配置shiro

最新推荐文章于 2024-05-29 13:02:25 发布
最新推荐文章于 2024-05-29 13:02:25 发布
阅读量225 收藏
点赞数
文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ghx123456ghx/article/details/106407378
版权

一 maven依赖

1.1 普通maven

<properties>
	<shiro.version>1.2.4</shiro.version>
</properties>
<dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro-core</artifactId>
		<version>${shiro.version}</version>
	</dependency>

	<dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro-spring</artifactId>
		<version>${shiro.version}</version>
	</dependency>

	<dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro-ehcache</artifactId>
		<version>${shiro.version}</version>
	</dependency>

	<dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro-web</artifactId>
		<version>${shiro.version}</version>
	</dependency>

1.2 springboot需要的maven

 <dependency>
	    <groupId>org.apache.shiro</groupId>
	    <artifactId>shiro-spring</artifactId>
	    <version>1.3.2</version>
	</dependency>

二 spring-shiro.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd"
       default-lazy-init="true">

    <description>ShiroConfig</description>

    <!--安全管理器-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!--设置自定义Realm-->
        <property name="realm" ref="shiroDbRealm"/>
        <!--将缓存管理器,交给安全管理器-->
        <property name="cacheManager" ref="shiroEhcacheManager"/>
    </bean>

    <!-- 項目自定义的Realm -->
    <bean id="shiroDbRealm" class="com.msunsoft.shiro.ShiroDbRealm"/>

    <!-- Shiro Filter -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 安全管理器 -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 默认的登陆访问url -->
        <property name="loginUrl" value="/login"/>
        <!-- 登陆成功后跳转的url -->
        <property name="successUrl" value="/index"/>
        <!-- 没有权限跳转的url -->
        <property name="unauthorizedUrl" value="/unauth"/>
        <property name="filterChainDefinitions">
            <value>
                /commons/** = anon <!-- 不需要认证 -->
                /static/** = anon
                /images/** = anon
                /scripts/** = anon
                /styles/** = anon
                /login = anon
                /initLogin = anon
                /selectRolePage = anon
                /getChildRoleByPid = anon
                /logout = anon
                 /** = anon
              <!--   /** = authc --> <!-- 需要认证  -->
            </value>
        </property>
    </bean>

    <!-- 用户授权信息Cache, 采用EhCache -->
    <bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:spring/ehcache-shiro.xml"/>
    </bean>

    <!-- 在方法中 注入  securityManager ,进行代理控制 -->
    <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
        <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
        <property name="arguments" ref="securityManager"/>
    </bean>

    <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

    <!-- AOP式方法级权限检查  -->
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor"/>

    <!-- 启用shrio授权注解拦截方式 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>
</beans>

2.1 ehcache-shiro.xml

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE xml>
 <ehcache updateCheck="false" name="shiroCache">
    <defaultCache
            maxElementsInMemory="10000"
            eternal="false"
            timeToIdleSeconds="120"
            timeToLiveSeconds="120"
            overflowToDisk="false"
            diskPersistent="false"
            diskExpiryThreadIntervalSeconds="120"
            />
</ehcache>

三 shiro后台

3.1 ShiroDbRealm.java

package com.msunsoft.shiro;

import com.google.common.collect.Sets;
import org.apache.commons.lang3.StringUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;

import com.msunsoft.model.User;
import com.msunsoft.service.RoleService;
import com.msunsoft.service.UserService;
import com.msunsoft.utils.UserInfoCache;

import java.util.ArrayList;
import java.util.List;
import java.util.Map;
import java.util.Set;

/**
 * @description:shiro权限认证
 */
public class ShiroDbRealm extends AuthorizingRealm {

	private static Logger LOGGER = LoggerFactory.getLogger(ShiroDbRealm.class);

	@Autowired
	private UserService userService;
	@Autowired
	private RoleService roleService;

	/**
     * Shiro登录认证(原理:用户提交 用户名和密码  --- shiro 封装令牌 ---- realm 通过用户名将密码查询返回 ---- shiro 自动去比较查询出密码和用户输入密码是否一致---- 进行登陆控制 )
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken authcToken) throws AuthenticationException {
        LOGGER.info("Shiro开始登录认证");
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
        User user = userService.findUserByLoginName(token.getUsername());
        // 账号不存在
        if (user == null) {
            return null;
        }
        // 账号未启用
        if (user.getStatus() == 1) {
            return null;
        }
//        List<Long> roleList = roleService.findRoleIdListByUserId(user.getId());
        List<Long> roleList = new ArrayList<Long>();
        roleList.add(Long.parseLong(UserInfoCache.getLoginnamerolecache().get(token.getUsername())));
        ShiroUser shiroUser = new ShiroUser(user.getId(), user.getLoginname(), user.getName(), roleList);
        // 认证缓存信息
        return new SimpleAuthenticationInfo(shiroUser, user.getPassword().toCharArray(), getName());

