SpringMVC框架和Shiro框架的整合与简单搭建

最新推荐文章于 2024-06-18 10:17:47 发布
最新推荐文章于 2024-06-18 10:17:47 发布
阅读量1.6k 收藏 4
点赞数 2
分类专栏: 基本操作 文章标签: spring shiro 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lylflyy_Ljc/article/details/78967075
版权

这篇博客中没有什么高深的技术,只是一个简单的Shiro框架的搭建...因为之前一直没找到正确的搭建方法、或是因为报错搭建失败...所以我写下了这篇。希望可以给有需要的人帮助。

我用的编辑工具是Idea。

首先,我们从三个方面来认识Shiro。

1:什么是Shiro?

Shiro是Apache旗下的一个开源的安全框架,我认为他的主要功能就是2点:认证、授权。

认证:从字面意思上来看也就是那样,认证、辨别你的身份。

授权:也从字面意思上开看的话是授予、赋予权限。

(- -...我感觉我在说废话...)

2:Shiro有什么用?

上面也说了,主要是为了认证、授权,当然,仅仅是个人初步的理解(挠头)...欢迎指教。

3:Shiro的组件?

虽然百度一下就有一大堆,但是我还是写出来吧...至少我又写了一遍,加深了一点印象...

Subject:主体,可以把它看做是任何可以与应用交互的对象;

SecurityManager:安全管理器,是Shiro的核心,管理所有的Subject;

Authenticator:认证器,负责主体的认证;

Authrizer:授权器,可以给认证完的主体赋予所拥有的相应的权限;

Realm:数据源,使用期间认证和授权需要从这里获取数据;

SessionManager:Shiro自己抽象出来的一个Session,与Tomcat自带是不一样的,用来管理应用和主体之间交互的数据;

SessionDAO:用来做(Shiro的)Session的增删改查(CRUD)。

CacheManager:缓存管理器,可以用来存储用户的角色、权限等信息。

Cryptography:密码模块,Shiro自己提供了一些加密码组件;

(好吧,我承认这一段是简述了 开涛的博客-跟我学Shiro ,嘿嘿嘿...)

4:Shiro框架的简单搭建。

好了,现在要开始主体了!

第一步:

导入相关的Shiro的Jar包,我是导了这五个包:

    <!-- shiro框架 -->
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-core</artifactId>
      <version>1.2.3</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-web</artifactId>
      <version>1.2.3</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-spring</artifactId>
      <version>1.2.3</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-ehcache</artifactId>
      <version>1.2.3</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-quartz</artifactId>
      <version>1.2.3</version>
    </dependency>
第二步:

