springrain技术详解(1)-shiro基本权限控制

最新推荐文章于 2021-02-13 03:55:12 发布
最新推荐文章于 2021-02-13 03:55:12 发布
阅读量148 收藏
点赞数
分类专栏: shiro 文章标签: shiro session session共享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_10343/article/details/82671984
版权

shiro是一个非常强大灵活的权限控制框架,属于apache的顶级项目.springrain使用shiro实现了权限控制功能.

 

下图充分说明了shiro的体系架构

归根到底,权限控制无非是利用过滤器控制访问的认证和授权,shiro也不例外.我们来看看shiro是怎么实现的吧.

要在web中使用shiro,总共分三步:

第一步:在web.xml中配置shiro的过滤器,建议是应用的第一个过滤器,springrain示例配置如下:

01 <filter>
02 <filter-name>shiroFilter</filter-name>
03 <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
04 <init-param>
05 <param-name>targetFilterLifecycle</param-name>
06 <param-value>true</param-value>
07 </init-param>
08 </filter>
09 <filter-mapping>
10 <filter-name>shiroFilter</filter-name>
11 <url-pattern>/*</url-pattern>
12 <dispatcher>REQUEST</dispatcher>
13 <dispatcher>FORWARD</dispatcher>
14 <dispatcher>INCLUDE</dispatcher>
15 <dispatcher>ERROR</dispatcher>
16 </filter-mapping>

这个shiroFilter其实是个spring bean,等下会重点说这个bean,dispatcher这个标签是为了在forward和redirect的情况下也需要经过过滤器

第二步:配置spring-shiro,springrain配置是applicationContext-shiro.xml

01<!-- 权限管理器 -->
02 <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
03<!-- 数据库认证的实现 org.springrain.frame.shiro.ShiroDbRealm -->
04 <property name="realm" ref="shiroDbRealm" />
05<!-- session 管理器 -->
06 <property name="sessionManager" ref="sessionManager" />
07<!-- 缓存管理器 -->
08 <property name="cacheManager" ref="shiroCacheManager" />
09 </bean>
10<!-- session管理器 -->
11 <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
12<!-- 超时时间 -->
13 <property name="globalSessionTimeout" value="1800000"/>
14<!-- session存储的实现 -->
15 <property name="sessionDAO" ref="shiroSessionDao"/>
16<!-- sessionIdCookie的实现,用于重写覆盖容器默认的JSESSIONID -->
17 <property name="sessionIdCookie" ref="sharesession"/>
18<!-- 定时检查失效的session -->
19 <property name="sessionValidationSchedulerEnabled" value="true" />
20 </bean>
21 
22<!-- sessionIdCookie的实现,用于重写覆盖容器默认的JSESSIONID -->
23 <bean id="sharesession" class="org.apache.shiro.web.servlet.SimpleCookie">
24<!-- cookie的name,对应的默认是 JSESSIONID -->
25 <constructor-arg name="name" value="SHAREJSESSIONID"/>
26 </bean>
27<!-- session存储的实现 -->
28 <bean id="shiroSessionDao" class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO" />
29 
30<!-- 缓存管理实现 -->
31 <bean id="shiroCacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" />
32 
33<!-- shiro的主过滤器,beanId 和web.xml中配置的filter name需要保持一致 -->
34 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"
35 depends-on="frameperms">
36<!-- 安全管理器 -->
37 <property name="securityManager" ref="securityManager" />
38<!-- 默认的登陆访问url -->
39 <property name="loginUrl" value="/login" />
40<!-- 登陆成功后跳转的url -->
41 <property name="successUrl" value="/index" />
42<!-- 没有权限跳转的url -->
43 <property name="unauthorizedUrl" value="/unauth" />
44<!-- 访问地址的过滤规则,从上至下的优先级,如果有匹配的规则,就会返回,不会再进行匹配 -->
45 <property name="filterChainDefinitions">
46 <value>
47/js/** = anon
48/css/** = anon
49/images/** = anon
50/myimg/**= anon
51/unauth = anon
52/getCaptcha=anon
53/login = anon
54/favicon.ico = anon
55/index = user
56/logout = logout
57/menu/leftMenu=user
58/**/ajax/** = user
59/** = user,frameperms
60 </value>
61 </property>
62<!-- 声明自定义的过滤器 -->
63 <property name="filters">
64 <map>
65 <entry key="frameperms" value-ref="frameperms"></entry>
66 </map>
67 </property>
68 </bean>
69<!-- 起效权限注解,这个很少在web项目中用到,一般是控制url的访问,不是在controller中声明权限注解 -->
70 <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

