shiro

于 2019-01-19 16:58:22 发布
阅读量104 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jrq1205183714/article/details/86554275
版权

开开始了解,有很多东西是不太明白的
1.进行登录验证:

Subject subject = SecurityUtils.getSubject();//先声明
                UsernamePasswordToken shiroToken = new UsernamePasswordToken(json.getString("loginName"), MD5.getMd5(json.getString("passWord")));//提取用户名和密码   后台封装的是自动去搜索表,然后保存信息
                // Boolean rememberMe = true;   //是否记住
                shiroToken.setRememberMe(true);
                subject.login(shiroToken);//登录
                BaseUser user = (BaseUser) SecurityUtils.getSubject().getPrincipals().getPrimaryPrincipal();//获取全局的信息

详见配置文件 spring-shiro.xml(注意看解释的部分):

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:util="http://www.springframework.org/schema/util"
	   xsi:schemaLocation="
       http://www.springframework.org/schema/beans
       http://www.springframework.org/schema/beans/spring-beans-4.2.xsd
       http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-4.0.xsd"
       >

	<!-- 导入数据库的相关配置 -->
	<import resource="classpath:spring-database.xml"/>

	<!-- 对应于web.xml中配置的那个shiroFilter -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<!-- Shiro的核心安全接口,这个属性是必须的 -->
		<property name="securityManager" ref="securityManager"/>

        <!-- 要求登录时的链接(登录页面地址),非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面,这个也是拦截器,如果没有登录的情况下,访问其中的方法,就回跳到这个方法中 -->
		<property name="loginUrl" value="/login.html"/>
		<!-- 登录成功后要跳转的连接(本例中此属性用不到,因为登录成功后的处理逻辑在LoginController里硬编码) -->
		<!-- <property name="successUrl" value="/" ></property> -->
		<!-- 用户访问未对其授权的资源时,所显示的连接 ,这个也是拦截器-->
		<!--<property name="unauthorizedUrl" value="/error/unauthorized"/>-->

        <!-- Shiro连接约束配置,即过滤链的定义 -->
        <!-- 此处可配合这篇文章来理解各个过滤连的作用http://blog.csdn.net/jadyer/article/details/12172839 -->
        <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 -->
        <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 ,表示不用登录认证就能访问的-->
        <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter   必须要登录认证之后才能访问的-->
        <!--roles[内容] 表示需要内容所示的角色才能访问该路径-->
        <!--perms[内容] 表示需要内容所示的权限才能访问该路径-->
        <property name="filterChainDefinitions">
            <value>


                <!--静态资源可以匿名访问 -->
                /js/** = anon
                /css/** = anon
                /img/** = anon
                /common/** = anon
                <!--登录验证码匿名访问-->
                /login.html = anon
                /login_manager.html = anon
                /loginC/** = anon
                /alLogin/** = anon
				/authimage.gif = anon
                <!--接口可以匿名访问-->
                /alApi/** = anon
                <!--用户头像-->
				/photo/** = anon
				<!--页面测试-->
                /photoHtml/** = anon
                
				<!--/doc.html = authc,roles[sysadmin] 接口文档地址-->
				/doc.html = anon
				<!--/swagger-ui.html = authc,roles[sysadmin]-->
                <!--/** =authc-->
                <!--任何链接都必须认证访问-->
                /testC/** = ApiAuthc
				/** = BaseAuthc

            </value>
        </property>

        <!--<property name="filterChainDefinitions">-->
			<!--<value>-->
				<!--/admin/**=authc-->
			<!--</value>-->
		<!--</property>-->

	</bean>


	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>
	<!-- 数据库保存的密码是使用MD5算法加密的,所以这里需要配置一个密码匹配对象 -->
	<!--<bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.Md5CredentialsMatcher"></bean>-->
	<!-- 缓存管理 -->
	<!--<bean id="shiroCacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"></bean>-->
	<!-- 缓存管理器ehcache -->
	<bean id="shiroCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
		<property name="cacheManagerConfigFile" value="classpath:shiro-ehcache.xml"/>
	</bean>

