Shiro整合SpringMVC之web搭建

最新推荐文章于 2022-08-24 02:30:23 发布
置顶 最新推荐文章于 2022-08-24 02:30:23 发布
阅读量472 收藏 1
点赞数 2
分类专栏: shiro 文章标签: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_24352355/article/details/80682058
版权

项目框架:Spring + SpringMvc + Shiro + Mybatis + Redis

本章的源码地址:https://download.csdn.net/download/baidu_24352355/10476943

Shiro认证与授权的在Web中实现

第一步:添加依赖

<!-- shiro -->
   <dependency>
     <groupId>org.apache.shiro</groupId>
     <artifactId>shiro-core</artifactId>
     <version>1.4.0</version>
   </dependency>
   <dependency>
     <groupId>org.apache.shiro</groupId>
     <artifactId>shiro-spring</artifactId>
     <version>1.4.0</version>
   </dependency>


第二步:配置web.xml 

<!-- shiro 过滤器 start -->
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <!-- 设置true由servlet容器控制filter的生命周期 -->
    <init-param>
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  <!-- shiro 过滤器 end -->

第三步:自定义Realm继承AuthorizingRealm,重写AuthorizationInfo(授权)和AuthenticationInfo(认证)

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">

    <bean id="shiroFilter"
          class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"></property>
        <property name="loginUrl" value="login.jsp"></property><!-- 没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面 -->
        <property name="unauthorizedUrl" value="error.jsp"></property><!-- 没有权限默认跳转的页面 -->
        <property name="filterChainDefinitions">
            <value><!-- 自上到下 --><!-- anon:表示可以匿名使用。 authc:表示需要认证(登录)才能使用,没有参数.  roles["admin,guest"],每个参数通过才算通过,user表示必须存在用户 -->
                /login.jsp = anon
                /subLogin = anon
                /testRoles = roles["admin"]
                /testRoles1 = rolesOr["admin","admin1"]
                /testPerms = perms["user:delete"]
                /testPerms1 = perms["user:delete","user:updata"]
                /* = authc
            </value>
        </property>
        <property name="filters">
            <map>
                <entry key="rolesOr" value-ref="rolesOrFilter" />
            </map>
        </property>
    </bean>

    <!-- 自定义权限filter -->
    <bean id="rolesOrFilter" class="com.shiro.filter.RolesOrFilter" />

    <!-- 创建SecurityManager对象 -->
    <bean id="securityManager"
          class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="realm" />
        <property name="sessionManager" ref="sessionManager" />
        <property name="cacheManager" ref="cacheManager" />
        <property name="rememberMeManager" ref="cookieRememberMeManager" />
    </bean>

    <!-- 自定义Realm -->
    <bean id="realm" class="com.shiro.realm.CustomRealm">
        <property name="credentialsMatcher" ref="credentialsMatcher" ></property>
    </bean>

    <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
        <property name="hashAlgorithmName" value="md5" />
        <property name="hashIterations" value="1" />
    </bean>
    <!-- 自定义SessionManager -->
    <bean class="com.shiro.session.CustomSessionManager" id="sessionManager">
        <property name="sessionDAO" ref="redisSessionDao"></property>
    </bean>

    <bean class="com.shiro.session.RedisSessionDao" id="redisSessionDao"></bean>

    <bean class="com.shiro.cache.RedisCacheManager" id="cacheManager"></bean>

    <!-- 自动登录 -->
    <bean class="org.apache.shiro.web.mgt.CookieRememberMeManager" id="cookieRememberMeManager">
        <property name="cookie" ref="cookie"></property>
    </bean>

    <bean class="org.apache.shiro.web.servlet.SimpleCookie" id="cookie">
        <constructor-arg name="name" value="rememberMe" />
        <property name="maxAge" value="20000000" />
    </bean>

</beans>
一些属性的意义:

  • securityManager: 这个属性是必须的。

  • loginUrl: 没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。

  • successUrl: 登录成功默认跳转页面,不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面,则在登录自动跳转到那个需要登录的页面。不跳转到此。

  • unauthorizedUrl: 没有权限默认跳转的页面。

Shiro中默认的过滤器:
过滤器名称过滤器类描述
anonorg.apache.shiro.web.filter.authc.AnonymousFilter匿名过滤器
authcorg.apache.shiro.web.filter.authc.FormAuthenticationFilter如果继续操作,需要做对应的表单验证否则不能通过
authcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter基本http验证过滤,如果不通过,跳转屋登录页面
logoutorg.apache.shiro.web.filter.authc.LogoutFilter登录退出过滤器
noSessionCreationorg.apache.shiro.web.filter.session.NoSessionCreationFilter没有session创建过滤器
permsorg.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter权限过滤器
portorg.apache.shiro.web.filter.authz.PortFilter端口过滤器,可以设置是否是指定端口如果不是跳转到登录页面
restorg.apache.shiro.web.filter.authz.HttpMethodPermissionFilterhttp方法过滤器,可以指定如post不能进行访问等
rolesorg.apache.shiro.web.filter.authz.RolesAuthorizationFilter角色过滤器,判断当前用户是否指定角色
sslorg.apache.shiro.web.filter.authz.SslFilter请求需要通过ssl,如果不是跳转回登录页
userorg.apache.shiro.web.filter.authc.UserFilter如果访问一个已知用户,比如记住我功能,走这个过滤器

第五步:在spring-mvc.xml中配置权限的控制 异常的跳转

<!-- 保证 Shiro内部生命周期 -->
<bean class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>

<!-- 开启Shiro授权生效 -->
<bean 
class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>

第六步:在controller中测试使用的验证登录

@RequestMapping(
			value="/subLogin", 
			method= RequestMethod.POST,
			produces="application/json;charset=utf-8")
	@ResponseBody
	public String subLogin(User user) {
		
		Subject subject = SecurityUtils.getSubject();
		
		UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword());
		
		try {
			token.setRememberMe(user.isRememberMe());
			subject.login(token);
		} catch (Exception e) {
			return e.getMessage();
		}
		
		// 编码方式判断是否具有管理员身份
		if (subject.hasRole("admin")) {
			return "有admin权限";
		}
		
		return "无admin权限";
	}


会话管理SessionManager

这里主要是结合了redis进行Sesssion的管理,自定义了RedisSessionDao

<!-- 自定义SessionManager -->
   <bean class="com.shiro.session.CustomSessionManager" id="sessionManager">
       <property name="sessionDAO" ref="redisSessionDao"></property>
   </bean>

   <bean class="com.shiro.session.RedisSessionDao" id="redisSessionDao"></bean>

自定义CustomSessionManager

/**
 * @author Luke
 * @date 2018/6/11.
 */
public class CustomSessionManager extends DefaultWebSessionManager {

    @Override
    protected Session retrieveSession(SessionKey sessionKey) throws UnknownSessionException {
        Serializable sessionId = getSessionId(sessionKey);
        //获取request
        ServletRequest request = null;
        if (sessionKey instanceof WebSessionKey) {
            request = ((WebSessionKey) sessionKey).getServletRequest();
        }
        //若request不为空,并且sessionID不为空,则从request中获取session
        if (request != null && sessionId != null) {
            Session session = (Session) request.getAttribute(sessionId.toString());
            //获取到的session不为空,则返回
            if (session != null) {
                return session;
            }
        }

        //否则从redisSessionDao中获取session
        Session session = super.retrieveSession(sessionKey);
        //若获取的session不为空,则设值到request的作用域中
        if (request != null && sessionId != null) {
            request.setAttribute(sessionId.toString(), session);
        }

        return session;
    }
}
缓存管理CacheManager,也是结合Redis,从redis中获取缓存数据,提高性能
<bean class="com.shiro.cache.RedisCacheManager" id="cacheManager"></bean>

public class RedisCacheManager implements CacheManager {

    @Autowired
    private RedisCache redisCache;

