shiro与spring的整合使用

最新推荐文章于 2021-06-29 14:49:34 发布
最新推荐文章于 2021-06-29 14:49:34 发布
阅读量227 收藏
点赞数
分类专栏: javaweb 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuyun1991/article/details/78806692
版权

shiro与spring的整合使用

简介

Apache Shiro是Java的一个安全框架,Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。其基本功能点如下图所示:

这里写图片描述
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:Web支持,可以非常容易的集成到Web环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

(一)配置文件:

  1. 导入pom坐标
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-all</artifactId>
        <version>${shiro.version}</version>
    </dependency>

2.在web.xml文件中配置Filter拦截器

<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy
    </filter-class>
</filter>
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

3.在applicationContext.xml文件中引入一个applicationContext-shiro.xml文件

<import resource="applicationContext-shiro.xml"/>

新建一个applicationContext-shiro.xml文件,内容如下:

    <!-- shiro filter配置 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- shiro 的核心安全接口 -->
        <property name="securityManager" ref="securityManager" />
        <!-- 要求登录时的链接 -->
        <property name="loginUrl" value="/login.html" />
        <!-- 登陆成功后要跳转的连接 -->
        <property name="successUrl" value="/index.html" />
        <!-- 未授权时要跳转的连接 -->
        <property name="unauthorizedUrl" value="/unauthorized.html" />
        <!-- shiro 连接约束配置 -->
        <!-- url级别权限权限控制 -->
        <property name="filterChainDefinitions">
            <value>
                /login.html*=anon
                /user_login.action*=anon
                /validatecode.jsp*=anon
                /css/**=anon
                /js/**=anon
                /images/**=anon
                /services/**=anon
                /pages/base/courier.html*=perms[courier:list]
                /pages/base/area.html*=roles[base]
                /**=authc
            </value>
        </property>
    </bean>

    <!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="bosRealm"></property>

    </bean>
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
        <!-- 开启注解模式 -->
    <bean
        class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
        depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true"></property>
    </bean>
    <bean
        class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager" />
    </bean>

(二)使用

了解 Shiro 执行流程, 应用程序 — Subject — SecurityManager — Realm 安全数据
自定义一个Realm类,继承AuthorizingRealm。

public class BosRealm extends AuthorizingRealm{

    @Autowired
    private UserService userService;

    @Autowired
    private RoleService roleService;

    @Autowired
    private PermissionService permissionService;
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(
            PrincipalCollection pc) {
        System.out.println("shiro授权管理..");
        SimpleAuthorizationInfo authorizationInfo=new SimpleAuthorizationInfo();
        Subject subject = SecurityUtils.getSubject();
        User user=(User) subject.getPrincipal();

        List<Role> roles=roleService.findroleByUser(user);
        for (Role role : roles) {
            authorizationInfo.addRole(role.getKeyword());

        }

        List<Permission> permissions=permissionService.findpermByUser(user);
        for (Permission permission : permissions) {
            authorizationInfo.addStringPermission(permission.getKeyword());
        }

        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken token) throws AuthenticationException {
        System.out.println("shiro认证管理..");
        UsernamePasswordToken usernamePasswordToken=(UsernamePasswordToken) token;

        User user=userService.findByUsername(usernamePasswordToken.getUsername());
        if(user==null){
            return null;
        }else {
            return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
        }


    }

}

1.用户授权
比如在一个登陆的action中

@Action(value="user_login",results={@Result(name="success",type="redirect",location="index.html"),@Result(name="login",type="redirect",location="login.html")})
    public String login(){
        Subject subject = SecurityUtils.getSubject();
        AuthenticationToken token=new UsernamePasswordToken(model.getUsername(), model.getPassword());

        try {
            subject.login(token);
            return SUCCESS;

        } catch (AuthenticationException e) {
            e.printStackTrace();
            return LOGIN;
        }

    }

用户退出:

@Action(value="user_logout",results={@Result(name="success",location="login.html",type="redirect")})
    public String logout(){
        Subject subject = SecurityUtils.getSubject();
        subject.logout();

        return SUCCESS;