    }

	/**
	 * Shiro权限认证
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

		ShiroUser shiroUser = (ShiroUser) principals.getPrimaryPrincipal();
		List<Long> roleList = shiroUser.roleList;

		Set<String> urlSet = Sets.newHashSet();
		for (Long roleId : roleList) {
			List<Map<Long, String>> roleResourceList = roleService.findRoleResourceListByRoleId(roleId);
			if (roleResourceList != null) {
				for (Map<Long, String> map : roleResourceList) {
					if (StringUtils.isNoneBlank(map.get("URL"))) {
						urlSet.add(map.get("URL"));
					}
				}
			}
		}
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		info.addStringPermissions(urlSet);
		return info;
	}
}

3.2 登录controller

/**
	 * 首页
	 *
	 * @param model
	 * @return
	 */
	@RequestMapping(value = "/index")
	public String index(Model model) {
		return "/index";
//		return "/index";
	}
/**
	 * POST 登录 shiro 写法
	 *
	 * @param username 用户名
	 * @param password 密码
	 * @param request
	 * @param model
	 * @return
	 */
	@RequestMapping(value = "/login", method = RequestMethod.POST)
	@ResponseBody
	public Result loginPost(String userName,String roleId, HttpServletRequest request, Model model) {
		LOGGER.info("POST请求登录");
		Result result = new Result();
		if (StringUtils.isBlank(userName)) {
			result.setMsg("用户名不能为空");
			return result;
		}
		String password = UserInfoCache.getLoginnamepwdcache().get(userName).getPassword();
		if (StringUtils.isBlank(password)) {
			result.setMsg("密码不能为空");
			return result;
		}
		UserInfoCache.getLoginnamerolecache().put(userName, roleId);
		Subject user = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken(userName, DigestUtils.md5Hex(password).toCharArray());
		token.setRememberMe(true);
		try {
			user.login(token);
		} catch (UnknownAccountException e) {
			LOGGER.error("账号不存在:{}", e);
			result.setMsg("账号不存在");
			return result;
		} catch (DisabledAccountException e) {
			LOGGER.error("账号未启用:{}", e);
			result.setMsg("账号未启用");
			return result;
		} catch (IncorrectCredentialsException e) {
			LOGGER.error("密码错误:{}", e);
			result.setMsg("密码错误");
			return result;
		} catch (RuntimeException e) {
			LOGGER.error("未知错误,请联系管理员:{}", e);
			result.setMsg("未知错误,请联系管理员");
			return result;
		}
		result.setSuccess(true);
		return result;
	}

四 jsp

// 登录
function submitForm() {
	//$('#loginform').submit();
	$.ajax({
		type : "post",
		url : path + '/zymiLoginPost',// 全路径
		data : {
			userCode : $("#userCode").val(),
			password : $("#password").val()
		},
		dataType : "json",// 指定参数类型
		success : function(result) {// 接收返回结果,类型为一个对象
			if (result.success) {
//				window.location.href = path + '/selectPage?userCode='
//						+ $("#userCode").val();
				window.location.href = path + '/docMainPage?userCode='
				+ $("#userCode").val();
				