    @Override
    public <K, V> Cache<K, V> getCache(String s) throws CacheException {
        return redisCache;
    }
}


只贴出部分源码,详细的请下载源码运行,内含sql脚本(resources/shiro.sql)

本文来自:Shiro整合SpringMVC之web搭建

更多博客请查看个人博客:https://blog.luke-lu.cn


Luke_卢
关注
专栏目录
Spring MVC + shiro的权限控制框架的搭建
qq_37031675的博客
12-05 191
一.权限的几个定义 subject:主体,表示系统的操作用户 资源:作为开发者,主要考虑的是细粒度的资源,也就是对于系统的界面点击权限;例如查看列表的按钮 角色:不同的角色有不同的权限;同样,不同的用户有可能多个角色;这就相当于有多对多的关系 设计数据库时,我们会采用admin管理员表,role角色表,permission权限表;以及中间多对多关系admin-role,role-permiss表等...
shiro+springmvc整合
03-25
总之,Apache ShiroSpring MVC的整合为开发者提供了一种简单有效的方式来实现Web应用的安全管理。通过灵活的配置和扩展,开发者可以快速构建出具备用户认证、授权功能的系统,提升应用的安全性。
Spring+SpringMVC+MyBatis+Shiro+Maven集成web项目
12-08
Spring+SpringMVC+MyBatis+Shiro+Maven集成web项目 可以直接使用
Shiro 整合SpringMVC 并且实现权限管理,登录和注销
weixin_33682719的博客
12-01 176
Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。   因为我总结的是使用SpringMVC和Apache Shiro整合,注重的是整合和使用,至于基础,我这里就不...
Shiro集成SpringMVC
海客森
06-27 995
一个非凡的网站 http://www.hikson.com,RJ海客森 视频录制 git地址:https://gitee.com/hikseason/demo-spring-boot-all.git 视频地址:https://pan.baidu.com/s/19mrxCE9Y5R5ntSEg_EReOg 1.Shiro集成SpringMVC 就是定了了个过滤器shiroF...
shiro学习:shiro整合SpringMVCweb项目
刘大磊的博客
10-22 668
一、准备环境 与其它java开源框架类似,将shiro的jar包加入项目就可以使用shiro提供的功能了。shiro-core是核心包必须选用,还提供了与web整合shiro-web、与spring整合shiro-spring、与任务调度quartz整合shiro-quartz等,下边是shiro各jar包的maven坐标。 org.apache.shiro shiro
Apache Shiro+SpringMVC企业信息管理系统基础框架搭建整合实例代码教程.rar
最新发布
01-28
3. **整合SpringMVC**:在SpringMVC的配置文件中,配置Shiro的Filter,并将Shiro的Service注入到Spring容器中。这样,Shiro可以通过Spring的依赖注入(DI)机制来访问和控制其他服务。 4. **使用Hibernate Search**...
shiro+ springMVC + Redis+mysql 实现 单点登录
12-06
"Shiro+SpringMVC+Redis+MySQL实现单点登录"是一个典型的系统安全架构,它整合了多个技术组件来构建一个高效、可靠的单点登录(Single Sign-On, SSO)解决方案。以下是关于这个主题的详细知识点: 1. **Apache ...
shiro+springMVC+Mybatis
12-28
在这个场景中,我们关注的是"shiro+springMVC+Mybatis"的整合应用,这是一种常见的技术栈,用于搭建基于Java的Web应用。这三个框架的结合,旨在提供用户认证、授权、会话管理和数据库操作等功能。 首先,让我们深入...
Shiro+SpringMVC+Hibernate Search+Hibernate+Bootstrap企业信息管理系统基础框架搭建整合实例代码教程
06-22
Apache Shiro + SpringMVC + Hibernate Search + Hibernate + Bootstrap企业信息管理系统基础框架搭建整合实例代码教程,这是一个典型的Java Web开发中的技术栈组合,用于构建高效、安全的企业级信息系统。...
