给JFinal添加Shiro插件功能,支持Shiro所有注解

最新推荐文章于 2022-08-18 16:19:47 发布
最新推荐文章于 2022-08-18 16:19:47 发布
阅读量2.1k 收藏
点赞数
分类专栏: jfinal

基于JDK1.6打包好的包括源码的Shiro插件在以下地址:

http://git.oschina.net/myaniu/jfinalshiroplugin/blob/master/dist/JFinalShiroPlugin-1.0.jar

Shiro共有5个注解,分别如下:

  • RequiresAuthentication:使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证。

  • RequiresGuest:使用该注解标注的类,实例,方法在访问或调用时,当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。

  • RequiresPermissions:当前Subject需要拥有某些特定的权限时,才能执行被该注解标注的方法。如果当前Subject不具有这样的权限,则方法不会被执行。

  • RequiresRoles:当前Subject必须拥有所有指定的角色时,才能访问被该注解标注的方法。如果当天Subject不同时拥有所有指定角色,则方法不会执行还会抛出AuthorizationException异常。

  • RequiresUser:当前Subject必须是应用的用户,才能访问或调用被该注解标注的类,实例,方法。

多个注解的问题:

Shiro的认证注解处理是有内定的处理顺序的,如果有个多个注解的话,前面的通过了会继续检查后面的,若不通过则直接返回,处理顺序依次为(与实际声明顺序无关):
RequiresRoles
RequiresPermissions
RequiresAuthentication
RequiresUser
RequiresGuest
例如:你同时生命了RequiresRoles和RequiresPermissions,那就要求拥有此角色的同时还得拥有相应的权限。

1)RequiresRoles

@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiresRoles {
    String[] value();
    Logical logical() default Logical.AND; 
}</span>

可以用在Controller或者方法上。可以多个roles,默认逻辑为 AND也就是所有具备所有role才能访问。

示例:

属于user角色
@RequiresRoles("user")

必须同时属于user和admin角色
@RequiresRoles({"user","admin"})

属于user或者admin之一。
@RequiresRoles(value={"user","admin"},logical=Logical.OR)

2)RequiresPermissions

@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiresPermissions {
    String[] value();
    Logical logical() default Logical.AND; 
}

和 RequiresRoles及其类似,使用如下

@RequiresPermissions("index:hello")
@RequiresPermissions({"index:hello","index:world"})
@RequiresPermissions(value={"index:hello","index:world"},logical=Logical.OR)

3)RequiresAuthentication,RequiresUser,RequiresGuest

这三个使用方法类似。

@RequiresAuthentication
@RequiresUser
@RequiresGusst

4)这个是本人额外新增的一个注解@ClearShiro,用来清除某个方法上的所有访问控制注解。

这个主要用于某个Controller的绝大部分方法都需要某个角色的权限,但是个别方法例外的情况。

@RequiresRoles("user")
public class LoginController extends Controller {
    @ClearShiro
    public void index(){

使用时需要做以下事项:

1)Shiro依赖于slf4j,commons-beanutils,commons-logging三个jar包。

2)public void configConstant(Constants me) { 方法中需加入401,403错误代码处理。

分别对应如下:

RequiresGuest,RequiresAuthentication,RequiresUser,未满足时,抛出未经授权的异常。
如果没有进行身份验证,返回HTTP401状态码

RequiresRoles,RequiresPermissions授权异常,如果没有权限访问对应的资源,返回HTTP状态码403。

me.setErrorView(401, "/au/login.html");
me.setErrorView(403, "/au/login.html");
me.setError404View("/404.html");
me.setError500View("/500.html");

3)顶一个routes成员变量。

public class AppConfig extends JFinalConfig {
    /**
     * 供Shiro插件使用。
     */
    Routes routes;

4)在configRoute方法中加入this.routes = me;

public void configRoute(Routes me) {
        this.routes = me;
        // TODO Auto-generated method stub
        me.add("/", IndexController.class);
        me.add("/au",AdminUserController.class);

5)public void configPlugin(Plugins me) {方法的最好加入

//加载Shiro插件
//me.add(new ShiroPlugin(routes));
ShiroPlugin shiroPlugin = new ShiroPlugin(this.routes);
shiroPlugin.setLoginUrl("/login.do");
shiroPlugin.setSuccessUrl("/index.do");
shiroPlugin.setUnauthorizedUrl("/login.do");
me.add(shiroPlugin);

6)配置一个拦截器,我这是配置了一个全局拦截器,在某些系统中,可以只给后他需要验证的部分添加拦截器,前台部分可以不用该访问控制拦截器。

public void configInterceptor(Interceptors me) {
        // TODO Auto-generated method stub
        me.add(new ShiroInterceptor());
    }

7)根据需要实现一个Realm,继承自AuthorizingRealm即可。

可参考:

http://www.oschina.net/question/176164_35893

8)配置shiro.ini文件,该文件需放在 /WEB-INF/shiro.ini这个位置。我的shiro.ini如下:

参考了http://my.oschina.net/smile622/blog/135098

[main]
#realm
myRealm = com.lh.openapi.manager.shiro.ShiroDbRealm
securityManager.realm = $myRealm

#cache
shiroCacheManager = org.apache.shiro.cache.ehcache.EhCacheManager
shiroCacheManager.cacheManagerConfigFile = classpath:ehcache-shiro.xml
securityManager.cacheManager = $shiroCacheManager

#session
sessionDAO = org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
sessionManager = org.apache.shiro.web.session.mgt.DefaultWebSessionManager
sessionDAO.activeSessionsCacheName = shiro-activeSessionCache
sessionManager.sessionDAO = $sessionDAO
securityManager.sessionManager = $sessionManager
securityManager.sessionManager.globalSessionTimeout = 360000