a:创建一个spring-shiro.xml

<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
		http://www.springframework.org/schema/beans/spring-beans-3.2.xsd">
    <!-- web.xml中shiro的filter对应的bean -->
    <!-- Shiro 的Web过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!--注入安全管理器-->
        <property name="securityManager" ref="securityManager" />
        <!-- loginUrl认证提交地址,如果没有认证将会请求此地址进行认证,请求此地址将由formAuthenticationFilter进行表单认证 -->
        <property name="loginUrl" value="/login/login.do" />
        <!--shiro登录成功后自己跳转的网页-->
        <property name="successUrl" value="/homePage.jsp" />
        <!-- 自定义filter配置 自定义认证和授权功能 -->
        <property name="filters">
            <map>
                <!-- 将自定义 的FormAuthenticationFilter注入shiroFilter中
                     authc 所有需要权限认证的 都会走此filter
                -->
                <entry key="authc" value-ref="formAuthenticationFilter" />
            </map>
        </property>
        <!-- 过虑器链定义,从上向下顺序执行,一般将/**放在最下边 -->
        <property name="filterChainDefinitions">
            <value>
                <!--anon 为全部放过-->
                <!--authc 为全部拦截,注意,这里的authc是上面配置的那个map中的authc-->
                <!-- 放过静态资源 -->
                /images/** = anon
                /js/** = anon
                /styles/** = anon
                <!-- 登录页面放过 -->
                /login.jsp=anon
                <!-- 登录方法拦截,最好和上面的loginUrl配置为一致的,不需要写方法 -->
                /login/login.do = authc
                <!-- 请求 logout.action地址,shiro去清除session,想要注销的话直接访问logout.do这个路径就可以进行注销,不需要去写方法-->
                /logout.do = logout
                <!--对所有的信息进行拦截,一般配置在最下面-->
                /** = authc
            </value>
        </property>
    </bean>
    <!-- securityManager安全管理器,引入realm -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="shiroRealm" />
    </bean>
    <!-- 自己的realm -->
    <bean id="shiroRealm" class="com.jk.shiro.ShiroRealm">
    </bean>
    <!-- 自定义form认证过虑器 -->
    <!-- 基于Form表单的身份验证过滤器,不配置将也会注册此过虑器,表单中的用户账号、密码及loginurl将采用默认值,建议配置 -->
    <bean id="formAuthenticationFilter" class="com.jk.filter.formAuthenticationInfoFilter">
        <!-- 表单中账号的input名称 -->
        <property name="usernameParam" value="username" />
        <!-- 表单中密码的input名称 -->
        <property name="passwordParam" value="password" />
        <!-- 记住我input的名称 -->
        <property name="rememberMeParam" value="rememberMe"/>
    </bean>
</beans>
b:在web.xml中添加spring-shiro.xml的声明 
  <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath:spring*.xml</param-value>
  </context-param>
  <!-- shiro的filter -->
  <!-- shiro过虑器,DelegatingFilterProxy通过代理模式将spring容器中的bean和filter关联起来 -->
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <!-- 设置true由servlet容器控制filter的生命周期 -->
    <init-param>
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
    <!-- 设置spring容器filter的bean id,如果不设置则找与filter-name一致的bean-->
    <init-param>
      <param-name>targetBeanName</param-name>
      <param-value>shiroFilter</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
c:创建一个类继承FormAuthenticationFilter,重写里面的onLoginSuccess方法 
@Override
    protected boolean onLoginSuccess(AuthenticationToken token, Subject subject, ServletRequest request,ServletResponse response) throws Exception {
        WebUtils.getAndClearSavedRequest(request);//清除原先的地址 shiro权限框架在认证时认证通过之后 就会跳转到上一次访问的路径
        //之前有个bug,若上一次请求为注销请求 则会无限死循环 认证成功会立即发送注销请求
        WebUtils.redirectToSavedRequest(request, response, "/homePage.jsp");
        return false;
    }
d:创建一个类继承AuthorizingRealm,实现里面的setName、doGetAuthenticationInfo和doGetAuthorizationInfo方法。 
public class ShiroRealm  extends AuthorizingRealm {
	//使用注解注入service,所以说,要扫描到service层
	@Autowired
	private LoginService loginService;
	//设置setName,下面要用
	@Override
	public void setName(String name) {
		super.setName("shiroRealm");
	}//注意,这个括号里写的是你在spring-shiro.xml中的realm的bean中的Id名
	/**doGetAuthenticationInfo	这个方法为认证方法*/
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		//从token中获取用户名
		String username = (String) token.getPrincipal();
		//根据用户名去数据控中查询用户
		User user = loginService.selUserByUserAccount(username);
		//如果用户信息为空则返回找不到账号异常
		if(user == null){
			throw new UnknownAccountException();
		}
		//设置盐,也可以不设置。盐通常为登录用户名+时间戳,添加到数据库当中。
		String salt = "FaQ";
		//一个简单的认证器,如果不设置盐的话就不能添加第三个参数;
		// 第一个参数可以放查询出来的对象、也可以放获取的登录用户名,第二个参数为查询出来的密码,第三个参数为盐,第四个参数为上面设置的setName
		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user,user.getUserpwd(), ByteSource.Util.bytes(salt),this.getName());
		return simpleAuthenticationInfo;
	}
	/**doGetAuthorizationInfo	这个方法为授权方法*/
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
		//获取已经登录的用户的信息
		User user = (User) principal.getPrimaryPrincipal();
		//根据已经获取的用户的信息查询当前用户所拥有的所有的权限
		List<String> permissionList = loginService.getUserPermissionByUserName(user.getUseraccount());
		//New一个简单的授权器
		SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
		//把查询到的用户的权限的信息放入到授权器当中
		simpleAuthorizationInfo.addStringPermissions(permissionList);
		return simpleAuthorizationInfo;
	}
}
第三步:

emmmmmm,到这里配置文件差不多就配置完了,运行流程的话我简单说两句,并没有太深入只是简单的使用,项目启动加载web.xml,加载spring的各种配置文件,然后进入登录页面,在进入的时候会优先去访问一遍spring-shiro.xml中配置的logunUrl中的地址,在那里面会先通过request.getAttribute()方法获取Shiro的异常类全限定名判断下是否为空,如果为空则继续进入登录页面,如果不为空则去判断查看是用户名、密码或者验证码中的那个错误。

loginUrl的配置:(loginUrl的那个路径就是访问Controller中的指定方法的路径)

@RequestMapping("login")
    public String login(HttpServletRequest request) throws Exception {
        //如果登录失败从requst中获取认证异常信息,shiroLoginFailure为shiro 的异常类全限定名。该方法不处理认证成功,只有在认证失败的时候才会进入。
        String exceptionClassName = (String) request.getAttribute("shiroLoginFailure");
        if(exceptionClassName!=null){
            if(UnknownAccountException.class.getName().equals(exceptionClassName)){
                throw new CustomException("账号不存在");
            }else if(IncorrectCredentialsException.class.getName().equals(exceptionClassName)){
                throw new CustomException("用户名/密码不存在");
            }else if("randomCodeError".equals(exceptionClassName)){
                throw new CustomException("验证码错误");
            }else{
                throw new Exception();
            }
        }
        return "../../login";
    }

在输入账号密码(账号密码的name值分别为:username和password,在spring-shiro.xml中引入了一个自定义form认证过滤器,他继承了shiro的form认证过滤器,在里面配置了username和password,他会转成相应的格式去shiro的认证过滤器里面进行存储数据),点击登录的时候,会验证一下登录路径是否是在spring-shiro.xml中配置的过滤器链中拦截的方法路径,如果不是的话会继续进入loginUrl地址,然后继续返回登录页面。如果路径正确,则会进入realm中,在realm中通过token获取到登录的用户名,然后拿用户名去数据库进行查询,接着判断一下,如果查询返回的对象为空则证明用户名错误,throw new UnknownAccountExcecption()抛出一个用户名错误的异常,如果不为空则继续往下走,新new 一个SimpleAuthenticationInfo对象,在对象中放入查询出来的对象或者用户名,查询出来的密码,盐(加密处理),this.getName(获取上面set的Name),Shiro会比较登录的账号密码和数据库的账号密码是否一致,不一致走loginurl中的路径,一致说明认证通过,走loginUrl下面的successUrl路径,successUrl路径配置的是认证通过后要跳转的页面。

在账号密码认证成功之后会进入realm下面的授权器的方法(doGetAuthorizationInfo),使用形式参数对象的PrincipalCollection对象中的getPrimaryPrincipal方法获取到在认证器里面的SimpleAuthenticationInfo里面的第一个参数,拿该参数去数据库获取该用户所拥有的权限放入一个List<String>的集合当中,然后在new SimpleAuthorizationInfo,使用simpleAuthorizationInfo对象的addStringPermission方法把获取到的权限的集合放进去。然后返回该对象。

上述一切都是Ok的之后会进入spring-shiro.xml中的successUrl所指向的页面,在这个页面可以使用Shiro的各种Jsp标签,当然前提是需要导入Shiro的标签库。

判断该用户是否有权限访问某一个方法的时候需要在方法的上面加入@RequiresPermission("user:add")之类的注解,括号里放的是权限表中的权限字段,有权限则能访问,无权限就报一个异常。

要判断是否可以使用方法的话就需要开启对Shiro注解的支持了,我是在spring-mvc.xml中加入了

<!-- 开启aop,对类代理 -->
	<aop:config proxy-target-class="true"></aop:config>
	<!-- 开启shiro注解支持 -->
	<bean class="
		org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />
	</bean>
还有无权限访问的话可以在加上 
<!-- 使用shiro注解  由于源码问题需要自己捕获异常 并且跳转页面
	   若当前用户无权限 则跳转到无权限页面
	-->
	<bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
		<property name="exceptionMappings">
			<props>
				<prop key="org.apache.shiro.authz.UnauthorizedException">exception</prop>
			</props>
		</property>
	</bean>
就可以报异常自动跳到exception这个异常页面了。

Ok,一切大功告成!

