shiro与spring整合详解与spring项目中shiro注解不生效的解决办法

最新推荐文章于 2024-04-17 08:16:33 发布
最新推荐文章于 2024-04-17 08:16:33 发布
阅读量2.4k 收藏 5
点赞数 4
文章标签: shiro spring
本博客所有文章、代码和作品版权归eguid所有,未经博主允许不得私自改编和转载,侵权必究。
本文链接:https://blog.csdn.net/eguid/article/details/78337275
版权

一、spring项目中的shiro配置

(1)web.xml配置

<!-- shiro过滤器 -->
	<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
		<init-param>
			<param-name>targetFilterLifecycle</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

(2)shiro与spring整合配置

<!-- 使用shiro安全检查注解 -->
	<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor" />
	
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />
	</bean>

	<!-- shiro的生命周期处理器 -->
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

	<!-- shiro自带的密码匹配器(用来校验密码足够了) -->
	 <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.SimpleCredentialsMatcher"></bean>  
	<!-- security datasource: -->
	<bean id="myRealm" class="cc.eguid.service.shiro.MyRealm">
		<property name="credentialsMatcher" ref="credentialsMatcher"/><!-- 密码匹配器 -->
        <property name="cachingEnabled" value="false"/><!-- 禁止缓存 -->
	</bean>
	<!-- 安全管理器 -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="myRealm" />
	</bean>
	<!-- shiro过滤器 -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<!-- 配置安全管理器 -->
		<property name="securityManager" ref="securityManager" />
		<!-- 身份认证失败跳转的地址 -->
		<property name="loginUrl" value="/login/" />
		<!-- 身份认证成功跳转的地址 -->
		<property name="successUrl" value="/" />
		<!-- 权限认证失败跳转的地址 -->
		<property name="unauthorizedUrl" value="/login/unauthorized" />
		<property name="filterChainDefinitions">
			<!--anon 表示匿名访问,不需要认证以及授权 -->
			<!--authc表示需要认证 没有进行身份认证是不能进行访问的 -->
			<!--authc,roles[admin]表示是admin角色的用户才能访问 -->
			<value>
				/static/** = anon
				/login/** = anon
				/common/** = anon
				/admin/** = authc,roles[admin]
				/* = authc
				/** = authc
			</value>
		</property>
	</bean>

二、realm和自定义密码校验器实现

1、realm实现

public class MyRealm extends AuthorizingRealm{
	Logger log=Logger.getLogger(MyRealm.class);
	
	@Autowired
    private UserService userService;//这是自己实现的用户信息操作类,实现用户信息,用户角色信息、用户权限信息查询功能

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		UserInfo user = (UserInfo) principals.getPrimaryPrincipal();
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		// 查询角色信息
		Collection<String> roles = userService.findRoles(user);
		info.addRoles(roles);
		log.info("shiro获取用户所属角色列表:"+roles);
		// 查询权限信息
		Collection<String> permissions = userService.findPermissions(user.getSystemuserid());
		info.addStringPermissions(permissions);
		log.info("shiro获取用户权限列表:"+permissions);
		return info;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)throws AuthenticationException{
		//用户输入的用户名密码
		String loginname=  token.getPrincipal().toString();
		Object password=token.getCredentials();
		log.info("shiro正在处理尝试登录的用户信息:"+loginname+",密码:"+new String((char[])password));
		//数据库中的用户信息
		UserInfo user =userService.queryUserInfoByLoginName(loginname);
		if(user==null||CommonUtil.isNull(user.getLoginusername(),user.getPassword(),user.getSystemuserid())){
			return null;
		}
		log.info("shiro获取到当前用户尝试登录的真实数据:"+user.getLoginusername()+",密码:"+user.getPassword());
		//数据库中的正确的账户信息
		AuthenticationInfo accountInfo =new SimpleAuthenticationInfo(user, user.getPassword(),getName());
				
