Shiro与Spring整合

最新推荐文章于 2024-08-22 10:14:23 发布
最新推荐文章于 2024-08-22 10:14:23 发布
阅读量161 收藏 1
点赞数 1
分类专栏: Spring Shiro 文章标签: Tag shiro spring mvc spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/deel_feel/article/details/78874040
版权 
首先把Spring、springmvc环境搭建好(跑起来可以访问页面没报错.).....此处省略一万行代码

第一步、在web.xml中配置shiro filter 
<filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
</filter>

<filter-mapping>
       <filter-name>shiroFilter</filter-name>
       <url-pattern>/*</url-pattern>
</filter-mapping>

第二步、在spring的配置文件applicationContext.xml中配置
<!-- 1.配置securityManager -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">   
        <!-- 缓存管理器 -->
        <property name="cacheManager" ref="cacheManager"/>
        <!-- property name="realm" ref="jdbcRealm"/ -->
        <property name="authenticator" ref="authenticator"></property>
        <property name="realms">
           <list>
               <ref bean="jdbcRealm"/>
               <ref bean="secondRealm"/>
           </list>
        </property>
        <!-- 还可以配置session,此次不使用 -->
    </bean>
<!-- 2.配置cacheManager -->
<!-- 2.1 需要加入ehcache的jar包及配置文件(hibernate的开源代码里有)-->
 <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> 
     <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/> 
 </bean>
<!-- 3.配置Realm,需要创建一个类实现Realm接口--><!-- 3.1 直接配置实现了org.apache.shiro.realm.Realm 接口的bean-->
<bean id="jdbcRealm" class="com.shiro.realms.ShiroRealm">
         <!-- 此处的作用:把前台传来的密码封装成的token加密成MD5 -->
         <property name="credentialsMatcher">
             <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                  <!-- 使用MD5算法加密 -->
                  <property name="hashAlgorithmName" value="MD5"></property>
                  <!-- 加密1024次 -->
                  <property name="hashIterations" value="1024"></property>
            </bean>
        </property>
</bean>

<!-- 4. 配置lifecycleBeanPostProcessor 可以自动的来调用Spring IOC容器中的shiro bean的生命周期方法--> 
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<!-- 5.要想在IOC容器中使用Shiro的注解 必须配置lifecycleBeanPostProcessor --> 
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>    
  <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">    
  <property name="securityManager" ref="securityManager"/> 
</bean>

<!-- 6. 配置shiroFilter
           6.1 id必须和web.xml文件中配置的DelegatingFilterProxy <filter-name>一致
           6.2 
     -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login.jsp"/>
        <property name="successUrl" value="/list.jsp"/>
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        <!-- 
       配置哪些页面需要受保护,
       以及访问这些页面需要的权限 (url=拦截器  的形式)
   1)    anon可以被匿名访问
   2)    authc必须认证即登录后才可以访问的页面    
   3)   logout 登出
    -->
        <property name="filterChainDefinitions">
            <value>
                /login.jsp = anon
                /shiro/login = anon
                /shiro/logout = logout
                # everything else requires authentication:
                /** = authc
                <!-- /list.jsp = anon 第一次匹配优先,此处无效。依然属于authc-->
            </value>
        </property>
    </bean>


bean类:ShiroRealm
public class ShiroRealm extends AuthenticatingRealm{

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {
	
		//1.AuthenticationToken转换成UsernamePasswordToken
		UsernamePasswordToken upToken = (UsernamePasswordToken) token;
		
		//2.从UsernamePasswordToken中获取username
		String username = upToken.getUsername();
		
		//3.调用数据库的方法,从数据库中查询username对应的记录 
		   //调用dao.....
		
