spring shiro

最新推荐文章于 2022-10-19 23:37:50 发布
最新推荐文章于 2022-10-19 23:37:50 发布
阅读量590 收藏
点赞数
分类专栏: spring shiro

Shiro详细配置-基于Spring3.2 shiro2.2

您的评价:
         
 
  收藏该经验    

项目包图:

web.xml关键配置

<context-param> 
<param-name>contextConfigLocation</param-name>
<param-value>
/WEB-INF/classes/applicationContext.xml
/WEB-INF/classes/spring-shiro.xml
</param-value> 
</context-param>

spring-shiro.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:util="http://www.springframework.org/schema/util"
xmlns:aop="http://www.springframework.org/schema/aop"  
xsi:schemaLocation="http://www.springframework.org/schema/beans 
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd   
    http://www.springframework.org/schema/util 
    http://www.springframework.org/schema/util/spring-util-3.0.xsd">
<description>Shiro 配置</description>

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" />
<property name="loginUrl" value="/login.jsp" />
<property name="successUrl" value="/login.jsp" />
<property name="unauthorizedUrl" value="/error/noperms.jsp" />

<property name="filterChainDefinitions">
<value>
/login.jsp* = anon
/login.do* = anon
/index.jsp*= anon
/error/noperms.jsp*= anon
/*.jsp* = authc
/*.do* = authc
</value>
</property>
</bean>

<bean id="monitorRealm" class="com.shiro.security.MonitorRealm">
  <property name="credentialsMatcher">
           <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
               <property name="hashAlgorithmName" value="MD5"/>
             <!--   true means hex encoded, false means base64 encoded -->
               <property name="storedCredentialsHexEncoded" value="true"/>
               <!-- 迭代次数 -->
               <property name="hashIterations" value="2" />
           </bean>
          </property> 
</bean>

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 基于ehCache来缓存用户认证信息和授权信息的实现 -->
 <property name="cacheManager" ref="cacheManager"/>
<!-- sessionMode参数设置为native时,那么shrio就将用户的基本认证信息保存到缺省名称为shiro-activeSessionCache 的Cache中 -->
        <property name="sessionMode" value="native" />
<!--设置自定义realm -->
<property name="realm" ref="monitorRealm" />
</bean>

    
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManager" ref="ehCacheManager"/>
   <property name="cacheManagerConfigFile" value="classpath:shiro_ehcache.xml"/> 
    </bean>


<bean id="ehCacheManager" class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean"/>




<!-- securityManager -->
<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
<property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager" />
<property name="arguments" ref="securityManager" />
</bean>

<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

<!-- AOP式方法级权限检查  -->
<bean
class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor" />

<bean
class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager" />
</bean>

</beans>


MonitorRealm.java

package com.shiro.security;


import java.util.ArrayList;
import java.util.List;


import org.apache.shiro.authc.AccountException;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.cache.Cache;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.SimplePrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;


import com.shiro.mapper.RoleMapper;
import com.shiro.mapper.UserMapper;
import com.shiro.model.Resc;
import com.shiro.model.Role;


public class MonitorRealm extends AuthorizingRealm {


@Autowired
private UserMapper userMapper;
@Autowired
private RoleMapper roleMapper;


public MonitorRealm() {
super();
setAuthenticationTokenClass(UsernamePasswordToken.class);
          System.out.println("monitorRealm");
}


    /**
     * 验证
     */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
 
System.out.println("monitorRealm-验证");
/* 这里编写认证代码 */
UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
        String username = token.getUsername();
        if (username == null) {
            throw new AccountException("Null usernames are not allowed by this realm.");
        }
        String password = userMapper.getPassword(username).getPassword();
        if (password == null) {
            throw new UnknownAccountException("No account found for user [" + username + "]");
        }
        
        SimpleAuthenticationInfo saInfo = new SimpleAuthenticationInfo(username, password, getName());
        //用用户名填盐
        saInfo.setCredentialsSalt(ByteSource.Util.bytes(username));
return saInfo;
}