	<!--
    使用Shiro自带的JdbcRealm类
    指定密码匹配所需要用到的加密对象
    指定存储用户、角色、权限许可的数据源及相关查询语句
    -->
	<!--<bean id="jdbcRealm" class="org.apache.shiro.realm.jdbc.JdbcRealm">
		&lt;!&ndash;<property name="credentialsMatcher" ref="credentialsMatcher"></property>&ndash;&gt;
		<property name="permissionsLookupEnabled" value="true"></property>
		<property name="dataSource" ref="dataSource"></property>
		<property name="authenticationQuery"
				  value="SELECT password FROM base_user WHERE login_name = ?"></property>
		<property name="userRolesQuery"
				  value="SELECT t.role_code from base_role t left join base_user tt on t.ROLE_CODE=tt.DEFAULT_ROLE_CODE  WHERE LOGIN_NAME = ? "></property>
		<property name="permissionsQuery"
				  value="SELECT PT.PERMISSION_NAME from PERMISSION_WITH pw LEFT JOIN PERMISSION_TEST pt on pw.P_ID = pt.PERMISSION_ID LEFT JOIN BASE_ROLE t on t.ROLE_ID = pw.ROLE_ID where t.role_code = ?"></property>
	</bean>-->


	<bean id="shiroRedisManager" class="org.crazycake.shiro.RedisManager">
	    <property name="host" value="${redis.hostName}:${redis.port}"/>
	</bean>
	
	<bean id="redisSessionDAO" class="org.crazycake.shiro.RedisSessionDAO">
    	<property name="redisManager" ref="shiroRedisManager" />
    	<property name="expire" value="3600" />
	</bean>
	
	<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
		<property name="globalSessionTimeout" value="1800000"/>
	    <property name="sessionDAO" ref="redisSessionDAO" />
	</bean>
	
	<bean id="cacheManager" class="org.crazycake.shiro.RedisCacheManager">
	    <property name="redisManager" ref="shiroRedisManager" />
	</bean>


    <!-- Subject工厂 -->
    <bean id="subjectFactory"
          class="shiro.AgileSubjectFactory"/>

	<!-- Shiro安全管理器 -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="cacheManager" ref="shiroCacheManager"></property>
		<property name="sessionManager" ref="sessionManager" />
		<!--<property name="subjectFactory" ref="subjectFactory"/>
        <property name="subjectDAO.sessionStorageEvaluator.sessionStorageEnabled"
                  value="false"/>-->
		<!-- 配置多个Realm -->
        <property name="authenticator" ref="authenticator"></property>
		<property name="realms">
			<list>
				<ref bean="ShiroRealm"/>
				<ref bean="AlRealm"/>
			</list>
		</property>
    </bean>

    <!-- 配置多个Realm -->
	<bean id="authenticator" class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">

		<property name="authenticationStrategy">
			<bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy"></bean>
		</property>
	</bean>


	<bean id="ShiroRealm" class="shiro.ShiroRealm"></bean>
    <bean id="AlRealm" class="shiro.AlRealm"></bean>
	<!-- Shiro的注解配置一定要放在spring-mvc中 -->

