话不多说直接上代码:
<!-- 自定义Realm -->
<bean id="myRealm" class="com.gcc.realm.MyRealm"/>
<!-- 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="myRealm"/>
</bean>
<!-- Shiro过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- Shiro的核心安全接口,这个属性是必须的 -->
<property name="securityManager" ref="securityManager"/>
<!-- 身份认证失败,则跳转到登录页面的配置 -->
<property name="loginUrl" value="/login.jsp"/>
<!-- Shiro连接约束配置,即过滤链的定义 -->
<property name="filterChainDefinitions">
<value>
/login=anon
/admin/**=authc
</value>
</property>
</bean>格式如下:
1:/index.html = anon
2:/user/create = ssl
3:/user/** = authc
4:/admin/** = authc, roles[administrator]
5:/rest/** = authc, rest
6:/remoting/rpc/** = authc, perms["remot:invoke"]
这里做出解释,等号左边是一个与 Web 应用程序上下文根目录相关的 Ant 风格的路径表达式,例如:/account/** = ssl, authc
此行表明,“任何对我应用程序的/accout 或任何它的子路径(/account/foo, account/bar/baz,等等)的请求都将触
发'ssl, authc'过滤器链”。
什么是过滤器链呢,就是等号右边的过滤器列表,用来执行匹配该路径的请求。
这个过滤器可以自定义,也可以用shiro预装的(一般情况预装的足够使用)。
这里举例常用的:
authc-------------org.apache.shiro.web.filter.authc.FormAuthenticationFilter
作用:确保最终用户被认证,如果不是,重定向到anno对应的路径上。如上方格式3
user--------------org.apache.shiro.web.filter.authz.UserFilter
作用:确保最终用户登录过,即通过Readmemberme登录,如果不是,重定向到anno对应的路径上。这里不再赘述认证和登录的区别。
anon--------------org.apache.shiro.web.filter.authc.AnonymousFilter
作用:不用验证可以直接访问指定路径。如上方格式1
perms ------------org.apache.shiro.web.filter.authz.PermissionAuthorizationFilter
作用:有指定权限才能通过验证,再访问指定路径。如上方格式6
roles--------------org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
作用:通过指定的角色的验证,才能访问指定路径。如上方格式4
ssl-----------------org.apache.shiro.web.filter.authz.SslFilter
作用:是安全的url请求,是https协议,才能访问指定路径。如上方格式2
小的功成身退,感谢各位同志看完
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