		//4.若用户不存在,则可以抛出UnknownAccountException异常
		if("unknown".equals(username)){
			throw new UnknownAccountException("用户不存在!");
		}
		
		//5.根据用户信息的情况决定是否需要抛出其他的异常
		if("sb".equals(username)){
			throw new LockedAccountException("用户被锁定!");
		}
		
		//6.根据用户的情况来构建AuthenticationInfo对象并返回
		//以下信息是从数据中获取的
		//1) principal:认证的实体信息,可以是username,也可以是对应的实体对象
		Object principal = username;
		//2) credentials:密码
		Object credentials = null;
		if("admin".equals(username)){
			credentials="038bdaf98f2037b31f1e75b5b4c9b26e";
		}else if("user".equals(username)){
			credentials="098d2c478e9c11555ce2823231e02ec1";
		}
		//3) realmName:当前realm对象的name,调用父类的getName()方法即可
		String realmName = getName();
		//4) salt盐值:相同的密码,不同的盐值,加密后的字符串不同
		ByteSource credentialsSalt = ByteSource.Util.bytes(username);//这里使用了用户名作为原始值
		
		SimpleAuthenticationInfo info = null;//new SimpleAuthenticationInfo(principal, credentials, realmName);
		info = new SimpleAuthenticationInfo(principal,credentials, credentialsSalt, realmName);
		return info;
	}
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
	String userName = (String) principals.getPrimaryPrincipal();
	SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
	try {
		authorizationInfo.setRoles("admin");
		authorizationInfo.setStringPermissions("delete");
	} catch (Exception e) {
		e.printStackTrace();
	}
	return authorizationInfo;
   }      
}

springmvc handler
@Controller
@RequestMapping("/shiro")
public class ShiroHandler {

	@RequestMapping("/login")
	public String login(@RequestParam("username") String username,
			@RequestParam("password") String password){
		Subject currentUser = SecurityUtils.getSubject();
		
		if(!currentUser.isAuthenticated()){
			UsernamePasswordToken token = new UsernamePasswordToken(username, password);
			token.setRememberMe(true);
			try{
				currentUser.login(token);//token传入到了realm里面
			}
			//所有认证异常的父类
			catch(AuthenticationException e){
				System.out.println("登录失败:"+e.getMessage());
			}
			
		}
		
		return "redirect:/list.jsp";
	}
}

整个过程,其实就是  用户从页面传来token,然后handler执行subject.login(token),token被传到reaml
里面,执行doGetAuthenticationInfo身份认证方法和doGetAuthorizationInfo查询角色权限方法。