springmvc集成shiro
08-29
springmvc集成shiro安全框架,实现用户身份认证、权限管理
spring+springMVC+shiro 完美例子
04-15
非常完美的spring+springMVC+shiro 完美例子实现权限认证,相信你一定会喜欢,里面有文档说明
shiro整合SpringMVC
心有猛虎,细嗅蔷薇
08-11 408
一、前言 前面我们主要讲解了写什么,讲解通过ini文件加载,自定义realm源(ishi加密),对用户认证和权限授权。这一章开始,我们开始整合shrio到web项目中,当然还是与我们之前的springmvc与mybatis整合。这里的mybatis不强求,如果你整合的时候也可以用hibernate,只不过是另一个数据框架。 二、整合spring 2.1 基础框架 语言准备好基础框架:s
Shiro--集成SpringMVC
吴声子夜歌的博客
02-09 193
web.xml 添加shiro的过滤器: DelegatingFilterProxy作用是自动到spring容器查找名字为shiroFilter(filter-name)的bean并把所有Filter的操作委托给它。然后将ShiroFilter配置到spring容器即可。 <!-- shiro过虑器 --> <filter> <filter-name>s...
shirospringMVC整合
web13985085406的博客
08-24 949
此realm先不从数据库查询权限数据/***** 自定义Realm***/@Override}// 支持什么类型的token@Override}/**** 获取授权信息*///先自定义一个query权限,就不从数据库查询了= null) {//权限}}/**** 获取认证信息** 问题:如何在登录后不再进登录页面了呢???????????????????????????*/// 通过表单接收的用户名= null &&!if (user!
springmvc集成shiro(java安全框架)
UserGuan的博客
09-05 1367
什么是shiro pom.xml文件 jdbc.properties配置文件 spring-context.xml配置文件 spring-mybatis.xml配置文件 spring-shiro.xml配置文件 web.xml配置文件 userMapper.xml文件 Md5Util加密工具类 MyRealm工具类 User实体 UserDao层 UserService接口......
spring 整合 shiro_Shiro 整合 Spring/SpringMVC Shiro(二)
weixin_39626927的博客
11-26 151
“Apache Shiro™是一个功能强大且易于使用的Java安全框架,它执行身份验证,授权,加密和会话管理。”1. 搭建 SpringMVC 的环境要整合 SpringMVC 就必须先搭建 SpringMVC 的环境, 这不是本文的重点, 帅帅只把配置给大家, 大家自行复制黏贴或者看看就好.1.1 pom.xml<project xmlns="http://maven.apac...
SpringMVC+Mybatis+Shiro环境搭建
ld3205的博客
05-18 508
SSM+Shiro: 1.利用IDEA快速创建SpringMVC环境 2.整合Spirng ⑴Web.xml中添加相关配置: 使用IDEA直接创建SpringMVC项目的话,不用再执行这一步,因为IDEA已经将springspringmvc整合进来.对于配置文件,默认是applicationContext.xml,在WEB-INF下,如果修改,可如下: <cont...
springMVC 整合shiro
cuiyuanjie的博客
08-12 1682
本人小白一枚,初次接触shiro,花了两天时间搞了一下可算能用了,当然虽然spring security功能更强大,但是太繁琐了,不容易入门,并且shiro功能感觉也完全够用了;各位童鞋可以参考别人的文章:http://jinnianshilongnian.iteye.com/blog/2049092 1、web.xml中增加spring-shiro.xml配置 contextC
SpringMVC整合Shiro实现登录权限控制详解
SpringMVCShiro的集成使得我们在Web应用中实现安全控制变得简单而高效。通过配置Shiro,我们可以轻松地实现用户登录验证、权限分配,以及对敏感资源的访问控制,从而提高应用的安全性。在实际开发中,根据项目的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值