shiro--权限管理框架--基于MVC配置

于 2022-08-31 12:28:37 发布
阅读量215 收藏 1
点赞数
文章标签: java mvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57379221/article/details/123885950
版权
本文详细介绍了Shiro框架在基于Spring MVC的应用中的权限管理配置,包括核心组件如UsernamePasswordToken、SecurityManager和Realm的解析,以及web.xml、springShiro.xml的配置步骤。还阐述了 Realm 自定义模块的实现,需要继承AuthorizingRealm并重写用户认证和授权的方法。最后,文章展示了如何通过Subject对象调用Realm进行登录操作,并处理可能出现的登录异常。
摘要由CSDN通过智能技术生成

基于SpringMVC的配置

目录

一、核心组件

二、配置

1.web.xml配置

2.核心配置:springShiro.xml

3.引入shiro配置文件

三、Realm自定义模块

四、如何调用Realm

一、核心组件

首先我们应该清楚shiro中的核心组件有哪些:

1、UsernamePasswordToken,Shiro用来封装用户登录信息,使用用户的登录信息来创建令牌Token.

2、SecurityManager,Shiro的核心部分,负责安全认证和授权。

3、Suject,Shiro的一个抽象概念,包含了用户信息。

4、Realm,开发者自定义的模块,根据项目的需求,验证和授权的逻辑全部写在Realm 中。

5、AuthenticationInfo,用户的角色信息集合,认证时使用。

6、AuthorzationInfo,角色的权限信息集合,授权时使用。

7、DefaultWebSecurityManager,安全管理器,开发者自定义的Realm 需要注入到DefaultWebSecurityManager进行管理才能生效

8、ShiroFilterFactoryBean,过滤器工厂,Shiro的基本运行机制是开发者定制规则,Shiro去执行,具体的执行操作就是由ShiroFilterFactoryBean创建的一个个 Filter对象来完成。

二、配置

1.web.xml配置

    <!--shiro过滤器-->
<!--    org.springframework.web.filter.DelegatingFilterProxy-->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

2.核心配置:springShiro.xml

  • 注入bean
  • 将bean注入进DefaultWebSecurityManager,安全管理器
  • 将安全管理器注入ShiroFilterFactoryBean,过滤器工厂
  • 在过滤器工厂进行过滤配置
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <!--注入bean-->
    <bean id="userRealm" class="com.qq.realm.UserRealm"/>
    <!--将bean注入进安全管理器-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="userRealm"/>
    </bean>
    <!--将安全管理器注入进过滤器工厂-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <!--  登录页的url
            未认证的用户就会重定向到这里
        -->
        <property name="loginUrl" value="/pages/login/login.jsp"/>

        <!--  未授权的url
            一但未授权的用户访问需要授权的页面,就会重定向到这里
        -->
        <property name="unauthorizedUrl" value="/pages/error.jsp"/>

        <!--  登录成功就跳到这个路径(后台)-->
        <property name="successUrl" value="/pages/book/index.jsp"/>

        <!--  路径过滤
            用得最多的是  anon(匿名可访问),authc(认证后可访问),
            logout(注销时用)(会清除所有session和一些cookie)(会默认跳往根目录)
        -->
        <property name="filterChainDefinitions">
            <value>
                <!--/pages/book/add.jsp = perms[user]-->
                /pages/book/add.jsp = roles[admin]
                /book/logout.do = logout
                /book/*.do = authc
                /pages/book/** = authc

            </value>
        </property>
    </bean>
</beans>

3.引入shiro配置文件

我们shiro的配置文件配置好过后,需要交给spring进行管理。直接在spring的配置文件中引入就行了。


    <!--引入shiro.xml的配置-->
    <import resource="springshiro.xml"/>

三、Realm自定义模块

自定义模块需要继承 AuthorizingRealm,然后重写两个方法:

1.doGetAuthorizationInfo:用户授权

2.doGetAuthenticationInfo:用户认证

主要使用两个组件:

1.AuthenticationInfo,用户的角色信息集合,认证时使用。

2.AuthorzationInfo,角色的权限信息集合,授权时使用。

package com.qq.realm;

import com.qq.pojo.User;
import com.qq.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.Hash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.support.SimpleAutowireCandidateResolver;

import java.util.HashSet;
import java.util.Set;

//@Component
public class UserRealm extends AuthorizingRealm {
    @Autowired
    private UserService userService;