frameperms是自定义的过滤器,除了那些特殊url,其他的菜单都在数据库,查询用户权限判断,下一篇文章介绍下权限相关的表结构.
另外不建议在web项目使用类似 admin:user:edit这种方式控制权限,这种方式等同给url又起了一个别名,这样虽然看起来比较容易理解,但是相当死板和麻烦.建议直接使用url判断权限
authc 和 user的区别是 user包含 rememberme,authc不包含,就这一点区别.

第三步:实现数据库认证和权限过滤

数据库认证shiroDbRealm的代码:

http://git.oschina.net/chunanyong/springrain/blob/master/springrain/src/org/springrain/frame/shiro/ShiroDbRealm.java

自定义权限过滤frameperms的代码:

http://git.oschina.net/chunanyong/springrain/blob/master/springrain/src/org/springrain/frame/shiro/FramePermissionsAuthorizationFilter.java

另外 springrain 没有使用authc实现登陆,而是使用一个普通的controller方法进行登陆
org.springrain.frame.controller.BaseController.loginPost(User, HttpSession, Model, HttpServletRequest)
其中
//会调用 shiroDbRealm 的认证方法
//org.springrain.frame.shiro.ShiroDbRealm.doGetAuthenticationInfo(AuthenticationToken)
user.login(token);