		//自己获取密码验证器(由于shiro实现的密码校验方法是密码错误会直接抛异常,不采用,所以改成直接手动校验)
		CredentialsMatcher matcher=getCredentialsMatcher();
		if(matcher==null){
			log.error("没有配置密码匹配器");
			return null;
		}
		//校验密码
		if(matcher.doCredentialsMatch(token,accountInfo)){
			return accountInfo;//校验通过,返回账号信息
		}
		
		return null;
	}


}

2、自定义密码校验器


/**
 * 自定义shiro密码匹配(密码是在md5散列值的基础上再次进行md5加盐操作,加盐值不保存在数据库,而是放在配置文件中)
 * @author eguid
 *
 */
public class MyCredentialsMatcher extends CodecSupport implements CredentialsMatcher {
	private static final Logger log = LoggerFactory.getLogger(MyCredentialsMatcher.class);

	protected Object getCredentials(AuthenticationToken token) {
		return token.getCredentials();
	}

	protected Object getCredentials(AuthenticationInfo info) {
		return info.getCredentials();
	}

	@Autowired
	private CommonConfigs commonConfigs;
	/**
	 * 验证密码
	 * 
	 * @param tokenCredentials
	 * @param accountCredentials
	 * @return
	 */
	protected boolean equals(Object tokenCredentials, Object accountCredentials) {
		if (log.isDebugEnabled()) {
			log.debug("Performing credentials equality check for tokenCredentials of type ["
					+ tokenCredentials.getClass().getName() + " and accountCredentials of type ["
					+ accountCredentials.getClass().getName() + "]");
		}
		if (isByteSource(tokenCredentials) && isByteSource(accountCredentials)) {
			if (log.isDebugEnabled()) {
				log.debug("Both credentials arguments can be easily converted to byte arrays.  Performing "
						+ "array equals comparison");
			}
			byte[] tokenBytes = toBytes(tokenCredentials);
			byte[] accountBytes = toBytes(accountCredentials);
			return MessageDigest.isEqual(tokenBytes, accountBytes);
		} else {
			return accountCredentials.equals(tokenCredentials);
		}
	}
	
	public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
		Object tokenCredentials = getCredentials(token);
		Object accountCredentials = getCredentials(info);
		String account=String.valueOf((char[])tokenCredentials);
		if(commonConfigs.getMd5salt()==null){
			if (log.isDebugEnabled()) {
				log.debug("配置文件中的加盐值为空,无法进行密码匹配,请确认配置文件是否在指定位置或配置指定加盐值");
			}
			return false;
		}
		String saltaccount=MD5Util.getMD5(account, commonConfigs.getMd5salt());
		if (log.isDebugEnabled()) {
			log.debug("加盐后的密码:"+saltaccount);
		}
		return equals(accountCredentials, saltaccount.toCharArray());
	}

}

三、注解使用及模板标签使用(其中注解无效)

1、注解使用

@RequiresPermissions({"user:update:view"})//检查操作权限

@RequiresPermissions(value={"user:add","user:view"},logical=Logical.OR)//两个操作权限其中一个满足条件即可通过检查

@RequiresRoles({"admin"})//检查角色

@RequiresRoles(value={"debug","admin"},logical=Logical.OR)//两个角色其中一个角色满足条件即可


@RequiresAuthentication//检查是否通过shiro认证
@RequiresGuest//不需要验证
@RequiresUser//检查用户是否是当前系统中的用户


2、标签使用

使用标签需要先导入shiro的标签库<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

(1)显示用户身份信息

<shiro: principal/>
默认调用Subject.getPrincipal()获取


<shiro:principal property="username"/>

相当于((User)Subject.getPrincipals()).getUsername()


(2)已登录shiro用户显示

 <shiro:user>  
欢迎[<shiro:principal/>]登录,<a href="logout">退出</a>  
<shiro:user>

(3)匿名用户访问

<shiro:guest>未经过shiro验证的用户(游客,匿名用户)</shiro:guest>  


(4)已经在shiro登录过的(已登录用户)

