shiroUrlPathHelper() {
        return new ShiroUrlPathHelper();
    }
}

// 注册Shiro整合SpringMVC的过滤器
@Configuration
public class ShiroWebFilterConfiguration {

    // 使用FactoryBean机制注册,内部注册核心过滤器SpringShiroFilter
    @Bean
    @Override
    protected ShiroFilterFactoryBean shiroFilterFactoryBean() {
        // 默认生成SpringShiroFilter类型的过滤器
        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();
        // 设置登录相关的属性配置
        filterFactoryBean.setLoginUrl(loginUrl);
        filterFactoryBean.setSuccessUrl(successUrl);
        filterFactoryBean.setUnauthorizedUrl(unauthorizedUrl);
        filterFactoryBean.setSecurityManager(securityManager);
        filterFactoryBean.setShiroFilterConfiguration(shiroFilterConfiguration());
        // 全局的过滤器,默认有一个为invalidRequest
        filterFactoryBean.setGlobalFilters(globalFilters());
        // 获取自定义的拦截过滤器链定义信息,这些定义的字符串最终会解析成过滤器会整到拦截器链中
        // 因此我们一般只需要定义它就能完成拦截配置,而不需要定义指定ShiroFilter
        filterFactoryBean.setFilterChainDefinitionMap(shiroFilterChainDefinition.getFilterChainMap());
        // 自定义的过滤器的Bean
        if (filterMap != null) {
            filterFactoryBean.setFilters(filterMap);
        }
        return filterFactoryBean;
    }

    // 全局配置
    @Bean(name = "globalFilters")
    protected List<String> globalFilters() {
        // 默认存在全局的过滤器为invalidRequest
        return Collections.singletonList(DefaultFilter.invalidRequest.name());
    }
}

// 重写SpringMVC中RequestMappingHandlerMapping的URL解析器
@Configuration
public class ShiroRequestMappingConfig {
    // 重写SpringMVC中RequestMappingHandlerMapping的URL解析器
    public ShiroRequestMappingConfig(RequestMappingHandlerMapping requestMappingHandlerMapping) {
        requestMappingHandlerMapping.setUrlPathHelper(new ShiroUrlPathHelper());
    }
}