/**
     * 授权
     */
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
  System.out.println("monitorRealm-授权");
  String username = (String) principals.fromRealm( getName() ).iterator().next();
 // System.out.println(username);
  
  if( username != null ){
  SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
  info.addRole(username);
  info.addStringPermissions(   this.Topermissions( userMapper.selectUserRole(username).getRoles()) );
  
//   for(String str :   this.Topermissions( userMapper.selectUserRole(username).getRoles()) ){
//   System.out.println(str );
//   }
   return info;
  }
      return null;
}
   
   /**
    * 遍历角色得到资源
    */
   public List<String> Topermissions(List<Role> roles ){
  List<String>  permissions= new ArrayList<String>();
  for( Role role : roles ){
       permissions.addAll(   this.ToResc(    roleMapper.selectRoleResc(role.getRoleId()).getRescs()      )    );
  }
  return permissions;
   }

   /**
    * 遍历某个角色的资源
    */
public List<String > ToResc( List<Resc> rescs  ){
List<String > resStrings = new ArrayList<String>();
for ( Resc resc :rescs   ){
resStrings.add(resc.getResString());
}
return resStrings;
}

/**
 * 更新用户授权信息缓存.
 */
public void clearCachedAuthorizationInfo(String principal) {
 SimplePrincipalCollection principals = new SimplePrincipalCollection(principal, getName());
 clearCachedAuthorizationInfo(principals);
}
 
/**
* 清除所有用户授权信息缓存.
*/
public void clearAllCachedAuthorizationInfo() {
Cache<Object, AuthorizationInfo> cache = getAuthorizationCache();
if (cache != null) {
for (Object key : cache.keys()) {
cache.remove(key);
}
}
}
 
 
 
 
public UserMapper getUserMapper() {
return userMapper;
}


public void setUserMapper(UserMapper userMapper) {
this.userMapper = userMapper;
}


public RoleMapper getRoleMapper() {
return roleMapper;
}


public void setRoleMapper(RoleMapper roleMapper) {
this.roleMapper = roleMapper;
}

}




UserController.java

package com.shiro.controller;


import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.ExcessiveAttemptsException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.mvc.multiaction.MultiActionController;


import com.shiro.model.User;
import com.shiro.service.UserService;


@Controller
@RequestMapping("/user")
public class UserController extends MultiActionController {


@Autowired
private UserService userService;


@RequestMapping("/login")
public  ModelAndView login( User user )  {

ModelAndView mv = new ModelAndView();

Subject currentUser = SecurityUtils.getSubject();

       
//前台传过来时应该用JS加密一次
String  minwen=new Md5Hash( user.getPassword() ).toHex();
System.out.println( minwen);

UsernamePasswordToken token = new UsernamePasswordToken( user.getUserName() , minwen);

//记住我功能不是记住密码而是在整个会话过程记住会话ID,对未登录用户时用购物车有点用
/*
if( rememberMe != null ){
if( rememberMe ){
token.setRememberMe(true);
}
}
*/
try {
  currentUser.login(token);
} catch (UnknownAccountException uae ) { 
mv.addObject("info", "用户名不存在系统!");
mv.setViewName("/erro");
} catch (IncorrectCredentialsException ice ) { 
mv.addObject("info", "密码错误!");
mv.setViewName("/erro");
} catch (LockedAccountException lae ) { 
mv.addObject("info", "用户已经被锁定不能登录,请与管理员联系!");
mv.setViewName("/erro");
} catch (ExcessiveAttemptsException eae ) { 
mv.addObject("info", "错误次数过多!");
mv.setViewName("/erro");
} catch (AuthenticationException ae ) {
mv.addObject("info", "其他的登录错误!");
mv.setViewName("/erro");
}
//验证是否成功登录的方法
if(currentUser.isAuthenticated()){
//在session生命周期内有效
System.out.println("进入isAuthenticated");
mv.setViewName("/main");
}   
return mv;

}

@RequestMapping("/do")
public  ModelAndView do_(  )  {
ModelAndView mv = new ModelAndView();