			} else {
				alert(result.msg);
			}
		}
	});
}
ghx123456ghx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro框架详解
qq_39756007的博客
02-21 780
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。
shiro入门
weixin_66277385的博客
04-11 3467
Shiro简介 1、什么是Shiro Shiro是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。 2、Shiro核心架构 Subject Subject即主体,外部应用与subject进行交互,subject记录了当前的操作用户,将用户的概念理解为当前操作的主体。外部程序通过subject进行认证授权,而subject是通.
springboot整合shiro入门,实现认证和授权功能(非常详细)
沐雨橙风ιε的博客
07-02 5712
自定义过滤器AuthorizationFilter实现鉴权功能。/*** 鉴权过滤器*/@WebFilter@Override= null &&!// 构建返回对象JsonResult<Void> jsonResult= JsonResult.error(ResponseCode.UNAUTHORIZED, "正在访问未授权的资源");return;
Shiro漏洞利用工具
最新发布
seoppg的博客
05-29 590
Shiro漏洞利用工具。
Shiro基础(1)
weixin_67696142的博客
06-23 193
Shiro基础(1)
Shiro入门学习(整合SpringBoot)
qq_25046827的博客
04-03 4557
Apache Shiro是Java的一个安全(权限)框架 可以完成:认证、授权、加密、会话管理、与Web集成和缓存等 用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成一个Token令牌,通过安全管理器中的认证器进行校验,成功则授权以访问系统 shiro三大功能模块 Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Rea.
shiro配置详解
qq_35731738的博客
03-29 457
1、配置web.xml   &lt;!-- Shiro Filter is defined in the spring application context: --&gt;    &lt;filter&gt;        &lt;filter-name&gt;shiroFilter&lt;/filter-name&gt;        &lt;filter-class&gt;org.sprin...
Spring配置shiro时自定义Realm中属性无法使用注解注入的解决办法
08-26
总结一下,解决Spring配置Shiro时自定义Realm中属性无法使用注解注入的问题,关键在于理解两个框架的生命周期,并调整配置文件确保Spring先于Shiro加载。这样做不仅解决了注解注入的问题,也使得整个应用的启动流程...
spring配置shiro参考文档
07-12
适用于spring集成的javaweb环境
简单配置 shiro + spring +springMVC+hibernate简单框架
02-20
配置applicationContext-shiro.xml 1. 配置authorizingRealm <bean id="authorizingRealm" class="com.mjm.core.interceptor.ShiroRealm"> 2.Shiro Filter 设置拦截的内容和登录页面和成功、失败页面 3.配置...
shiro 配置文件
01-06
下面将详细介绍如何在 Web 应用中配置 Shiro,并结合 Spring 进行整合。 首先,我们来看 `web.xml` 文件中的配置Shiro 的 Web 支持通常通过 Filter 方式进行,主要涉及两个 Filter:`ShiroFilter` 和 `...
springmvc+shiro配置教程
11-16
本文将详细介绍如何在SpringMvc项目中配置Shiro,以实现基于角色的访问控制。 一、Pom.xml配置 在Pom.xml文件中,我们需要添加Shiro相关的依赖项,以便使用Shiro的安全机制。以下是一个基本的Pom.xml配置文件: `...
shiro基本配置
m0_67393413的博客
08-24 291
”.equals(password)){if(hexpassword.equals(user.getPassword())){System.out.println(“验证成功”);
Shiro安全框架(七)——Shiro集成Spring
qq_42386143的博客
08-12 189
1.创建项目 在pom.xml中引入依赖坐标 <properties> <spring.version>5.0.2.RELEASE</spring.version> <slf4j.version>1.6.6</slf4j.version> <log4j.version>1.2.12</log4...
Apache Shiro(三)——Spring Boot 与 Shiro的 整合
传臣、的博客
10-24 2501
在了解了Apache Shiro的架构、认证、授权之后,我们来看一下Shiro与Web的整合。下面以Spring Boot为例,介绍一下Spring Boot 与 Shiro的 整合。
Shiro权限框架 01(shiro框架入门)
m0_67094505的博客
08-24 442
Shiro是Apache的一个开源框架,是一个权限管理的框架,实现用户认证、用户授权。​ 权限管理,一般指根据系统设置的安全策略或者安全规则,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。Spring中有Spring security(原名Acegi),是一个权限框架,它和Spring依赖过于紧密,没有Shiro使用简单。Shiro不依赖于Spring,Shiro不仅可以实现Web应用的权限管理,还可以实现c/s系统。
shiro安全漏洞整理记录
上善若水,水善利万物而不争
03-15 749
记一次shiro安全漏洞处理。 问题描述 shrio反序列漏洞修复 修复方式 1、确定使用的shiro版本是否高于1.2.4 2、在代码中添加类文件生成AES密钥 package cn.hy.common.config; import org.apache.log4j.Logger; import org.springframework.context.annotation.Bean; import javax.crypto.KeyGenerator; import ja.
springboot配置shiro
09-06
5. 在application.properties或application.yml文件中配置Shiro的相关属性。您可以设置身份验证的URL、登录URL、注销URL等。例如,在application.yml文件中添加以下配置: ```yaml shiro: loginUrl: /login ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值