Shiro在strust2+spring中的应用

最新推荐文章于 2024-08-05 23:09:45 发布
最新推荐文章于 2024-08-05 23:09:45 发布
阅读量470 收藏
点赞数 1
分类专栏: Java之路 文章标签: spring ssh shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feiying2j/article/details/50590621
版权

  Shiro 是一个用 Java 语言实现的框架,通过一个简单易用的 API 提供身份验证和授权。使用 Shiro,您就能够为您的应用程序提供安全性而又无需从头编写所有代码。

  由于最近学习用到shiro,分享一下自己使用和剖析的经过。

  首先是shiro的核心功能


  shiro的基本调用调用关系


  步骤如下:

1.首先设置web.xml文件引入shiro的过滤器


   
   
	
    
    
     
     shiroFilter
    
    
	
    
    
     
     org.springframework.web.filter.DelegatingFilterProxy
    
    
	
    
    
	    
     
     
        
     
     
      
      targetFilterLifecycle
     
     
        
     
     
      
      true
     
     
    
    
    

   
   
 

   
   
	
    
    
     
     OpenSessionInViewFilter
    
    
	
    
    
     
     /*
    
    
 
   
   
 
   
   

   
   
	
    
    
     
     shiroFilter
    
    
	
    
    
     
     /*
    
    

   
   

   
   
    
    
    
     
     struts2
    
    
    
    
    
     
     /*
2.在spring中引入shiro的相关核心类 

    
    

    
     
	 
	 
     
     
      
      Shiro安全配置
     
       
  
    
     
     
	
     
     
    
     
       
    
     
       
        
      
      
        
      
        
    
     
       
    
     
     
       
    
     
       
        
      
        
    
     
      
    
     
       
    
     
       
        
      
        
        
      
        
    
     
       
      
    
     
       
    
     
       
        
      
        
        
      
        
        
      
      
        
      
        
            
       
          
        
        
               /index.jsp* = anon
				/home* = anon
				/sysadmin/login/login.jsp* = anon
				/sysadmin/login/logout.jsp* = anon
				/login* = anon
				/logout* = anon
				/staticfile/** = anon
				
				/** = authc
3.编写自己的Realm实现类,需继承 AuthorizingRealm。当shiro认证和授权时候回调 
package cn.tarena.ht.shiro;

import java.util.List;

import org.apache.log4j.Logger;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import cn.tarena.ht.domain.User;
import cn.tarena.ht.service.UserService;

public class AuthRealm extends AuthorizingRealm{
	private static Logger log = Logger.getLogger(AuthRealm.class);
	//spring框架注入,将shiro和spring整合。
	private UserService userService;
	public void setUserService(UserService userService) {
		this.userService = userService;
	}

	//授权 此方法每遇到shiro标签或者注解都会执行一次
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		log.info("授权");
		
		//从principals中获取第一个元素,它就是当前用户对象
		User _user = (User)principals.fromRealm(getName()).iterator().next();
		String username = _user.getUsername();
		//获取到所有角色权限的字符串,采用缓存可以大幅度减少查询次数
		List
    
    
     
      permissionList = userService.getModuleByUsername(username);
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		info.addStringPermissions(permissionList);	//将权限串集合,内部进行比较
		
		return info;
	}

	//认证(登录)
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		log.info("认证");
		//获取spring容器中的bean
		UsernamePasswordToken uToken = (UsernamePasswordToken)token;
		User _user = userService.findByUsername(uToken.getUsername());	//持久化
		AuthenticationInfo info = null; 
		if(_user!=null){
			//参数:数据库的用户,数据库中的密码(加密后),当前的自定义realm
			info = new SimpleAuthenticationInfo(_user,_user.getPassword(),getName());
		}
		
		return info;
	}

}
4.如果需要自己制定加密方法要继承 SimpleCredentialsMatcher 并把实现类注入给shiro,见spring配置文件 
package cn.tarena.ht.shiro;

import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;
import org.apache.shiro.crypto.hash.Md5Hash;


public class CustomCredentialsMatcher extends SimpleCredentialsMatcher {
	public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
		UsernamePasswordToken usertoken = (UsernamePasswordToken) token; 
		
		//注意token.getPassword()拿到的是一个char[],不能直接用toString(),它底层实现不是我们想的直接字符串,只能强转
		String salt = usertoken.getUsername();
		Object tokenCredentials =md5(String.valueOf(usertoken.getPassword()),salt);  
		Object accountCredentials = getCredentials(info);  

