shiro入门实例

最新推荐文章于 2021-01-24 16:28:39 发布
最新推荐文章于 2021-01-24 16:28:39 发布
阅读量209 收藏
点赞数
分类专栏: shiro 文章标签: shiro

简介: Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。是一个很不错的安全框架。 

下面记录一下shiro和spring整合的过程的一个小示例: 

Web.xml配置 

[html]  view plain  copy
    1. <context-param>  
    2.         <param-name>contextConfigLocation</param-name>      <param-value>classpath:applicationContext.xml,classpath:spring-shiro.xml</param-value>  
    3.     </context-param>  
    4. <!-- apache shiro权限 -->  
    5.     <filter>    
    6.         <filter-name>shiroFilter</filter-name>    
    7.         <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>    
    8.         <init-param>    
    9.             <param-name>targetFilterLifecycle</param-name>    
    10.             <param-value>true</param-value>    
    11.         </init-param>    
    12.     </filter>    
    13.     
    14.     <filter-mapping>    
    15.         <filter-name>shiroFilter</filter-name>    
    16.         <url-pattern>*.do</url-pattern>    
    17.     </filter-mapping>    
    18.     <filter-mapping>    
    19.         <filter-name>shiroFilter</filter-name>    
    20.         <url-pattern>*.jsp</url-pattern>    
    21.     </filter-mapping>    

第一部分是将shiro的配置文件引入到web.xml中,我这里是spring-shiro.xml; 
 下面的是一个过滤器,过滤.do,.jsp的请求,引入shiro web.xml就配这么多。 
 spring-shiro.xml配置文件 

[html]  view plain  copy
    1. <?xml version="1.0" encoding="UTF-8"?>  
    2. <beans xmlns="http://www.springframework.org/schema/beans"  
    3.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:util="http://www.springframework.org/schema/util"  
    4.     xsi:schemaLocation="http://www.springframework.org/schema/beans   
    5.     http://www.springframework.org/schema/beans/spring-beans-3.0.xsd     
    6.     http://www.springframework.org/schema/util   
    7.     http://www.springframework.org/schema/util/spring-util-3.0.xsd">  
    8.     <description>Shiro 配置</description>  
    9.     <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
    10.         <property name="securityManager" ref="securityManager" />  
    11.         <property name="loginUrl" value="/login.jsp" />  
    12.         <property name="successUrl" value="/login.jsp" />  
    13.         <property name="unauthorizedUrl" value="/error/noperms.jsp" />  
    14.         <property name="filterChainDefinitions">  
    15.             <value>  
    16.                 /login.jsp* = anon  
    17.                 /login.do* = anon  
    18.                 /index.jsp*= anon  
    19.                 /error/noperms.jsp*= anon  
    20.                 /*.jsp* = authc  
    21.                 /*.do* = authc  
    22.             </value>  
    23.         </property>  
    24.     </bean>  
    25.   
    26.     <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
    27.         <!--设置自定义realm -->  
    28.         <property name="realm" ref="monitorRealm" />  
    29.     </bean>  
    30.   
    31.     <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />  
    32.   
    33.     <!--自定义Realm 继承自AuthorizingRealm -->  
    34.     <bean id="monitorRealm" class="com.springmvc.service.MonitorRealm"></bean>  
    35.     <!-- securityManager -->  
    36.     <bean  
    37.         class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">  
    38.         <property name="staticMethod"  
    39.             value="org.apache.shiro.SecurityUtils.setSecurityManager" />  
    40.         <property name="arguments" ref="securityManager" />  
    41.     </bean>  
    42.   
    43.     <!-- Enable Shiro Annotations for Spring-configured beans. Only run after -->  
    44.     <!-- the lifecycleBeanProcessor has run: -->  
    45.     <bean  
    46.         class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"  
    47.         depends-on="lifecycleBeanPostProcessor" />  
    48.     <bean  
    49.         class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">  
    50.         <property name="securityManager" ref="securityManager" />  
    51.   
    52.     </bean>  
    53.   
    54. </beans>  

这里不想说太多,我这里没什么特别的,很多都是用的shiro自己的原有的,只有一个realm是我自己定义的,可能自己定义的会更好用点吧,如果不用自己定义的就用shiro的jdbcrealm,我自定义的也是跟jdbcrealm差不多的,后面我们再说我的自定义realm。另外就是给页面指定过滤器 
 /login.jsp* = anon /login.do* = anon /index.jsp*= anon /error/noperms.jsp*= anon /*.jsp* = authc /*.do* = authc