本文出自 9iu.org,转载时请注明出处及相应链接。

本文永久链接: http://www.9iu.org/2013/12/10/springrain1-shiro.html

0
iteye_10343
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springrain技术详解(2)-权限表结构
zhenjw
08-18 620
在实际项目中,权限控制是必须要放到数据库管理的,我们来看下springrain是怎么设计权限的表结构吧先上ER图 t_org是部门表,考虑到员工兼职,所以有t_user_org 中间表. t_menu是菜单表,字段 type 是标示是菜单资源还是普通资源  菜单资源的意义就是导航菜单,会显示到左侧导航,普通资源就是菜单内的按钮或者提交路径,这个时候 pid的意义就比较重要了,pid就...
springrain技术详解(3)-shiro的filterChainDefinitions
zhenjw
08-18 167
springrain使用shiro控制权限,配置filterChainDefinitions结合数据库校验权限. shiro在web.xml中配置全局过滤器,springrain配置的是一个spring bean “shiroFilter”,在这个bean中可以根据访问路径再配置不同的过滤器, shiro 默认自带的过滤器如下: Filter Name Class anon ...
springrain -权限表结构 分析设计 Jfinal 代码生成器
gredn的专栏
04-20 1279
http://www.9iu.org/2013/12/11/springrain2-basetable.html springrain开源项目 springrain技术详解(1)-shiro基本权限控制 springrain技术详解(2)-权限表结构 springrain技术详解(3)-shiro的filterChainDefinitions sp
springrain java_springrain技术详解(1)
weixin_39552304的博客
02-13 583
shiro是一个非常强大灵活的权限控制框架,属于apache的顶级项目.springrain使用shiro实现了权限控制功能.下图充分说明了shiro的体系架构归根到底,权限控制无非是利用过滤器控制访问的认证和授权,shiro也不例外.我们来看看shiro是怎么实现的吧.要在web中使用shiro,总共分三步:第一步:在web.xml中配置shiro的过滤器,建议是应用的第一个过滤器,spring...
springrain-master.zip
03-20
SpringRain-master.zip文件正是这样一个以云原生微服务为核心的应用实例,它结合了Kubernetes(K8S)的容器编排能力,以及apisix或istio的服务网格技术,旨在为开发者提供一套高效、稳定的Web开发框架。 首先,让...
springrain
01-22
springrainspring的极简封装,spring一站式开发的范例. springrain本身就是一个完整的eclipse项目,spring一站式开发的范例,包含spring core,spring jdbc,spring mvc.可以认为就是一个spring的demo. springrain ...
springrain云原生微服务实现
11-16
4. **权限控制** - 内置权限管理系统,支持角色、权限分配,增强系统安全性。 5. **监控与日志** - 集成了Prometheus和Grafana等监控工具,以及Logback等日志框架,方便实时监控和问题排查。 6. **Docker容器化** - ...
springrain云原生微服务实现 v1.0.zip
最新发布
04-02
"springrain-master"文件夹中的源码提供了SpringRain的核心实现。通过分析源码,我们可以了解其如何处理服务注册、服务发现、熔断策略、配置中心等功能,这对于理解微服务架构和云原生实践非常有帮助。 7. **毕业...
Apache_Shiro_使用手册中文版
02-10
shiro是一个非常强大灵活的权限控制框架,属于apache的顶级项目.springrain使用shiro实现了权限控制功能!
shiro 中的filterChainDefinitions详解
bug_404的博客
05-27 4万+
springrain使用shiro
Shiro框架的四种权限控制方式
it_boy_elite的博客
11-16 3万+
在自定义的realm中进行权限控制shiro-config.xml追加/user/delete = perms["delete"] <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManag
springrain项目说明
zhenjw
08-18 604
项目迁移到: http://git.oschina.net/chunanyong/springrain demo: http://springrain.9iu.org 文档 http://git.oschina.net/chunanyong/springrain/raw/master/springrain/doc/springrain.pdf springrain本身就是一个完整的...
springmvc整个shiro实现Perms的权限认证(细粒度)(三)
xcc_2269861428的博客
07-14 9468
前言:上一篇文章讲述了如何使用角色url进行粗粒度验证。地址:https://blog.csdn.net/xcc_2269861428/article/details/95768417 这篇说下如何使用perms进行细粒度验证,已经我写代码过程中碰见的坑。 看下角色界面 我在数据库中分别为2个就是设置了perms权限 用户界面 图中可以看出,xcc是没有角色管理权限的,所以不...
springrain技术详解(4)-shiro的缓存
zhenjw
08-18 148
因为是权限拦截校验,很多方法调用的频率是非常频繁的,为了更好的性能,shiro拥有一套完整的缓存体系,特别是针对web领域,做了部分增强. 先看下缓存在shiro权限管理器中的配置: 01 &lt;!-- 权限管理器 --&gt; 02 &lt;bean id="securityManager" class="org.apache.shiro.web....
使用Spring框架的好处(转帖)
热门推荐
afa的专栏
02-24 5万+
http://www.mianwww.com/html/2009/01/200.html    IT公司面试手册在SSH框架中使用Spring的好处在SSH框假中spring充当了管理容器的角色。我们都知道Hibernate用来做持久层,因为它将JDBC做了一个良好的封装,程序员在与数据库进行交互时可以不用书写大量的SQL语句。Struts是用来做应用层的,他它负责调用业务逻辑serivce层。所以SSH框架的流程大致是:Jsp页面----Struts------Service(业务逻辑处理类)---Hib
GITHUB开源SpringBoot2.0权限管理系统
qq_35086451的博客
04-03 4647
基于SpringBoot2.0的权限管理系统 易读易懂、界面简洁美观。 核心技术采用Spring、MyBatis、Shiro没有任何其它重度依赖。直接运行即可用 用户管理:用户是系统操作者,该功能主要完成系统用户配置。 部门管理:配置系统组织机构(公司、部门、小组),树结构展现支持数据权限。 岗位管理:配置系统用户所属担任职务。 菜单管理:配置系统菜单,操作权限...
springrain技术详解
weixin_33910759的博客
12-11 267
为什么80%的码农都做不了架构师?>>> ...
shiro-02经典权限五张表
lx_nhs的博客
12-05 2万+
注:  所有shiro使用方法都是围绕springrain项目进行的. 具体的springrain项目demo可以在之前的博客中找到.经典权限五张表指的是:  ①用户表  ②用户-角色表  ③角色表  ④角色权限表  ⑤权限表ER图:  t_org是部门表,考虑到员工兼职,所以有t_user_org 中间表. t_menu是菜单表,字段 type 是标示是菜单资源还是普通资源 菜单资
springrain java_springrain: springrainspring的极简封装,spring一站式开发的范例.
weixin_42236938的博客
02-13 146
#4.0.0之后基于SpringBoot最新版本,启动类修改为SpringBoot的org.springrain.SpringrainApplication类进行启动.项目名为springrain[春雨]我的个人博客是 http://www.weicms.net QQ群是:238904840文档代码生成器sql脚本springrainspring/springboot的极简封装,spring/s...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值