Shiro系列之Shiro+Spring MVC整合(Integration)

最新推荐文章于 2024-02-22 17:39:10 发布
最新推荐文章于 2024-02-22 17:39:10 发布
阅读量263 收藏
点赞数
分类专栏: java 文章标签: spring mvc java 开发语言 java-rabbitmq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/embelfe_segge/article/details/126496484
版权
本文详细介绍如何在SpringMVC项目中整合Apache Shiro,包括配置ShiroFilter、设置数据库连接、搭建权限管理架构,以及编写登录页面和登录验证逻辑。重点讲解了如何实现URL路径的权限控制和Shiro注解的使用。
摘要由CSDN通过智能技术生成

Shiro系列之Shiro+Spring MVC整合

第一步,Shiro Filter

在web.xml文件中增加以下代码,确保Web项目中需要权限管理的URL都可以被Shiro拦截过滤。

<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/\*</url-pattern>
</filter-mapping>

通常将这段代码中的filter-mapping放在所有filter-mapping之前,以达到shiro是第一个对web请求进行拦截过滤之目的。这里的fileter-name应该要和第二步中配置的java bean的id一致。

第二步,配置各种Java Bean

在root-context.xml文件中配置Shiro

<!-- Root Context: defines shared resources visible to all other web components -->

<!-- dataSource -->
<bean id="dataSource"
	class="org.springframework.jdbc.datasource.DriverManagerDataSource">
	<property name="driverClassName" value="com.mysql.jdbc.Driver" />
	<property name="url" value="jdbc:mysql://127.0.0.1:3306/etao\_java" />
	<property name="username" value="root" />
	<property name="password" value="cope9020" />
</bean>

<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>

<!-- 数据库保存的密码是使用MD5算法加密的,所以这里需要配置一个密码匹配对象 -->
<bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.Md5CredentialsMatcher"></bean>

<!-- 缓存管理 -->
<bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"></bean>

<!-- 
  使用Shiro自带的JdbcRealm类
  指定密码匹配所需要用到的加密对象
  指定存储用户、角色、权限许可的数据源及相关查询语句
 -->
<bean id="jdbcRealm" class="org.apache.shiro.realm.jdbc.JdbcRealm">
    <property name="credentialsMatcher" ref="credentialsMatcher"></property>
	<property name="permissionsLookupEnabled" value="true"></property>
	<property name="dataSource" ref="dataSource"></property>
	<property name="authenticationQuery"
		value="SELECT password FROM sec\_user WHERE user\_name = "></property>
	<property name="userRolesQuery"
		value="SELECT role\_name from sec\_user\_role left join sec\_role using(role\_id) left join sec\_user using(user\_id) WHERE user\_name = "></property>
	<property name="permissionsQuery"
		value="SELECT permission\_name FROM sec\_role\_permission left join sec\_role using(role\_id) left join sec\_permission using(permission\_id) WHERE role\_name = "></property>
</bean>

<!-- Shiro安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
	<property name="realm" ref="jdbcRealm"></property>
	<property name="cacheManager" ref="cacheManager"></property>
</bean>

<!-- 
   Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行
   Web应用中,Shiro可控制的Web请求必须经过Shiro主过滤器的拦截,Shiro对基于Spring的Web应用提供了完美的支持 
-->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
	<!-- Shiro的核心安全接口,这个属性是必须的 -->
	<property name="securityManager" ref="securityManager"></property>
	<!-- 要求登录时的链接(登录页面地址),非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 -->
	<property name="loginUrl" value="/security/login"></property>
	<!-- 登录成功后要跳转的连接(本例中此属性用不到,因为登录成功后的处理逻辑在LoginController里硬编码) -->
	<!-- <property name="successUrl" value="/" ></property> -->
	<!-- 用户访问未对其授权的资源时,所显示的连接 -->
	<property name="unauthorizedUrl" value="/"></property>
	<property name="filterChainDefinitions">
		<value>
			/security/\*=anon
			/tag=authc
		</value>
	</property>
</bean>

<!-- 
   开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,
   并在必要时进行安全逻辑验证
-->
<!--
<bean
	class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"></bean>
<bean
	class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
	<property name="securityManager" ref="securityManager"></property>
</bean>
-->

上述代码中已经对每个java bean的用途做了详细的注释说明,这里仅对FilterChain过滤链的定义详细阐述一下:

  • 测试用例中对/security/*的访问是不需要认证控制的,这主要是用于用户登录和退出的
  • 测试用例中对/tag的访问是需要认证控制的,就是说只有通过认证的用户才可以访问该资源。如果用户直接在地址栏中访问http://localhost:8880/learning/tag,系统会自动跳转至登录页面,要求用户先进行身份认证。

完成这两步之后,我们可以Run一下程序,如果可以看到以下页面,就表明我们的配置文件没有错误,Shiro和Spring MVC的整合已经完成了。后继的步骤可以视为是对整合后的框进行的一个测试。