deep_feel
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring整合Shiro
qq_42436356的博客
04-24 234
Maven项目: pom.xml中导入依赖 <!-- shiro 包--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version...
Spring整合ShiroSpringBoot整合Shiro
Trouvailless的博客
08-08 121
Shiro有三大核心组件,即Subject和Realm认证主体Principals安全管理员一个域。
shiroSpring Boot 整合
一个菜鸡的博客
05-20 1129
认证策略的另外一项工作就是聚合所有 Realm 的结果信息封装至一个 AuthenticationInfo 实例中,并将此信息返回,以此作为 Subject 的身份信息。FirstSuccessfulStrategy ==》第一个 Realm 验证成功,整体认证将视为成功,且后续 Realm 将被忽略。AtLeastOneSuccessfulStrategy ==》只要有一个(或更多)的 Realm 验证成功,那么认证将视为成功。(1)在所有 Realm 被调用之前。(4)在所有 Realm 被调用之后。
Shiro - Shiro简介;ShiroSpring Security区别;Spring Boot集成Shiro
热门推荐
MinggeQingchun的博客
08-27 3万+
以下引自百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。三个核心组件:Subject,SecurityManager 和 Realms。...
Shiro入门-shirospring整合
m0_67401270的博客
08-24 950
由于FormAuthenticationFilter的用户身份和密码的input的默认值(username和password),修改页面的账号和密码 的input的名称为username和password。user:例如/admins/user/**=user没有参数表示必须存在用户, 身份认证通过或通过记住我认证通过的可以访问,当登入操作时不做检查。],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/不用我们去实现退出,只要去访问一个退出的url(
shirospring集成基础Hello案例详解
08-25
ShiroSpring集成基础Hello案例详解 Shiro是一个开源的Java安全框架,提供了身份验证、授权、密码学和会话管理等功能。ShiroSpring集成可以提供一个完整的安全解决方案。本文将详细介绍ShiroSpring集成基础...
shirospring 整合、动态过滤链、以及认证、授权.docx
07-20
Apache Shiro 是一个轻量级的安全管理框架,与 Spring Security 相比,它的认证和授权流程更为简单易懂。Shiro 提供了原生会话(native-session)机制,允许在不依赖容器的 Session 实现情况下,存储和管理用户的...
详解springshiro集成
08-29
1. `shiro-spring` - Apache ShiroSpring整合模块。 2. `spring-context` - Spring的核心模块,用于配置和管理应用程序上下文。 这些依赖可以通过Maven或Gradle等构建工具引入到项目中,具体配置请参考项目的`pom...
shirospring整合工程源代码
03-08
ShiroSpring整合,可以充分利用两者的优点,实现更高效、更灵活的安全管理。 在"shirospring整合工程源代码"中,我们可以看到以下几个关键的知识点: 1. **Shiro的核心组件**: - **Authentication(认证)...
shirospring web 项目集成.pdf
08-13
ShiroSpring Web的整合是一个将安全功能集成到Web应用的过程。通过配置ShiroFilter和相关组件,可以轻松地为Spring Web项目添加用户认证、授权和会话管理等安全特性。整合时需要注意ShiroSpring的依赖关系、配置...
Springboot+Themeleaf模板+Shiro标签】找不到类AbstractProcessorDialect解决
deel_feel的博客
03-14 9701
本人在学习使用Themeleaf模板,直接上手项目,然后想在themeleaf上使用shiro标签实现权限控制,然后踩到这个坑,上网一查这方面的知识少之又少。踩下去两天才找到解决方法。Caused by: java.lang.ClassNotFoundException: org.thymeleaf.dialect.AbstractProcessorDialectat java.net.URLCl...
Spring AOP三种方式定义增强
deel_feel的博客
01-20 2156
一、通过实现(implements)的方式增强 BeforeLog: package cn.log; import java.lang.reflect.Method; import org.springframework.aop.MethodBeforeAdvice; public class BeforeLog implements MethodBeforeAdvice { /*
Spring4.x的Java配置方式和spring以前的xml配置方式
deel_feel的博客
01-12 1538
Spring的Java配置方式: @Configuration //通过该注解来表明该类是一个Spring的配置,相当于一个xml文件 @ComponentScan(basePackages = "cn.itcast.springboot.javaconfig") //配置扫描包 @PropertySource(value={"classpath:jdbc.properties"},igno
Springboot+shiro-ehcache 热部署自动重启时报错
deel_feel的博客
03-15 1162
Another CacheManager with same name 'es' already exists in the same VM.  这里报错的意思是在虚拟机上有相同名字的CacheManager ,其中es是ehcache-shiro.xml配置文件ehcache 的名称, 热部署自动重启的时候又重新创建了es,然而虚拟机里面依然存在es,就冲突了。 正确姿
Spring IOC 依赖注入的五种方式
deel_feel的博客
01-20 763
一、设值注入(属性的setter访问器) dao: package firstIOC; public class UserDao { public void say(){ System.out.println("I am UserDao"); } } service: package firstIOC; public class UserServi
Spring Boot使用FastJson解析JSON数据
deel_feel的博客
03-01 714
    阿里巴巴FastJson是一个Json处理工具包,包括“序列化”和“反序列化”两部分,它具备如下特征:速度最快,测试表明,fastjson具有极快的性能,超越任其他的Java Json parser。包括自称最快的JackJson;功能强大,完全支持Java Bean、集合、Map、日期、Enum,支持范型,支持自省。下面就演示如何在Spring boot中使用FastJson:先在pom...
Spring4.x的Java配置方式SpringMVC(Web)
deel_feel的博客
01-12 381
//入口类,此类相当于web.xml public class WebInitializer extends AbstractAnnotationConfigDispatcherServletInitializer{ @Override protected Class[] getRootConfigClasses() { return new Class[] { SpringConfig
dynamic-datasource-spring-boot-starter多数据源配置
最新发布
wyazyf
08-22 168
这种多数据源的配置方式可以不用区分包和扫描路径。放在同一路径下即可。默认在主数据库中加载。调用其他数据源的时候,只需要在mapper.java文件上配置@DS(“mainData”)即可。
Apache ShiroSpring整合:动态过滤链与认证授权详解
在exit-web-framework中的vcs-admin示例展示了如何在实际项目中运用Shiro,尤其是与Spring框架的整合ShiroSpring整合主要体现在以下几个方面: 1. **Spring集成**:ShiroSpring Web应用程序中提供了一流的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值