</beans>
敖 煌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro过滤器配置(ShiroFilterFactoryBean)
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
Shiro安全框架》专题(十)-Shiro之rememberMe
02-02 1133
文章目录1.Remember me简介2.登录表单中添加记住我复选框3.配置文件中配置4.登录控制器5.测试 1.Remember me简介 Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1.首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie写到客户端并保存下来; 2.关闭浏览器再重新打开;会发现浏览器还是记住你的; 3.访
Shiro 作为应用的权限基础 四:shiro的配置说明
徐小骥的博客
03-23 485
Apache Shiro的配置主要分为四部分:  SecurityManager的配置 URL过滤器的配置静态用户配置静态角色配置 其中,由于用户、角色一般由后台进行操作的动态数据,比如通过@RequiresRoles注解控制某方法的访问,因此Shiro配置一般仅包含前两项的配置。      SecurityManager的配置:  [html] view p
安全框架shiro入门示例
lucasma的博客
06-26 1225
最近做了一个简单的线上支付网关。就是接收客户端发起的支付请求,然后转发给第三方的支付通道处理。这个网关是公司内部使用的,接口都是自定义的。为了防止外部攻击,我用shiro做了一个简易的授权机制。 基本原理 原理也很简单,客户端的请求报文如下(考虑到保密性,做了部分删减): http://localhost:8080/paygateway/core/pay?amount=2&amp;s...
Spring Boot系列(十五) 安全框架Apache Shiro(一)基本功能
热门推荐
xtiawxf的专栏
09-18 2万+
Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。
shiro1.5.3
05-11
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。你提到的 "shiro1.5.3" 是Shiro框架的一个特定版本,包含了该版本的所有核心组件和相关...
shiro1.6版本
09-07
Apache Shiro 是一个强大且易用的Java安全框架,提供了身份验证、授权、加密和会话管理功能,简化了企业级应用的安全实现。在本文中,我们将深入探讨Apache Shiro 1.6版本的重要更新,以及它如何修复了一个绕过认证...
shiro1.7.1.zip
04-12
在使用Shiro 1.7.1时,开发者可以根据具体需求选择合适的模块进行集成,例如,Web应用可能会主要依赖`shiro-core`、`shiro-web`和`shiro-spring`,而需要进行复杂加密操作的应用可能需要`shiro-crypto-hash`和`shiro...
shiro_tool.zip
11-18
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。在"shiro_tool.zip"这个压缩包中,我们可以推测可能包含了一些关于Shiro使用的工具类、...
2024 TI杯电子工程设计大赛工程资料
最新发布
07-24
移植的驱动:TFTLCD屏幕、触控IC、AD9910(DDS)、SI5351(时钟发生芯片) 所有驱动的通信部分被优化和重写(不超频的情况下),实现外设最佳性能表现 开发的算法 优化算法(gd.h):实现二阶余弦退火梯度下降法 FFT相关(fft.h):高精度FFT采样分析(与SI5351配合实现) 软件解调AM和FM信号 通信相关(fpga_spi.h):实现与FPGA的私有协议(类SPI)通信 波形生成(fmam_gen.h):实现DDS产生FM、AM调制波形 实现DAC产生FM、AM调制波形 方波周期测量(app.c)
年终总结汇报PPT模板(15)三个文档.pptx
07-24
年终总结汇报PPT模板(15)三个文档.pptx
Dell H330 RAID至原厂HBA固件IT版Crossflash工具.zip
07-24
在IT领域,RAID(Redundant Array of Independent Disks,独立磁盘冗余阵列)是一种技术,用于提升硬盘存储系统的性能、可靠性和数据冗余。Dell H330是一款广泛使用的服务器级RAID控制器,它为用户提供了一种灵活的方式来管理服务器中的硬盘驱动器。"Crossflash"是将一种固件或配置应用于不兼容硬件的过程,但在这个场景中,它是将Dell H330 RAID卡的固件刷写成直通(IT,Independent Technology)模式。 直通模式是RAID控制器的一种工作模式,它允许系统直接与硬盘驱动器通信,而不需要RAID功能。这种模式通常用于不需要RAID级别的数据保护,而是追求极致性能的应用,例如数据库服务器或者高I/O需求的工作站。 在Dell H330上执行“Crossflash”到直通模式的操作,用户可以实现以下几点: 1. **性能提升**:直通模式消除了RAID控制器处理数据的额外步骤,理论上能提供更高的硬盘读写速度,对于不需要RAID功能的环境特别有益。 2. **降低成本**:使用直通模式时,用户无需购买额外的RAID
前端分析-202307110022
07-24
前端分析-202307110022
Visual Studio 2022的学习.pdf
07-24
Visual Studio 2022的学习.pdf
c语言课程设计-职工资源管理系统.rar
07-24
基于C语言、C++、C#的课程\毕业设计,可供学习参考。
使用15单片机做的传感器课设,传感器包括火焰,ds18B20,ds1302,数码管,DHT11等外设
07-24
其中用了iic和onewire总线
Apache Shiro 安全框架教程
Apache Shiro 教程 Apache Shiro 是一个 Java 安全框架,目前越来越多的人使用它,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值