第三步,编写登录页面和后台代码

<%@ page language="java" contentType="text/html; charset=UTF-8"
	pageEncoding="UTF-8"%>
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c"%>

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Login Page</title>
</head>
<body>
	<h1>login page</h1>
	<form id="" action="dologin" method="post">
		<label>User Name</label> <input tyep="text" name="userName"
			maxLength="40" /> <label>Password</label><input type="password"
			name="password" /> <input type="submit" value="login" />
	</form>
	<%--用于输入后台返回的验证错误信息 --%>
	<P><c:out value="${message }" /></P>
</body>
</html>

后台登录代码

	/**
	 * 实际的登录代码
	 * 如果登录成功,跳转至首页;登录失败,则将失败信息反馈对用户
	 * 
	 * @param request
	 * @param model
	 * @return
	 */
	@RequestMapping(value = "/dologin")
	public String doLogin(HttpServletRequest request, Model model) {
		String msg = "";
		String userName = request.getParameter("userName");
		String password = request.getParameter("password");
		System.out.println(userName);
		System.out.println(password);
		UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
		token.setRememberMe(true);
		Subject subject = SecurityUtils.getSubject();
		try {
			subject.login(token);
			if (subject.isAuthenticated()) {
				return "redirect:/";
			} else {
				return "login";
			}
		} catch (IncorrectCredentialsException e) {
			msg = "登录密码错误. Password for account " + token.getPrincipal() + " was incorrect.";
			model.addAttribute("message", msg);
			System.out.println(msg);
		} catch (ExcessiveAttemptsException e) {
			msg = "登录失败次数过多";
			model.addAttribute("message", msg);
			System.out.println(msg);
		} catch (LockedAccountException e) {
			msg = "帐号已被锁定. The account for username " + token.getPrincipal() + " was locked.";
			model.addAttribute("message", msg);
			System.out.println(msg);
		} catch (DisabledAccountException e) {
			msg = "帐号已被禁用. The account for username " + token.getPrincipal() + " was disabled.";
			model.addAttribute("message", msg);
			System.out.println(msg);
		} catch (ExpiredCredentialsException e) {
			msg = "帐号已过期. the account for username " + token.getPrincipal() + "  was expired.";
			model.addAttribute("message", msg);
			System.out.println(msg);
		} catch (UnknownAccountException e) {
			msg = "帐号不存在. There is no user with username of " + token.getPrincipal();
			model.addAttribute("message", msg);
			System.out.println(msg);
		} catch (UnauthorizedException e) {
			msg = "您没有得到相应的授权!" + e.getMessage();
			model.addAttribute("message", msg);
			System.out.println(msg);
		}
		return "login";
	}

如果输入不存在的用户名或是错误的密码界面上会有相应的提示信息。


登录成功后,会转至首页,并显示出当前用户名。

]