Anon:不指定过滤器,不错是这个过滤器是空的,什么都没做,跟没有一样。 
 Authc:验证,这些页面必须验证后才能访问,也就是我们说的登录后才能访问。 
 这里还有其他的过滤器,我没用,比如说授权,这个比较重要,但是这个过滤器有个不好的地方,就是要带一个参数,所以如果配在这里就不是很合适,因为每个页面,或是.do的权限不一样,而我们也没法事先知道他需要什么权限。所以这里不配,我们在代码中再授权。这里.do和.jsp后面的*表示参数,比如login.jsp?main这种,是为了匹配这种。好行了,继续往下吧。 
 验证: 
 验证我们就弄一个登录页面,然后提交到后台的action 

[java]  view plain  copy
    1. @RequestMapping(params = "main")  
    2.     public ModelAndView login(User user,HttpSession session, HttpServletRequest request) {  
    3.   
    4.         ModelAndView modelView = new ModelAndView();  
    5.         Subject currentUser = SecurityUtils.getSubject();  
    6.         UsernamePasswordToken token = new UsernamePasswordToken(  
    7.                 user.getUsercode(), EncryptUtils.encryptMD5(user.getPassword()));  
    8.         token.setRememberMe(true);  
    9.         try {  
    10.             currentUser.login(token);  
    11.         } catch (AuthenticationException e) {  
    12.             modelView.addObject("message""login errors");  
    13.             modelView.setViewName("/login");  
    14.             e.printStackTrace();  
    15.               
    16.         }  
    17.         if(currentUser.isAuthenticated()){  
    18.               
    19.             session.setAttribute("userinfo", user);  
    20.             modelView.setViewName("/main");  
    21.         }else{  
    22.             modelView.addObject("message""login errors");  
    23.             modelView.setViewName("/login");  
    24.         }  
    25.         return modelView;  
    26.     }  

这里我用的是spring MVC,你不用管他用什么mvc,我们只要知道,前台.do登录以后进入这个方法就行 
 Subject currentUser = SecurityUtils.getSubject() 
 ;就是代表当前的用户。 
 UsernamePasswordToken token = new UsernamePasswordToken( user.getUsercode(),EncryptUtils.encryptMD5(user.getPassword())); 
 这里的token大家叫他令牌,也就相当于一张表格,你要去验证,你就得填个表,里面写好用户名密码,交给公安局的同志给你验证。 
 currentUser.login(token); 
 这句是提交申请,验证能不能通过,也就是交给公安局同志了。这里会回调reaml里的一个方法 
 protected AuthenticationInfo doGetAuthenticationInfo() 
 验证是否通过 
 if(currentUser.isAuthenticated()) 
 通过则转到你的页面,不通过到login页面并返回错误信息。 
 现在我们看看我们的reaml类,这是一个自定义的realm, 

[java]  view plain  copy
    1. @Service("monitorRealm")  
    2. public class MonitorRealm extends AuthorizingRealm {  
    3.     /* 
    4.      * @Autowired UserService userService; 
    5.      *  
    6.      * @Autowired RoleService roleService; 
    7.      *  
    8.      * @Autowired LoginLogService loginLogService; 
    9.      */  
    10.   
    11.     public MonitorRealm() {  
    12.         super();  
    13.   
    14.     }  
    15.   
    16.     @Override  
    17.     protected AuthorizationInfo doGetAuthorizationInfo(  
    18.             PrincipalCollection principals) {  
    19.         /* 这里编写授权代码 */  
    20.         Set<String> roleNames = new HashSet<String>();  
    21.         Set<String> permissions = new HashSet<String>();  
    22.         roleNames.add("admin");  
    23.         permissions.add("user.do?myjsp");  
    24.         permissions.add("login.do?main");  
    25.         permissions.add("login.do?logout");  
    26.         SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roleNames);  
    27.         info.setStringPermissions(permissions);  
    28.         return info;  
    29.     }  
    30.     @Override  
    31.     protected AuthenticationInfo doGetAuthenticationInfo(  
    32.             AuthenticationToken authcToken) throws AuthenticationException {  
    33.         /* 这里编写认证代码 */  
    34.         UsernamePasswordToken token = (UsernamePasswordToken) authcToken;  
    35. //      User user = securityApplication.findby(upToken.getUsername());  
    36.         User user = new User();  
    37.         user.setUsercode(token.getUsername());  
    38.         user.setUserName("admin");  
    39.         user.setPassword(EncryptUtils.encryptMD5("admin"));  
    40. //      if (user != null) {  
    41.         return new SimpleAuthenticationInfo(user.getUserName(),  
    42.                 user.getPassword(), getName());  
    43.     }  
    44.     public void clearCachedAuthorizationInfo(String principal) {  
    45.         SimplePrincipalCollection principals = new SimplePrincipalCollection(  
    46.                 principal, getName());  
    47.         clearCachedAuthorizationInfo(principals);  
    48.     }  
    49. }  