		//将密码加密与系统加密后的密码校验,内容一致就返回true,不一致就返回false  
		return equals(tokenCredentials, accountCredentials);  
	}

    
     //高强度加密算法,不可逆 salt=username+id
    	public String md5(String password, String salt){
    		return new Md5Hash(password,"zs"+salt,2).toString();
    	}
}

shiro的登入认证: 
public String login(){
		if(userName==null||password==null)
			return "login";
		
		AuthenticationToken token=new UsernamePasswordToken(userName,password);
		SecurityUtils.setSecurityManager(securityManager);
		Subject sub=SecurityUtils.getSubject();
		
		try{
		    sub.login(token);
		    User _user=(User)sub.getPrincipal();
		    System.out.println(_user.getDept().getDeptName());//防止跳转造成懒加载问题
			session.put(SysConstant.CURRENT_USER_INFO, _user);	//记录session
			return SUCCESS;
		}catch(Exception e){
			String msg = "登录错误,请重新填写用户名密码!";
			this.setErrorInfo(msg);
			return "login";
		}

shiro网站中的权限菜单控制: 

       
       
	
        
        货运管理
	
        
        

       
       

       
       
	
        
        统计分析
	
        
        

       
       

       
       
	
        
        基础信息

shiro方法中的权限控制: 
    @RequiresPermissions("系统管理")
	public String list(){
		List
      
      
       
        dataList = deptService.find("from Dept o", Dept.class, null);
		super.put("dataList", dataList);
		
		return "plist";
	}

以上是基本shiro功能的使用,附上授权和认证的流程图:






  shiro的教科书式网站:http://www.ibm.com/developerworks/cn/web/wa-apacheshiro/ 


JoBingXu
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro整合SSH开发2:结合Struts2实现登陆和退出以及Shiro执行流程和原理解析
机智猫
04-11 2万+
登陆原理如下: 当用户没有认证时,请求loginurl进行认证【在applicationContext-shiro.xml 配置】,用户身份和用户密码提交数据到loginurl 从表单提交认证的request被FormAuthenticationFilter拦截住,取出request的username和password【这两个参数的名称是可以配置的】。 FormAuthentication
Shiro整合SSH开发1:整合Shiro+Struts2+Spring+Hibernate 初步整合配置【基于Maven】
热门推荐
机智猫
03-31 1万+
我看的视频教程使用的是SSM(Spring+SpringMVC+mybaties),但是我目前用的是SSH,特别是Struts2,在学习的时候特别不方便,后面在网络上面查找对应的文章,写的东西都不够详尽。因此我自己根据视频教程的配置流程一步步转化为关于SSH的配置。(虽然初步配置完成后发现和Controller层的关系不大,但是写下这篇文章还是觉得挺有成就感的。) 这是一个基础的配置,直到基础配置完成为止,我并没有进行一个详细的认证和授权的流程,但是也希望通过这篇文章能帮助到大家。如果大家觉得
spring+struts2+ibatis(mybatis)+shiro项目构建架构
yu_duan_hun的博客
08-01 501
最近接了个项目,是java web项目,结构上不算复杂值得学习,不能透露,梳理一下原理。 1.spring主要用于aop用法,配置applicationContext里面的bean 2.struts2是项目请求的主要方式 3.ibatis用于sql请求 4.shiro用于用户验证 1.基本结构(已改,更好理解) a.action 进行请求 b.util 公共类,公共变量等配置 c....
apache shiro整合struts2+spring+mybatis简单demo
goodluck_wgw的博客
03-28 176
先上一段shiro获取数据源的代码,Demo见附件 public class AuthenticationRealm extends AuthorizingRealm { private static final Logger log = LoggerFactory.getLogger(AuthenticationRealm.class); @Autow...
Shiro+Struts2+Spring3 加上@RequiresPermissions 后@Autowired失效
chixi5117的博客
05-21 167
今天一iteye网页在问答频道提问【Shiro+Struts2+Spring3 加上@RequiresPermissions 后@Autowired失效】,记录一下。 问题: @ParentPackage("all") @Namespace("/project...
一、Shiro+Spring+Struts2集成演示权限控制Demo示例
欲望以提升热忱 毅力以磨平高山
03-27 8680
更好的理解shiro安全框架的好demo,不容错过~~
ERP2 shiro+hibernate4+struts2+spring+easyui+fusioncharts
cqh520llr的专栏
06-10 124
[code="java"] http://pan.baidu.com/share/link?shareid=670263389&uk=253556759 1,shiro+hibernate4+struts2+spring+easyui+fusioncharts部分bootstrap样式全注解零配置简单权限管理web项目 2,简单shiro权限管控 细度到按钮 3,安装方法按config...
Shiro+Spring+Struts2集成演示权限控制
记事本
09-18 1614
Shiro+Spring+Struts2集成演示权限控制
shiro+struts2+mybatis+spring整合实例
08-18
"Shiro+Struts2+MyBatis+Spring"的整合就是这样的一个例子,它将四个各自具有特定功能的框架结合在一起,以实现更强大、灵活的Web应用程序。下面将详细解释这些框架以及它们在整合的作用。 1. **Apache Shiro**:...
基于shiro+struts2+hibernate+Spring+sitemash框架集合的毕业设计管理系统
05-18
【标题】基于Shiro+Struts2+Hibernate+Spring+Sitemash框架集合的毕业设计管理系统是一种综合运用多种技术实现的企业级应用。这个系统利用这些框架的特性,构建了一个功能完善的管理平台,旨在提升开发效率,优化...
shiro+hibernate4+struts2+spring+easyui+fusioncharts
03-15
1,shiro+hibernate4+struts2+spring+easyui+fusioncharts部分bootstrap样式全注解零配置简单权限管理web项目 2,简单shiro权限管控 细度到按钮 3,安装方法按config.properties参数配置你的数据库 4,运行dbsql.sql 5,...
简单的权限管理搭建 shiro +hibernate4+struts2+spring+easyui+fusioncharts部分bootstrap样式
11-06
本项目"简单的权限管理搭建 shiro +hibernate4+struts2+spring+easyui+fusioncharts部分bootstrap样式"是基于一系列成熟的技术框架进行实现的。接下来,我们将深入探讨这些技术及其在权限管理应用。 1. **...
免费【2024】springboot 二手图书交易系统的设计与实现
weixin_53646065的博客
08-05 698
随着世界经济信息化、全球化的到来和互联网的飞速发展,推动了各行业的改革。若想达到安全,快捷的目的,就需要拥有信息化的组织和管理模式,建立一套合理、动态的、交互友好的、高效的二手图书交易系统。当前的信息管理存在工作效率低,工作繁杂等问题,基于信息化的二手图书交易管理目前还没有完善的系统机制。
SpringBoot基础 第一天
最新发布
2301_80034662的博客
08-05 331
Person类利用ConfigurationProperties(prefix=" ")引入配置类的元素 但是注意Person类的类的名字必须与application.yaml一致。如果不是标准的application.properties 是其他的Person类需要用PropertySource来添加配置文件的路径。给容器添加组件,将方法的返回值添加到容器 容器这个组件的默认ID就是方法名。的配置文件,我们自己编写的配置文件,也不能自动识别;的配置文件,让配置文件里面的内容生效;
【过滤器 vs 拦截器】SpringBoot过滤器与拦截器:明智选择的艺术(如何在项目做出明智选择)
weixin_68020300的博客
07-25 1429
本文深入剖析了SpringBoot框架下过滤器与拦截器的核心差异及应用场景,指导开发者在面对请求-响应周期的不同需求时,如何做出最佳技术选择。无论是实现安全性、日志记录,还是权限控制与数据预处理,本文都将帮助你理解何时何地使用过滤器或拦截器,以构建更加高效、可维护的Web应用程序。通过对比二者的特性与优劣,本文旨在赋能开发者,使其在实际项目灵活运用这两种强大工具,达成项目目标。
SpringBoot的server.context-path
棒棒糖的糖不含糖的博客
08-01 331
书接上回,首先,先看一张图片。
从根儿上学习spring 五 之run方法启动第二段
baidu_19338587的博客
08-04 576
讲完了PropertySources和PropertySource,我们再回头看图6的方法configurePropertySources方法似乎变得很简单没必要一行行分析了吧,这个方法就是向environment的sources属性里加入启动时的两个PropertySource,有不清楚的同学再结合我上面说的对着代码看两遍就清楚了,我就不再赘述了。Environment接口继承了PropertyResolver接口,PropertyResolver接口主要提供了获取配置属性的方法,如图3所示。
Shiro入门到精通:Spring、Ibatis、Hibernate与Struts2集成教程
本资源是一份详尽的Shiro(Apache Shiro)教程,涵盖了ShiroSpring、Ibatis、Hibernate和Struts2等技术框架应用Shiro是一个强大的安全框架,用于实现身份验证(Authentication)、授权(Authorization)和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值