embelfe_segge
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro需要的全部jar包
10-19
6. **Web支持(Web Integration)**:Shiro可以轻松地与Spring MVC等Web框架集成,提供基于HTTP Session的会话管理和Web安全控制。 7. **测试支持(Testing)**:Shiro提供了测试类,方便开发者在单元测试中模拟...
shirospringMVC整合
web13985085406的博客
08-24 947
此realm先不从数据库查询权限数据/***** 自定义Realm***/@Override}// 支持什么类型的token@Override}/**** 获取授权信息*///先自定义一个query权限,就不从数据库查询了= null) {//权限}}/**** 获取认证信息** 问题:如何在登录后不再进登录页面了呢???????????????????????????*/// 通过表单接收的用户名= null &&!if (user!
springmvc集成shirojava安全框架
UserGuan的博客
09-05 1360
什么是shiro pom.xml文件 jdbc.properties配置文件 spring-context.xml配置文件 spring-mybatis.xml配置文件 spring-shiro.xml配置文件 web.xml配置文件 userMapper.xml文件 Md5Util加密工具类 MyRealm工具类 User实体 UserDao层 UserService接口......
Spring项目集成ShiroFilter简单实现权限管理
weixin_33860737的博客
02-13 268
Shiros是我们开发中常用的用来实现权限控制的一种工具包,它主要有认证、授权、加密、会话管理、与Web集成、缓存等功能。我是从事javaweb工作的,我就经常遇到需要实现权限控制的项目,之前我们都是靠查询数据获取列表拼接展示的,还有的是及时的判断权限的问题的,现在有了Shiros了,我们就可以统一的进行设置权限问题,Shrios的实现也是很简单的,下面让我们来看看具体实现步骤 ...
如何将shiro集成到SpringMVC
weixin_69797860的博客
04-14 220
如何将shiro集成到SpringMVC
shirospring源码
01-09
本文将深入探讨SpringShiro的集成,以及"shirospring"源码中的关键知识点。 首先,我们要理解Spring如何集成ShiroSpring通过其强大的依赖注入(DI)和AOP(面向切面编程)特性,可以轻松地将Shiro的功能整合到...
shiro权限验证依赖包
09-02
9. `spring-integration-core-4.0.5.RELEASE.jar`: 这是Spring Integration库,用于在不同系统之间实现低耦合的消息传递。结合Shiro,可以实现安全控制的自动化流程,如基于事件的安全决策。 这些依赖包组合起来,...
Shiro&SSM;框架依赖的jar,lib
11-03
Apache Shiro 和 SSM(Spring MVCSpring、MyBatis)是Java开发中常见的两个框架Shiro 是一个强大且易用的安全管理框架,而SSM则是常用的后端开发组合,用于构建基于Java的Web应用。这个压缩包包含了这两个框架在...
shiro用户教程pdf
07-24
这种集成通常涉及到Spring MVCSpring Boot的应用。 #### 12.3 Shiro权限注解 Shiro提供了与Spring框架兼容的权限注解,可以方便地在控制器或服务层方法上声明所需的权限。 ### 第十三章:RememberMe #### 13.1...
SpringMVCShiro快速整合
QQ1941638512的博客
09-03 385
SpringMVCShiro快速整合: 好久没有重新整合Shiro框架了,为了方便以后参考查阅,特此将步骤分享出来,共同学习。 一、配置XML文件: 1、到相应的pom.xml中添加shiro相关依赖,注意这里没有版本号,因为在父模块中已经集中定义依赖版本号。 <!-- 添加Apache Shiro 依赖关系 --> <!-- shiro核心包 --> <dependency> <groupId>org.apache.s
web.xml中的shiroFilter配置
qq_33554740的博客
03-01 1434
参考路径:http://blog.csdn.net/u013132051/article/details/54949632常情况下,我们需要将shirofilter配置在所有的filter前面,当然和encodingFilter这个filter是不区分前后的Shiros是我们开发中常用的用来实现权限控制的一种工具包,它主要有认证、授权、加密、会话管理、与Web集成、缓存等功能。我是从事javaw...
shiro详细配置
艾虎的专栏
01-15 1665
这里用的是SpringMVC-3.2.4和Shiro-1.2.2,示例代码如下 首先是web.xml [html] view plaincopyprint? xml version="1.0" encoding="UTF-8"?>  web-app version="2.5"      xmlns="http://java.sun.com/xml/ns/javae
搭建shiro案例
weixin_42679286的博客
04-04 411
创建web项目 1.配置在web.xml <context-param> <param-name>contextConfigLocation</param-name> <param-value>classpath:applicationContext.xml</param-value> </context-param&gt...
shiro 整合 springmvc 实战及源码详解
最新发布
02-22 768
针对每一个请求,shiro 会判断请求的 url 是否和我们指定的 url 匹配,并且调用对应的 filter,然后出发对应的方法。这一节我们讲解了如何整合 springmvcshiro,可以发现 shiro 内置了非常多的实现,帮助我们简化登录的设计实现。还有比较常用的就是 form 表单提交,springboot 整合的时候甚至可以省略掉我们写的登录校验实现。当然,不同的用户登录的权限不同,肯定是因为我们定义了不同的权限。登录的校验非常简单,直接根据页面的账户密码,然后执行登录校验。
Spring整合shiro配置(认证+授权)
qq_48839285的博客
07-06 158
-配置包扫描-->-- 注解驱动-->-- 静态资源放行-->--4.视图解析器--></bean>-- 数据源-->-- 数据源--></bean>-- sqlsessionfactory 加载mybatis配置-->-- 映射文件--></bean>-- dao接口代理实现类--></bean>-- Spring整合shiro配置-->--shirospring整合的配置--></bean></bean>
Shiro集成SpringMVC
海客森
06-27 992
一个非凡的网站 http://www.hikson.com,RJ海客森 视频录制 git地址:https://gitee.com/hikseason/demo-spring-boot-all.git 视频地址:https://pan.baidu.com/s/19mrxCE9Y5R5ntSEg_EReOg 1.Shiro集成SpringMVC 就是定了了个过滤器shiroF...
Shiro教程(二)Shiro web.xmlFilter配置,配置注意事项
qq_26321411的博客
03-14 1698
本教程是是采用 SpringMVC  + Spring  + Mybatis  框架集成的,需要配置的文件是web.xml ,然后有一个和 Spring  的配置文件,我取名叫做spring-shiro.xml ,下面会一一讲解到。过滤器配置,在web.xml 中配置: &lt;filter&gt; &lt;filter-name&gt;shiroFilter&lt;/filter-nam...
解析 Shiro-Spring 过滤器全流程
pomer_huang的博客
12-23 726
对于Spring 集成 Shiro,一般要求配置一个如下的Filterweb.xml)<!-- The filter-name matches name of a 'shiroFilter' bean inside applicationContext.xml --> <filter> <filter-name>shiroFilter</filter-name> <filter-c
Spring MVCShiro整合实现权限控制教程
"Spring MVC整合Shiro权限控制的方法" 在现代Web开发中,权限控制是确保应用安全性的重要组成部分。Spring MVC作为流行的MVC框架,经常需要与安全框架集成以实现精细的权限管理。Apache Shiro是一个优秀的安全框架...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值