寒夜流风凛夜月
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java查看源码导入包-shiro:将`Shiro`集成到SSM中以控制权限管理
06-05
java查看源码导入包 Shiro整合Web项目及整合后的开发 将Shiro框架整合到新的web项目中很简单,就是在web项目中导入Shiro的相关jar包以及整合jar包即可完成整合(是不是很简单...哈哈就是这么简单)。难的就是整合Shiro框架后的web项目该如何进行开发,关于这一点,我将在下方通过一个demo演示用户的登录与退出及登录后的权限管理带你入门加入了Shiro框架后的web项目开发。 博客上也放了详细解讲, **写在前边的话:**我在github上已经放了一个整合Spring+SpringMVC+Mybatis的web项目(就是关于商品的增、删、改、查操作),接下来我要讲解的就是如何在这个项目中整合进我的Shiro框架整合Shiro框架前的项目源码前往我的github,并讲解了整合Shiro框架后的web项目该如何进行开发,整合Shiro框架后的完整源码前往我的github。 用于创建表的sql语句见github上src包下的sql包。 开发环境 IDEA Spring3.x+SpringMVC+Mybatis+Shiro 没有用到maven管理工具。 1.
在IntelliJ IDEA上搭建Spring+SpringMVC+Mybatis+Shiro环境搭建(一)
sinat_33919019的博客
02-03 5368
IntelliJ IDEA 下载地址:http://www.jetbrains.com/idea/ 都是最新版本的,只要破解一个版本,其他版本可以共用,具体参考百度O(∩_∩)O Maven Reposity Maven仓库地址:http://mvnrepository.com/ 在IDEA上新建一个Project ,然后选择Maven,最后选择webapp    图1.1 第二页
springboot集成shiros自定义md5加密自定义token认证
最新发布
a360284634的博客
06-18 874
spring boot 集成 shiroshiro介绍,shirospringSecurity区别,shiro优缺点
shiro-550 IDEA环境配置
Demodd的博客
03-14 1748
前言 为了跟一下shiro的洞配下环境,这一配不要紧浪费了一上午的时间,不过自己也从中学到了很多,希望以后配环境不要遇到这么多问题。(java环境也太难搞了) 正文 环境准备: tomcat配置完成前两步即可 jdk1.65 漏洞代码 开始配置 tomcat完成前两步以后,运行 访问http://localhost:8080/,显示下图表示安装成功 然配置漏洞代码,下载源码后更改/samples/web/pom.xml <version>1.2</version添加一行这个即可 在IDEA
shiro环境搭建
Vincent0sen的博客
05-24 1186
这种方法相对复杂,如果不需要分析源码直接用docker就行前置条件:Maven + Ideal + Tomcat任选其一即可编辑shiro/samples/web目录下的pom.xml,将jstl的版本修改为1.2
SpringMVC整合Shiro权限框架
热门推荐
一个普本码农奋斗史
08-09 8万+
最近在学习Shiro,首先非常感谢开涛大神的《跟我学Shiro》系列,在我学习的过程中发挥了很大的指导作用。学习一个新的东西首先就是做一个demo,多看不如多敲,只有在实践中才能发现自己的欠缺,下面记录下来我整合shiro的过程。如果有不足之处,还望各位看官多多指出。 一、基本名词解释 二、准备工作 整合程序沿用之前的例子Maven+spring+Spring MVC+MyBatis+MyS
springmvc+shiro 框架搭建
03-06
SpringMVC和Apache Shiro是两个非常重要的Java开发框架,它们在构建Web应用程序时发挥着关键作用。SpringMVC作为Spring框架的一部分,主要用于处理HTTP请求和响应,提供了一个灵活的模型-视图-控制器(MVC)架构。而...
SpringMVC+MyBatis+EasyUI+Shiro资源整合框架
09-12
搭建的SSM框架(参考文章比较多大部分代码都是从网上学习搭建的),并且在新学的基础上整合了EasyUI 跟 Shiro安全登陆(目前只实现接口+配置文件《没有提供登陆成功后的处理跟权限认证,感兴趣的自己学习下吧!...