    /*
        授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //1.获取当前的登录信息
        Subject subject = SecurityUtils.getSubject();
        User user = (User) subject.getPrincipal();

        //2.将当前用户的角色添加到set集合中
        /*
            为什么是set集合?
               (1)set集合没重复值
               (2)因为如果用户有多个角色的话,可以一次型添加
               (3)SimpleAuthorizationInfo中的源码是用set集合来接收多个角色
         */
        Set<String> roles = new HashSet<>();
        roles.add(user.getRole());

        //3.创建SimpleAuthorizationInfo用户权限集合
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //4.添加用户的角色
        info.addRoles(roles);
        //5.添加用户的权限
        info.addStringPermission(user.getPermission());
        //6.返回
        return info;
    }

    /*
        认证
            登录
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        /*
             一、
                客户端传过来的账号密码在AuthenticationToken authenticationToken里面,
                我们需要把authenticationToken转换为UsernamePasswordToken类型的数据
                就是如下这一句:
                UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
         */
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;

        /*
            二、
                我们需要通过业务层去查找我们的用户
                通过username去查找这个用户
                token.getUsername()可以获取到我们传过来的username
         */
        User user = userService.findUser(token.getUsername());

        /*
            三、
                先判断我们有没有找到这个用户,然后在判断密码。
         */
        if (user != null) {
            /*
                4.1
                账户存在则判断密码是否正确,我们只需要把
                    user这个对象
                    查询出来的密码
                    realm名称 this.getName()
                放进SimpleAuthenticationInfo方法就能自动判断密码是否正确
                如果正确就通过,如果不正确就会抛一个密码错误的异常
             */

            return new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
        }
        //4.2如果账户不存在会自动抛出一个账户不存在的异常
        return null;
    }
}

四、如何调用Realm

1.首先得到Subject对象

2.将登录的用户名和密码封装进令牌

3.subject.login(令牌):这里就会进入到我们进行登录认证的地方

4.捕获异常:

        1)UnknownAccountException:用户名不存在异常

        2)IncorrectCredentialsException:密码错误异常

5.如果没有发生异常就代表登录成功,会跳转到我们在shrio中配置的登录成功页面

    @RequestMapping("/login.do")
    public ModelAndView login(User user,HttpSession see){
        ModelAndView mv = new ModelAndView();
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword());
        try {
            //我们需要对subject.login(token)进行异常捕获
            subject.login(token);
             mv.setViewName("/book/index");
             see.setAttribute("username",user.getUsername());
        }catch (UnknownAccountException e){
            //UnknownAccountException:用户名不存在异常
            mv.addObject("msg","账户不存在");
            mv.setViewName("/login/login");
        }catch (IncorrectCredentialsException e){
            //IncorrectCredentialsException:密码错误异常
            mv.addObject("msg","密码错误");
            mv.setViewName("/login/login");
        }
        return mv;
    }