Subject currentUser = SecurityUtils.getSubject();

if( currentUser.hasRole("超级管理员")){
mv.addObject("info", "没有这个角色!");
mv.setViewName("/lognTest");
}else{
if(currentUser.isPermitted("/user/do")){
mv.addObject("info", "do!");
mv.setViewName("/success");
}else{
mv.addObject("info", "do!");
mv.setViewName("/lognTest");
}
}
return mv;
}

@RequestMapping("/out")
public  ModelAndView out(  )  {
ModelAndView mv = new ModelAndView();
Subject currentUser = SecurityUtils.getSubject();
if( currentUser.hasRole("超级管理员")){
mv.addObject("info", "没有这个角色!");
mv.setViewName("/lognTest");
}else{
if(currentUser.isPermitted("/user/out")){
mv.addObject("info", "do!");
mv.setViewName("/success");
}else{
mv.addObject("info", "out!");
mv.setViewName("/lognTest");
}
}
return mv;
}

@RequestMapping("/test")
public  ModelAndView test(  )  {
ModelAndView mv = new ModelAndView();
Subject currentUser = SecurityUtils.getSubject();
if( currentUser.hasRole("超级管理员")){
mv.addObject("info", "没有这个角色!");
mv.setViewName("/lognTest");
}else{
if(currentUser.isPermitted("/user/test")){
mv.addObject("info", "test!");
mv.setViewName("/success");
}else{
mv.addObject("info", "test!");
mv.setViewName("/lognTest");
}
}

return mv;
}


public UserService getUserService() {
return userService;
}


public void setUserService(UserService userService) {
this.userService = userService;
}