安缇吖
关注
shiro 配置文件
01-06
从web.xml到spring 配置shiro的使用
springboot Shiro 配置
01-25 1049
ckage org.fh.config; import org.apache.shiro.cache.ehcache.EhCacheManager; import org.apache.shiro.spring.LifecycleBeanPostProcessor; import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor; import org.apache.shiro.spring..
Shiro详解
最新发布
weixin_57356976的博客
08-11 505
在web.xml文件里配置shiro的过滤器shiroFilter,DelegatingFilterProxy实际上是Filter的一个代理对象,默认情况下,Spring会到IOC容器查找和对应的filter bean,也可以通过targetBeanName的初始化参数来配置filter bean的id:</</</</</</</</</</</</
springboot整合shiro (一) ShiroConfig配置编写
m0_67402731的博客
04-08 560
shiro实现用户登录认证需要三个核心api Subject 用户主体 SecurityManager 安全管理器 Realm 连接数据的桥梁 1. 导入shiro的maven依赖 导入shirospring整合的依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <
shiro通用配置
weixin_44835475的博客
09-08 269
@Configuration public class ShiroConfig { //安全器管理-管理所有的subject @Bean public SecurityManager securityManager(UserRealm userRealm){ DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager(); securityManager.setRe
shiro安全框架配置
w1939481704的博客
05-06 110
shiro安全框架 package com.aaa.wyl.config; import com.aaa.wyl.realm.MyRealm; import org.apache.shiro.authc.credential.CredentialsMatcher; import org.apache.shiro.authc.credential.HashedCredentialsMatcher; import org.apache.shiro.crypto.hash.Md5Hash; import org
spring boot整合shiro安全框架过程解析
08-25
"spring boot整合shiro安全框架过程解析" spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 ...
Spring Boot 整合 Shiro+Thymeleaf过程解析
08-25
然后,需要编写配置配置 Shiro 的安全管理器(SecurityManager)。SecurityManager 是 Shiro核心组件,负责身份验证、授权和会话管理等功能。 在配置中,需要注入 UserRealm 对象,UserRealm 是 Shiro 的 ...
Springboot和bootstrap实现shiro权限控制配置过程
08-19
1. 配置Shiro的Realm:Shiro的Realm是权限控制的核心组件,负责用户的认证和授权。在SpringBoot中,可以使用Shiro的Realm实现配置Realm。 2. 配置Shiro的Filter:Shiro的Filter是权限控制的入口点,负责拦截用户...
shiro1.7.1.zip
04-12
8. **shiro-config-core-1.7.1.jar**:基础配置模块,包含配置解析和加载的相关。 9. **shiro-ehcache-1.7.1.jar**:Shiro的EhCache缓存支持,用于存储session等信息,提高性能和减少数据库压力。 在使用Shiro ...
shiro之深度解析FormAuthenticationFilter
热门推荐
波波烤鸭的博客
04-30 3万+
  shiro是我们在项目经常使用到的权限管理框架,本文我们就重点来分析FormAuthenticationFilter的验证过程。 FormAuthenticationFilter 1.继承结构   我们首先来看下FormAuthenticationFilter的继承结构,这样更加便于我们去分析 2.父的作用   从上面的继承结构图里我们发现FormAuthenticationFilter的...
Shiro原理+配置
05-25
三个核心组件:Subject, SecurityManager 和 Realms. Subject:即"当前操作用户"。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他似事物。它仅仅意味着"当前跟软件交互的东西"。但考虑到大多数目的和用途,你可以把它认为是Shiro的"用户"概念。 Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。 SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。 Realm: Realm充当了Shiro与应用安全数据间的"桥梁"或者"连接器"。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
基于Spring框架的Shiro配置方法
09-04
主要介绍了基于Spring框架的Shiro配置方法,需要的朋友可以参考下
Shiro学习(3)shiroConfig配置
m0_67403240的博客
08-24 1920
配置原理:对SecurityManager来说他管理了所有的Realm,通过这些代码获取了Realm管理信息。注意SecurityManager导包,是shiro的SecurityManager。可以直接创建CustonRealm这个对象,也可以通过Realm创建。在web程序中,shiro进行权限控制是通过一组过滤器集合进行的操作。3、通用配置(跳转登录页面,为授权跳转的页面)4、开启对shiro注解的支持。3、配置shiro过滤器工厂。
Shiro配置及使用
qq_45733154的博客
10-21 2951
Shiro,Springboot整合Shiro,Shiro实现登录拦截,Shiro实现用户认证,用户授权,Shiro整合Thymeleaf
Shiro配置中的各个配置项浅谈
2401_83396248的博客
04-15 751
通过对 Shiro 配置中各个配置项的详细解释,可以更好地理解每个配置项的作用和含义,以及为什么要进行这些配置。这些配置项的设置可以根据具体的需求进行调整,以满足应用程序的安全性和功能性要求。上文中在落地实践时,对Shiro进行了相关的配置,并未对其含义作用进行详细学习,本章将进一步详解其作用含义。
shiro基本配置
m0_67393413的博客
08-24 313
”.equals(password)){if(hexpassword.equals(user.getPassword())){System.out.println(“验证成功”);
shiro配置详解
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
08-24 2783
*Shiro 从 ****Realm 获取安全数据(如用户、角色、权限),****就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作.5.添加shirospring集成的配置文件application-shiro.xml。4.首先在web.xml中加入shiro过滤器。2.shiro架构的核心内容介绍。且其管理着所有Subject。7.自定义realm。
Apache Shiro权限框架核心功能解析
8. **测试支持(Testing)**:Shiro提供了测试,方便开发者在单元测试和集成测试中模拟安全环境。 9. **RunAs**:此功能允许用户以另一个用户的身份运行,这对于权限模拟或临时提升权限场景很有用。 10. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值