    }
霸刀one
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring_shiro介绍
weixin_67695384的博客
06-23 3588
shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于springshiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。应用场景:shiro 解决应用安全的四要素:Shiro的体系结构具有3个主要概念:Subject(主题)
shiro-spring
m0_46392290的博客
05-17 393
前言 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序, 从最小的移动应用程序到最大的网络和企业应用程序。 核心组件 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。 SecurityManager:它是Shiro框架的核心,
Shiro-Spring
qinheJ的博客
08-01 364
Shiro总结 一、配置 1、Shiro框架的搭建 &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-core&lt;/artifactId&gt; &lt;version...
Spring中配置Shiro
Kaybee - 练级之路
09-29 1293
适时的总结和做笔记真的很重要啊,不然过一段时间不用就忘了 - -||| 之前做过一个权限管理的功能,用到了shiro,也是现学现用,总结一下在springshiro如何配置。 总的来说配置有这几点: 在 web.xml 中配置 Shiro 的 Filter 在 Spring 的配置文件中配置 Shiro : 配置自定义 Realm:实现自定义认证和授权 配置 ...
springMVC环境下的shiro简单入门上手
weixin_42500220的博客
05-24 265
哈哈
shirospring整合工程源代码
03-08
ShiroSpring整合,可以充分利用两者的优点,实现更高效、更灵活的安全管理。 在"shirospring整合工程源代码"中,我们可以看到以下几个关键的知识点: 1. **Shiro的核心组件**: - **Authentication(认证)...
shirospring 整合、动态过滤链、以及认证、授权.docx
07-20
例如,设置 `contextConfigLocation` 参数来指定 Spring 应用上下文配置文件的位置,并使用 `DelegatingFilterProxy` 作为 Shiro 过滤器,确保过滤器生命周期与 Spring 管理的 bean 生命周期同步。 ```xml ...
SpringShiro整合及加载权限表达式问题
08-25
SpringShiro整合及加载权限表达式问题 SpringShiro整合是一种常见的身份验证和授权机制,Shiro提供了强大的权限控制机制,而Spring是一个流行的Java框架。这篇文章主要介绍了如何将SpringShiro整合,並加载...
shirospring整合
01-15
在本文中,我们将深入探讨ShiroSpring整合的关键知识点,包括整合的目的、核心组件、配置过程以及实际应用。 **一、整合目的** Shiro是一款轻量级的安全框架,提供了认证、授权、会话管理和加密等核心功能。...
Apache shiro的简单介绍与使用教程(与spring整合使用
09-15
**ShiroSpring整合**: - Spring框架可以通过`DelegatingFilterProxy`来代理Shiro的Filter,这样可以在Spring的上下文中管理Shiro的生命周期。 - 在`web.xml`中配置Shiro Filter,确保其在其他过滤器之前执行。 ...
spring+springMVC+shiro 完美例子
04-15
非常完美的spring+springMVC+shiro 完美例子实现权限认证,相信你一定会喜欢,里面有文档说明
shiro整合spring项目实例
11-04
shiro整合spring项目实例,shiro整合spring项目实例,shiro整合spring项目实例
shiro集成spring
weixin_40308688的博客
06-28 1451
创建项目pom引包&lt;dependencies&gt; &lt;!--spring--&gt; &lt;dependency&gt; &lt;groupId&gt;org.springframework&lt;/groupId&gt; &lt;artifactId&gt;spring-context&lt;/artifactId&gt;
spring-boot整合shiro
都是浮云
10-06 2万+
概述 权限体系在现代任何IT系统中都是很基础但又非常重要的部分,无论是传统MIS系统还是互联网系统,出于保护业务数据和应用自身的安全,都会设计自己的授权鉴权策略。 最近项目中也需要用到权限验证功能,项目为spring-boot工程,现成的权限验证框架有shirospring-security,shiro相对spring-security来说学习难度要低一点,也是老牌成熟的产品,因此选择shiro...
Spring-Shiro介绍及其使用
FD_YOLO的博客
06-29 1059
Spring-Shiro介绍及其使用 What is Apache Shiro? Apache Shiro是一个功能强大、灵活的,开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。 Apache Shiro的首要目标是易于使用和理解。安全通常很复杂,甚至让人感到很痛苦,但是Shiro却不是这样子的。一个好的安全框架应该屏蔽复杂性,向外暴露简单、直观的API,来简化开发人员实现应用程序安全所花费的时间和精力。 Shiro能做什么呢? 验证用户身份 用户访问权限控制,比如:1、判断用户
Shiro-菜鸟实战篇-shiro集成spring
郝啊的博客
12-22 549
环境搭建 创建Maven工程,导入坐标 <dependencies> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.12</version> <sc...
shirospring的集成
weixin_42543911的博客
06-01 178
在web项目中使用shiro进行权限的控制(主要是认证authentication和授权authorization两部分),首先要进行的就是环境的配置。主要的步骤包括,加入jar包,配置web.xml,配置applicationContext.xml。接下来是详细步骤。 1.除了spring本身项目的jar包,还要加入四个jar包 (1)shiro-all-1.2.5.jar (2)slf4...
Shiro权限控制(一):Spring整合Shiro
热门推荐
kity9420的专栏
03-30 3万+
1.介绍如何在SpringMVC中整合Shiro权限框架 2.介绍如何使用Shrio进行身份验证,如常见的登录 3.介绍如何控制哪些服务登录后才能访问,哪些服务不需要登录就可以访问
Shiro之与spring整合
积跬步,至千里。
08-04 416
Apache Shiro 快速入门教程之(三)添加依赖web.xml配置shiroFilter自定义realm添加spring-shiro.xml配置文件编写登录方法使用Shiro注解授权一、授权方式1.编程式:2.注解式:3.JSP/GSP 标签:二、配置权限注解支持三、配置无权限异常信息统一处理方式使用Shiro缓存添加依赖spring-shiro.xml添加缓存管理器添加缓存配置文件 ehcache.xmlsecurityManager安全管理器引用缓存管理器清空缓存使用Shiro加密1.添加凭证匹配
ShiroSpringSecurity
最新发布
09-02
引用中提到,Spring Security的社区支持度更高,作为Spring框架的一部分,它能够更好地与Spring整合,并且在支持力度和更新维护方面有优势。如果你已经在使用Spring框架,那么选择Spring Security可能更加合适。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值