这里我没有跟数据库打交道,如果要跟数据库打交道很简单,你调用一个service,service再调dao,根据用户名去打该用户的密码。用户我们可以前面的令牌也就是我说的表格来取的,我们前台提交给公安同志一个表格,里面有用户密码,但需要注意的是,我们在这里并不把表格中的用户密码路数据库中的用户密码进行比较,我们只是根据表格中的用户名把密码查出来,然后把数据库的用户密码放在一个SimpleAuthenticationInfo对象中返回即可,这位公安同志不负责验证,只负责验证的材料。我这里没有查库,伪造了一个用户密码放入了对象。密码是admin。什么时候验证,就是我们前面调currentUser.isAuthenticated()时验证,所有的材料都全了,需要验证的时候就调一下这个方法就可以了。我们前面spring里配了这个 
 /*.jsp* = authc 
 /*.do* = authc 
 你配了authc过滤器,shiro会自动调currentUser.isAuthenticated()这个方法,没有登录的将被返回 
 <property name="unauthorizedUrl" value="/error/noperms.jsp" /> 
 配置的页面。 
 好到这里登录就算是完成了。完成了登录下面就是要授权了,我们已经登录系统,我进入系统总要做点什么吧,比如这个系统就是一个公司的话,我现在已经进入公司了,如果我要进办公室,还得要授权(假如有门禁的话)刷卡。这们就里就是访问某个页面或是某个.do, 
 授权: 
 因为前面我们只配了验证过滤器,现在已经登录系统,如果我们请求一个*.do的话就会来到后台的action,我们授权也将在这里授。 
[java]  view plain  copy
    1. @Controller  
    2. @RequestMapping(value="user")  
    3. public class UserController {  
    4.       
    5.     /** 
    6.      * 跳转到myjsp页面 
    7.      *  
    8.      * @return 
    9.      */  
    10.     @RequestMapping(params = "myjsp")  
    11.     public String home() {  
    12.         Subject currentUser = SecurityUtils.getSubject();  
    13.         if(currentUser.isPermitted("user.do?myjsp")){  
    14.             return "/my";  
    15.         }else{  
    16.             return "error/noperms";  
    17.         }  
    18.     }  
    19. }  
我一直都说action,其实spring mvc里不再是action了,叫controller,我们这里的home方法的访问路径是user.do?myjsp,也就是我们登录系统后请求一个这个方法user.do?myjsqp,转到home方法后,我要看他有没有权限访问此方法,我就用下面的代码 
 Subject currentUser = SecurityUtils.getSubject(); 
 currentUser.isPermitted("user.do?myjsp"); 
 首先得到当前的用户,再看此用户是否有权访问user.do?myjsp,参数就是权限,这里后台数据库就会有这么一个权限,权限表中的权限地址就是user.do?myjsp,例如我们一般的系统左边是一棵功能菜单树,树的结点会有一个url链接,这个链接就是在权限表中。当然可能前面还会一个http:\\什么的。反正这里也跟后台的权限表中的地址一致就行了,shiro他是如何授权的。一样的你调用currentUser.isPermitted("user.do?myjsp");此方法后会回调realm中的protected AuthorizationInfo doGetAuthorizationInfo( PrincipalCollection principals)方法,这个reaml类是非常重要的。这个类上面已经给出了,我们看看他是如何授权的。因为我没有连数据库,也是伪造了一个权限。如果是连数据库也很简单,用户表,角色表,权限表这三个表是有关联的,我们根据用户名就能查出此用户拥有的角色和所有的权限。 
  
[java]  view plain  copy
    1. Set<String> roleNames = new HashSet<String>();  
    2.         Set<String> permissions = new HashSet<String>();  
    3.         roleNames.add("admin");  
    4.         permissions.add("user.do?myjsp");  
    5.         permissions.add("login.do?main");  
    6.         permissions.add("login.do?logout");  
    7.         SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roleNames);  
    8.         info.setStringPermissions(permissions);  
    9.         return info;  