#这里的规则,web.xml中的配置的ShiroFilter会使用到。
[urls]
/** = anon
/card/** = user
/school/** = user
/rpc/rest/** = perms[rpc:invoke], authc
/** = authc

9)配置web.xml在所有filter前面添加 

<listener>
    <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
  </listener>
    <filter>
    <filter-name>shiro</filter-name>
    <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>shiro</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

若shiro.ini中配置了

[urls]
/** = anon
/card/** = user
/school/** = user

相关访问控制规则,ShiroFilter会优先匹配这些规则,这个规则通过后,才会执行JFinal的Filer。才会进入JFinal的处理循环。

沙漏无语
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
jfinal-shiro:jfinal shiro插件
05-21
jfinal-shiro jfinal shiro plugin 最简单,最灵活的权限框架实现,查看其他插件-> maven 引用 ${jfinal-shiro.version}替换为相应的版本如:0.2 <dependency> <groupId>cn.dreampie</groupId> <artifactId>jfinal-shiro</artifactId> <version>${jfinal-shiro.version}</version> </dependency> 支持不同角色登陆到不同的url,支持ajax登陆/登出,例如: 推荐的数据库权限表结构设计 DROP TABLE IF EXISTS sec_user; CREATE TABLE sec_user ( id BIGINT NOT NULL AUTO_IN
jfinal整合shiro步骤总结
weixin_34293902的博客
08-17 183
2019独角兽企业重金招聘Python工程师标准>>> ...
Jfinal多模块项目整合shiro
weixin_34368949的博客
04-17 394
为什么80%的码农都做不了架构师?>>> ...
shiro权限框架与spring框架轻松整合
m0_67393828的博客
04-22 445
shiro是一个权限框架,用于管理网站的权限,大到网站登录过滤,小到一个菜单或按钮是否显示,shiro学习起来非常简单,以下是shiro的执行流程图: 看完不懂的请下载shiro全套视频教程: http://pan.baidu.com/s/1jHOX2MM Subject为当前用户,当它访问系统的时候,就会经过SecurityManager安全管理器,安全管理器类似一个中转站,它实际上会让Realm类来处理用户的认证和授权信息,认证和授权说白了就是账号登陆验证和查找用户所具有的权限,并将权限封装起来供Se
JFinal+shiro整合及demo
weixin_34166472的博客
12-25 138
为什么80%的码农都做不了架构师?>>> ...
JFinal添加Shiro插件功能支持Shiro所有注解-使用篇
weixin_33717117的博客
06-12 161
为什么80%的码农都做不了架构师?>>> ...
Jfinal整合shiro
m0_67391377的博客
08-18 385
进入shiro官网下载对应的jar包,放在WebRoot/WEB-INF/lib文件下。更为完善的角色模型:用户—角色—权限—部门—资源。注:要在所有监听器和拦截器的最前方配置。一般常用的角色模型:用户—角色—权限。最简单的角色模型:用户—权限。...
Jfinal配合Shiro进行权限控制
热门推荐
Calvin的专栏
02-26 2万+
web项目总免不了用户的管理与注册,需求稍微再多一点儿,就涉及用户的角色及权限管理了,下面根据自己项目的实际经验,介绍如何在Jfinal项目中使用Shiro来进行简单的登陆及权限管理。主角简介 Jfinal 位居开源中国年度热门开源项目前列,简单好用快速的java web开发框架,用过就知道。 Shiro Apache基金会顶级项目,所以你懂得。java安全框架里的主流选择,号称相当简单,但是我至
jfinal 整合shiro的使用
synshitou的博客
09-24 3634
meaven 项目转化为 web 项目并在 tomcat 发布过程:http://www.cnblogs.com/zhanggl/p/4733654.html shiro 笔记 1.shiro jar导入                       org.apache.shiro    shiro-core    1.4.0
jfinal配置shiro
weixin_33786077的博客
08-22 235
2019独角兽企业重金招聘Python工程师标准>>> ...
jfinal 集成shiro jar包
05-31
jfinal 3.0以上 集成shiro 的jar 包组合,放心下载使用,实测可以完成集成以及权限拦截
jfinal 整合shiro下载即用
07-26
具体使用步骤会在jfinal官网项目中发表,感谢使用
JFinal2.0整合shiro权限框架,简单好用
05-12
综合网上资料,完成JFinal2.0整合shiro权限框架的demo,demo完整,简单好用
jfinal+shiro整合的一个例子
08-19
eclipse+oracle+jfinal+shiro+sql自己参考网上资料整理!
jfinal培训+shiro介绍
08-31
jfinal培训+shiro介绍 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多
jfinal-shiro-freemarker:jfinal shiro 插件 freemarker 标签
07-08
jfinal shiro plugin freemarker tags,查看其他插件-> maven 引用 ${jfinal-shiro-freemarker.version}替换为相应的版本如:0.2 <groupId>cn.dreampie</groupId> <artifactId>jfinal-shiro-freemarker ${jfinal...
jfinal-shiro-3.2.0-sources.jar
05-15
JFinal集成Shiro插件,实现登录安全,权限控制等。。。。
JFinal-Shiro-JDBC-Demo-master.zip_DEMO_jfinal_shiro
09-21
基于JFinal框架的系统,支持Shiro。仅学习参考。
起点小说解锁.js
最新发布
04-27
起点小说解锁.js
jfinal集成shiro
04-11
5. 配置登录和注销功能:在JFinal的Controller中添加登录和注销的处理逻辑,包括用户登录验证、生成和保存用户的身份信息等。 6. 配置权限注解:使用Shiro注解来标记需要进行权限验证的方法或类,以实现细粒度的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值