}



login.jsp <form id=loginform method=post name=loginform action="<%=path %>/user/login">
用户名:<input type=text id=userName name=userName class="input_border" maxlength=16/> <p/>
密码:<input type=password id=password name=password class="input_border"/>
<br>
<input  type="submit"  value="登录" />
</form>
ccecwg
关注
专栏目录
权限验证框架Shiro使用详解
想作会飞的鱼的博客
06-08 6124
一、简介Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。是一个很不错的安全框架。 它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情: 验证用户 对用户执行访问控制,如: 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限 在任何环境下使用 Session API。例如CS程序。 可以使
springshiro
06-24
SpringShiro是一个集成框架,将Spring的依赖注入和管理能力与Apache Shiro的安全功能相结合,以实现更加灵活、高效的企业级应用安全控制。在本项目中,它还整合了MongoDB数据库,提供了一种非关系型数据库的支持,...
Shiro详细配置-基于Spring3.2 shiro2.2
LeeJohn_专栏
08-16 1241
项目包图: web.xml关键配置   contextConfigLocation /WEB-INF/classes/applicationContext.xml /WEB-INF/classes/spring-shiro.xml   spring-shiro.xml xmlns:xsi="http://www.w3.org/2001/X
Shiro安全框架入门使用方法
热门推荐
宋铮的博客
08-15 1万+
框架介绍Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任 何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shrio的主要功能: Authentication:用户认证(登录) Authorization:权限控制 Session Management:会话管理 Cryptogr
1.shiro框架的使用
qq_40674333的博客
08-16 216
1.shiro4中pom.xml中进行相应的配置 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-cache</artifactId> </dependency> <dependency> <groupId&g
Shiro 安全框架-简单使用
居無何的博客
06-23 575
常用功能核心组件:Subject (当前操作用户及其操作)、SecurityManager(安全管理器)、Realms(数据源,操作数据源)。 RBAC(Rela Based Access Controller 基于角色访问的),在数据库中就是角色表、行为表、权限表之间的关系绑定,权限绑定角色和行为。...
spring shiro整合
11-10
在IT行业中,Spring Shiro整合是一项常见的安全框架搭建技术,主要应用于Java Web开发。Spring MVC作为主流的MVC框架,负责处理HTTP请求和业务逻辑,MyBatis则为持久层框架,负责数据库交互,而Apache Shiro则是一个...
spring shiro整合入门
08-03
Spring Shiro 整合入门教程 在Web应用开发中,安全是至关重要的一个环节。Spring框架作为Java领域最流行的框架之一,提供了丰富的功能,而Apache Shiro则是一款强大的安全管理框架,专注于身份验证、授权和会话管理...
Spring Shiro学习系统 v1.4.0.zip
最新发布
04-02
Spring Shiro学习系统 v1.4.0》是一个针对Java开发者的学习资源,它整合了Spring框架和Apache Shiro安全框架,旨在帮助用户理解和掌握如何在实际项目中应用这两个技术进行权限管理和认证。该资源包括源码源代码,...
Spring Shiro 学习系统 Spring-Shiro-training
01-30
Spring Shiro 学习系统是针对Java开发人员设计的一个教程,特别适合那些正在探索权限管理和认证解决方案的初学者。Spring Shiro-training项目旨在提供一个综合的学习环境,帮助开发者理解和掌握如何在Spring应用中...
Shiro 权限框架使用总结
11-24
Shiro 权限框架使用总结,shiro入门级的文档资料。
Shiro安全框架的使用
沉浸式Study
08-06 1242
Shiro执行流程 : spring配置文件==&amp;amp;amp;gt;Subject==&amp;amp;amp;gt;安全管理器SecurityManager==&amp;amp;amp;gt;Realm Shiro拦截方式 : 1.URL拦截(常用) 2.注解方式拦截(常用) 3.标签拦截 4.编码判断拦截 1.在maven中添加坐标 &amp;amp;amp;lt
shiro框架的介绍及使用
白面小生的博客
10-15 747
  下面附上shiro链接,有空整理一下这个强大的框架。 https://www.cnblogs.com/tohxyblog/p/6870261.html
使用shiro框架的问题
ruanwenjun_csdn的博客
04-01 606
Shiro框架是一款用于控制权限的框架 ,使用shiro框架之后当退出登的时候会自动清除存在session中的用户,所以无须在logout方法中手动清除,当手动清除的时候会报错说session已经清空了...
安全框架——Shiro使用教程
weixin_38938338的博客
12-09 471
文章目录1. 下载2. 单机测试3. SSM整合教程4. SpringBoot整合教程附录1:新建Spring工程附录2:新建SpringBoot工程 1. 下载 官网地址 选择Source Code Distribution,下载,解压 2. 单机测试 需要的jar包 shiro-all.jar log4j.jar slf4j-api.jar slf4j-log4j12.jar 官方shiro.ini文件:\samples\quickstart\src\main\resources\shiro
Shiro权限安全框架的使用
gdxdekx的博客
10-19 1279
该方法只是获取进行对比的信息,认证逻辑还是按照Shiro底层认证逻辑完成需要通过配置使自定义的realm生效,目前在ini文件中配置,之后在springboot中配置。
Shiro
余笙的博客
05-02 423
一、Shiro概述 1、什么是Shiro Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 2、为什么要学Shiro shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快...
Shiro框架基本知识及应用
qq_46416934的博客
04-25 1226
1. Shiro 基本知识 1. 目前市面主流的安全框架: shiro:轻量级的,使用很方便,灵活,是apache提供的,在任何框架的 SpringSecurity:是Spring家族的一部分,很多项目中会使用spring全家桶,相对与shiro来说,springSecurity更重量级,必须要求spring环境;相对shiro而言,功能更强大 2. 什么是Shiro Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证、权限授权、加密、会话管理等功能
权限框架——shiro的使用看这篇就够了
博渊的博客
04-23 4206
关于shiro的学习推荐官网: 链接地址: http://shiro.apache.org/ 一、ACL和RBAC ACL: Access Control List 访问控制列表 以前盛行的一种权限设计,它的核心在于用户直接和权限挂钩 优点:简单易用,开发便捷 缺点:用户和权限直接挂钩,导致在授予时的复杂性,比较分散,不便于管理 例子:常见的文件系统权限设计, 直接给用户加权限 RBAC: ...
Spring Shiro安全框架与SpringMVC整合教程
资源摘要信息:"SpringShiro.rar" 根据标题、描述、标签以及压缩包中的文件名列表,我们可以推断出这个压缩文件包是一个关于Spring框架与Apache Shiro安全框架集成的开发示例或教程。SpringShiro都是在Java领域...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值