最后构造一个对象并把权限给它就OK拉。如果是数据库查出来的,直接我的字符串替成你查出来的就行了。这样在你的controller中根据权限返回到指定的页面。 

[java]  view plain  copy
    1. if(currentUser.isPermitted("user.do?myjsp")){  
    2.             return "/my";  
    3.         }else{  
    4.             return "error/noperms";  
    5.         }  

没有权限就返回到没有权限的页面。那么整个权限管理系统就算是差不多了,当然还有页面标签没说,这部分不是难点,自己找找资料吧,源码我整整一并奉上。。。。。。 

下载地址:http://download.csdn.net/detail/wxwzy738/6589411

搬砖伙计小罗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一个简单的shiro例子
10-29
一个简单的SSM框架,基于IDEA IDE开发,可以直接运行,里面加入了shiro,前端用bootstrap展现
shiro入门示例
weixin_33825683的博客
09-19 44
一、pom引入maven依赖 &lt;dependencies&gt; &lt;dependency&gt; &lt;groupId&gt;junit&lt;/groupId&gt; &lt;artifactId&gt;junit&lt;/artifactId&gt; &lt;version&gt;4.12&lt
Shiro入门案例之HelloWorld
中森明菜的博客
04-21 489
首先我们创建一个Java工程,并且导入以下jar包。 然后找到Shiro的源码,在samples\quickstart\src\main\resources找到 log4j.properties和shiro.ini复制到src下 在samples\quickstart\src\main\java找到 Quickstart.java复制到我们的工程src下 至此,我们的骨架搭建完毕 先运行一下Q...
shiro使用的入门例子
Senssic
06-27 765
一般做权限的验证使用数据库来描述然后在chengx
Shiro入门实例
03-28
Shiro入门实例
apache_shiro入门实例
10-27
介绍了如何用shiro来搭建开发一个权限管理系统,主要是入门的,包括了验证和授权,本文还有一个源码,在我的资源里,
SpringBoot整合Apache Shiro极简入门实例.zip
最新发布
11-04
项目描述 SpringBoot整合Shiro,实现菜单权限控制入门简单实例;用户菜单权限来自数据库,简单起见,user用户表中同事配置了用户菜单权限,感兴趣的小伙伴可以...该入门实例为单体应用,资源文件位于resouces文件夹下
Shiro入门教程
08-08
Shiro入门实例 Shiro入门教程 Shiro框架学习demo http://www.xttblog.com/?p=669 权限管理教程。Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 Shiro可以在任何环境下运行,小到最...
shiro实例代码
10-25
ssm框架集成shiro的简单实例,可以帮助初学者更快地入门
Shiro非常详细的实例
09-09
Shiro非常详细的实例,入门的详细资料
springboot+shiro入门案例
12-21
shiro入门案例
Shiro之介绍及入门案例
zhouym_的博客
07-16 283
Apache Shiro(安全框架) 一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 1、Shiro三大组件 Subject 即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Acco...
shiro入门案例
宇默
05-21 212
一、Maven工程导入shiro的坐标:&lt;!-- 导入shiro的坐标 --&gt;      &lt;dependency&gt;         &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt;         &lt;artifactId&gt;shiro-all&lt;/artifactId&gt;         &lt;version...
Shiro入门案例
SunnyJava的博客
03-03 232
shiro入门案例项目结构:采用maven管理 pom文件 <dependencies> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.9</version> </dependency
shiro-1】shiro简单入门案例
desperado0726的博客
02-24 190
1.Shiro简介 Apache Shiro 是 Java 的一个安全框架。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web应用集成、缓存等。 2 .Shiro系统架构 和应用代码直接交互的对象是 Subject ,Shiro的对外API核心就是 Subject ; 其每个API的含义: Subject(主体) 代表了当前用户 所有 Subject都绑定到SecurityM...
Shiro快速入门入门案例
Zbr_Cheer的博客
01-24 318
Shiro入门案例 一、需求 使用纯Maven项目完成Shiro入门案例,注意不是使用SpringBoot项目 入门案例需求为:使用Shiro进行认证、授权、加密以及使用自定义的realm来完成认证过程的功能 不涉及数据库,使用Shiro规定ini文件进行用户信息、角色、访问权限的配置 二、创建项目 创建一个Maven的jar类型项目 具体的代码实现如下: 三、添加依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="ht
shiro 入门案例
09-06
关于 Shiro入门案例,你可以尝试以下步骤来理解 Shiro 的基本用法: 1. 导入 Shiro 依赖:在你的项目中添加 Shiro 的相关依赖,可以使用 Maven、Gradle 或直接下载 jar 包引入。 2. 创建 Shiro 配置文件:在你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值