SSM整合shiro简单框架搭建,JSP项目
05-21
SSM(SpringSpringMVC、MyBatis)框架整合Apache Shiro的目的是为了实现一个安全的Web应用程序。Shiro是一个强大的且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地为SSM项目添加用户...
SpringMVC+Shiro+MongoDB基础框架
05-15
这个"SpringMVC+Shiro+MongoDB基础框架"项目提供了一个空白的起点,开发者可以在这个基础上快速搭建具备用户认证、权限控制和NoSQL数据库功能的Web应用。通过进一步的定制和扩展,可以满足各种复杂场景的需求。
SpringMvc整合mybatis和shiro权限管理系统
11-15
本项目名为“SpringMvc整合mybatis和shiro权限管理系统”,旨在实现一个基于SpringMVC、MyBatis、Maven、EasyUI和Shiro的全面解决方案。下面将详细介绍这些技术及其整合过程中的关键知识点。 首先,**SpringMVC** ...
Spring mvc整合shiro 框架详细解析
LQzhang_11的博客
06-05 494
Spring 全家桶-4.3.5版本shiro版本-1.3.2 核心容器下面是maven依赖的配置。
springmvc集成shiro(java安全框架
UserGuan的博客
09-05 1349
什么是shiro pom.xml文件 jdbc.properties配置文件 spring-context.xml配置文件 spring-mybatis.xml配置文件 spring-shiro.xml配置文件 web.xml配置文件 userMapper.xml文件 Md5Util加密工具类 MyRealm工具类 User实体 UserDao层 UserService接口......
SpringMVCShiro快速整合
QQ1941638512的博客
09-03 384
SpringMVCShiro快速整合: 好久没有重新整合Shiro框架了,为了方便以后参考查阅,特此将步骤分享出来,共同学习。 一、配置XML文件: 1、到相应的pom.xml中添加shiro相关依赖,注意这里没有版本号,因为在父模块中已经集中定义依赖版本号。 <!-- 添加Apache Shiro 依赖关系 --> <!-- shiro核心包 --> <dependency> <groupId>org.apache.s
SSM 整合 Shiro 安全框架【快速入门】
每日一记,每周一结。
07-06 628
更改web路径创建所需目录。
shiro550复现环境搭建
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
10-12 537
Shiro反序列化漏洞指的是Apache Shiro安全框架中的一个潜在漏洞,该漏洞可能导致攻击者能够通过精心构造的恶意序列化对象来执行任意代码或进行拒绝服务(DoS)攻击。这种漏洞的根源是在Shiro的RememberMe功能中,当用户选择“记住我”选项时,Shiro会将用户的身份信息进行序列化,并存储在Cookie中。当用户再次访问站点时,Shiro会尝试反序列化该Cookie来还原用户的身份信息。然而,如果攻击者能够注入恶意序列化对象,Shiro在反序列化过程中可能会执行这些恶意代码。
Springboot整合Shiro框架入门
web15285868498的博客
04-08 6209
Springboot整合Shiro框架入门 1、快速开始demo 2、Springboot集成Shiro 2.1、环境搭建 2.2、shiro的拦截 2.3、shiro的认证 2.4、整合mybatis 2.5、shiro进行授权 2.6、shiro整合thymeleaf 3、小结 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐
Shiro 权限框架搭建
追梦的郑某艺
03-22 1195
1 项目框架 spring+springMVC (Dao层框架对本次shiro框架集成无影响) 2 设计思路 提供给北辰会展中心一套基于shiro 框架开发的权限管理系统, 实现自定义角色并赋予角色相应的权限,来控制用户访问功能, 例如广告的增加,删除,发布,修改等等; 3 shiro 主要功能 1) 权限管理 : 给用户分配角色 , 也可以给用户分配权限 或者把权限绑定到角...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值