 <shiro:authenticated>  
    用户[<shiro:principal/>]已身份验证通过  
<shiro:authenticated> 

(5)没有在shiro登录过的

 <shiro:notAuthenticated>
    未身份验证(包括记住我)
< shiro:notAuthenticated>

(6)检查角色
 <shiro:hasRole name="admin">
    用户[<shiro:principal/>]拥有角色admin<br/>
< shiro:hasRole>

检查任意角色(其中一个满足条件即通过,相当于OR)
 <shiro:hasAnyRoles name="admin,user">
    用户[<shiro:principal/>]拥有角色admin或user<br/>
<sh iro:hasAnyRoles>

不具有角色(反向判断)
 <shiro:lacksRole name="abc">
    用户[<shiro:principal/>]不具有角色abc<br/>
< shiro:lacksRole>

(7)操作权限判断
 <shiro:hasPermission name="user:create">  
    用户[<shiro:principal/>]拥有权限user:create<br/>  
< shiro:hasPermission>    

不具有操作权限(反向判断)
 <shiro:lacksPermission name="org:create">  
    用户[<shiro:principal/>]没有权限org:create<br/>  
< iro:lacksPermission>  



四、注解不生效解决办法

把shiro注解放到springMVC的注解扫描之后(即放在springMVC容器中加载)

<!-- 使用shiro安全检查注解 -->
	<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor" />
	
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />
	</bean>
把上面的shiro直接扫描放到下面的servlet-context.xml中即可让shiro注解生效 

<!-- springMVC应用 -->
	<servlet>
		<servlet-name>appServlet</servlet-name>
		<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
		<init-param>
			<param-name>contextConfigLocation</param-name>
			<param-value>/WEB-INF/spring/servlet-context.xml</param-value>
		</init-param>
		<load-on-startup>2</load-on-startup>
	</servlet>
	<servlet-mapping>
		<servlet-name>appServlet</servlet-name>
		<url-pattern>/</url-pattern>
	</servlet-mapping>






汤姆猫不是猫
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
详解springshiro集成
08-29
主要介绍了详解springshiro集成,需要的朋友可以参考下
Shiro集成Spring注解示例详解
08-27
Shiro想必大家都知道了,是目前使用率要比spring security都要多的一个权限框架,下面这篇文章主要给大家介绍了关于Shiro集成Spring注解的相关资料,文通过示例代码介绍的非常详细,需要的朋友可以参考下
Shiro的原理及Web搭建
weixin_30437481的博客
02-27 267
shiro(java安全框架)     以下都是综合之前的人加上自己的一些小总结     Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 Shiro 主要分为来个部分就是认证和授权,在个人感觉来看就是查询数据库做相...
shiro过滤器详解分析
weixin_34177064的博客
03-11 1189
(原) shiro最核心的2个操作,一个是登录的实现,一就是过滤器了。登录有时间再补录说明,这里分析下shiro过滤器怎样玩的。 1、目标 这里会按如下顺序逐一看其实原理,并尽量找出其出处。 先看一下shiro过滤器有哪些及它们的别名分别对应哪些类:点这里 这里只分析平时用的最多的一个:authc过滤器,对应的处理器的类是FormAuthenticationFilter。 2...
Shiro使用详解
m0_67401055的博客
08-24 554
MyRealm以上就是Shiro实际使用的案例,将的比较初略,但是关于Shiro的核心东西都在里面了。大家可以去我的github上下载源码,只要按照我给的数据库就没有问题,项目跑起来之后试着改下里面的东西可以加深对Shiro的理解。。。。
Shiro笔记(六)Shiro标签的使用
weixin_30448685的博客
09-04 75
Shiro标签的使用 引入标签库 <%@taglib prefix="shiro" uri="http://shiro.apache.org/tags"%> 使用标签:   显示当前用户信息的标签: <shiro:principal property="user:name"></shiro:principal>   检查是否有权限的标签: ...
Shiro的内置过滤器没有生效
m0_54853420的博客
08-24 847
在学习shiro时,对某些访问路径设置过滤器,如。但是设置好后没有生效没有拦截成功,后来发现是类。交给spring管理,加上该注解,拦截成功。
Shiro 过滤器 anno 配置未生效,请求仍被拦截
weixin_40559666的博客
06-01 1017
项目Springboot +shiro +Gateway。
ShiroShiro登录验证失败问题
哈哈哈哈哈哈哈
07-02 6150
shiro登录验证一直失败: 原因: 在用户注册时,采用如下加密方法: /** * md5加密工具 * @param var * 要加密的字符串 * @param iterations * 加密次数 * @return */ public static String encrypt(String var,int iterations){ return new Sim...
shirospring集成基础Hello案例详解
08-25
主要介绍了shirospring集成基础Hello案例详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
shirospring web 项目集成.pdf
08-13
shirospring web 项目集成 #资源达人分享计划 # 技术文档
Spring配置shiro时自定义Realm属性无法使用注解注入的解决办法
08-26
今天小编就为大家分享一篇关于Spring配置shiro时自定义Realm属性无法使用注解注入的解决办法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
关于Ribbon在SpringCloudAlibaba2021.1版本,找不到服务实例
aoxiaojun的博客
04-12 462
关于Ribbon在SpringCloudAlibaba2021.1版本,找不到服务实例
常见Spring相关工具报错-源码分析
小百的博客
04-15 389
在 getResources 会获取 getResources(“classpath*:” + i18n/messages + “.properties”),但是缺少messages.properties属性文件。3️⃣ 源码分析 MessageSourceAutoConfiguration 配置类。4️⃣ 解决:补充 messages.properties 文件。
spring的refresh
最新发布
m0_71894372的博客
04-17 329
5. **注册Bean后处理器**:注册实现了`BeanPostProcessor`接口的Bean后处理器,这些后处理器可以在Bean的初始化前后执行自定义逻辑。8. **初始化其他特殊Bean**:根据配置初始化其他特殊的Bean,如`ApplicationListeners`。10. **注册Bean的销毁钩子**:注册Bean的销毁钩子,以便在应用上下文关闭时能够正确地销毁Bean。1. **准备刷新**:记录应用上下文的启动时间,设置活跃状态为`true`,并准备一个事件发布器。
springboot 文件上传Linux环境报错
标竿人生的专栏
04-16 163
程序部署到Linux环境下,文件上传报错,这是因为服务器编码问题。
10.SpringBoot(接受参数相关注解
qq_44438941的博客
04-12 503
1
基于springboot实现小型医院网站管理系统【项目源码+论文说明】计算机毕业设计
ybigbear1的博客
04-15 995
小型医院网站有着无法比拟的优点,网络共享、传播速度快的特点,用户可以随时随地进行预约挂号,取药等,同时医师可及时查看用户挂号预约信息,并可进行开药等,管理员通过计算机后台可对系统相关信息进行管理,大大提高管理的效率,更好的为广大用户服务。本系统界面良好,操作简单方便,通过系统概述、系统分析、系统设计、数据库设计、系统测试这几个部分,详细的说明了系统的开发过程,最后并对整个开发过程进行了总结,实现了预约挂号管理、医师开药管理、药库信息管理、用户取药管理以及缴费清单管理等重要功能。(3)安全性及保密性原则。
ShiroSpringSecurity
09-02
引用提到,Spring Security的社区支持度更高,作为Spring框架的一部分,它能够更好地与Spring整合,并且在支持力度和更新维护方面有优势。如果你已经在使用Spring框架,那么选择Spring Security可能更加合适。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汤姆猫不是猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值