涐啝雨の約定
关注
springmvc,mybatis,shiro综合配置示例
08-08
NULL 博文链接:https://peihexian.iteye.com/blog/2161309
SpringMVC-Mybatis-Shiro-redis-master
01-18
**Apache Shiro** 是一个强大且易用的Java安全框架,负责认证、授权、会话管理和加密等功能。在Web应用中,Shiro可以帮助控制用户的访问权限,实现用户登录、权限验证以及安全相关的操作。例如,它可以限制未登录...
springmvc+shiro应用配置
weixin_38169562的博客
03-21 89
以下应用由springmvc结合shiro 认证与授权配置 1\spring-shiro.xml 1 <?xml version="1.0" encoding="UTF-8"?> 2 <beans xmlns="http://www.springframework.org/schema/beans" 3 xmlns:xsi="http:/...
spring与shiro配置详解
dianchi3205的博客
12-16 173
1、加入shiro相关依赖的jar包 pom.xml部分内容如下: 1 <dependency> 2 <groupId>org.apache.shiro</groupId> 3 <artifactId>shiro-spring</artifactId> 4 <version...
shiro权限 的基本配置
weixin_45341195的博客
04-28 610
1.编写一个自定义权限类(继承AuthorizingRealm ) package com.zking.test.shiro; import com.zking.test.biz.IUserBiz; import com.zking.test.model.User; import org.apache.shiro.authc.*; import org.apache.shiro.authc.cr...
Shiro集成SpringMVC
海客森
06-27 995
一个非凡的网站 http://www.hikson.com,RJ海客森 视频录制 git地址:https://gitee.com/hikseason/demo-spring-boot-all.git 视频地址:https://pan.baidu.com/s/19mrxCE9Y5R5ntSEg_EReOg 1.Shiro集成SpringMVC 就是定了了个过滤器shiroF...
shiro-spring-support:提供shiro权限控制支持
04-30
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了身份认证、授权、加密以及会话管理功能,可以非常容易地开发出足够安全的应用。"shiro-spring-support" 模块则是 Shiro 与 Spring 框架集成的一个支持包,...
shiro-main.zip
09-25
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常容易地开发出足够安全的应用。Shiro 不仅可以用于Web应用,还可以用于任何Java应用,如独立的Java应用、Android应用...
SpringMVC-Mybatis-Shiro-redis
02-23
本文将深入探讨一个基于SpringMVC、Mybatis、Shiro和Redis的Web应用架构,这四个组件共同构成了一个强大而灵活的框架,能够满足复杂业务需求并提供高性能的数据处理和用户权限管理。 首先,SpringMVC作为Spring框架...
SpringMVC精品资源--基于SpringBoot + Shiro + MyBatisPlus的权限管理框架.zip
最新发布
02-18
【SpringMVC精品资源——基于SpringBoot + Shiro + MyBatisPlus的权限管理框架】 在现代企业级应用开发中,Spring Boot、Shiro和MyBatisPlus是极为常见的技术组合,它们各自承担着关键的角色。Spring Boot简化了...
shiro 权限与角色
02-01
这里是shrio权限与角色,入门做为一个参考
spring+springMVC+shiro 完美例子
04-15
非常完美的spring+springMVC+shiro 完美例子实现权限认证,相信你一定会喜欢,里面有文档说明
shiro框架的权限设定(三)
阿沐沐的博客
05-17 641
这篇的代码是根据上一篇的内容进行深入。 shiro框架的简单介绍以及使用(一) shiro框架的密码校验(二) 代码在前几篇,自取。 这篇的话因为权限校验我的使用经验并没有太复杂的东西,所以也只能大概的讲一下了。 这方面我属实没有啥太多的使用经验,讲的不好见谅,望斧正。 一、权限校验的使用 这玩意的话我个人感觉没什么需要讲的东西,它自带的权限验证就已经够我使用了 1.1 数据库设计 这玩意的话需要使用数据库,但是呢,我写教学代码不喜欢链数据库,所以我就把设计数据库的代码贴到下面。 你们自己想办法去链数据库,
shiro权限管理配置
weixin_47056195的博客
04-12 639
建立一个权限管理配置类,在类上添加注解@Configuration,如下: 1、设置安全管理 @Bean public DefaultWebSecurityManager securityManager(CookieRememberMeManager rememberMeManager, CacheManager cacheShiroManager, SessionManager sessionManager) { DefaultWebSecurityManager securityManager =
SpringMVC+Shiro配置
TOP_Y的专栏
03-07 2661
1、第一步当然是要引入jar包啦,至于jar包就不上传了,百度一下有很多 2、配置shiro配置文件 <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:jee="http://www.springfram
springMVC中快速配置shiro
Hu_Yanke的博客
03-03 574
1.在web.xml文件中添加过滤器配置,以监听项目内的请求: shiroFilter org.springframework.web.filter.DelegatingFilterProxy targetFilterLifecycle true shiroFilter /*
shiro新手权限配置
ending的博客
10-20 709
首先必须需要有角色表,权限表,用户表 xml配置: <!-- perms[search]表示访问此连接需要权限为search的用户 /developer=anon,roles[admin] perms[delete] roles[admin]表示访问此连接需要用户的角
springmvc + shiro 配置(一、结构及配置文件)
CM logs
10-16 3073
springmvc + shiro 配置 最近自己做的项目框架升级之后,一直没有时间来整理一个完整的配置笔记,大都是一些小问题,这两天项目得空,刚好整理一下,顺便也修正一下配置文件中的冗余配置和不规范。 整个框架涉及的部分分为以下几个部分: SpringMVC配置 SpringMVC+Hibernate配置 SpringMVC+Ibatis配置 *SpringMVC+Shiro配置
springMVC集成 -- shiro配置
weixin_30527143的博客
08-08 139
备注:文中配置基本来自尚硅谷视频教程,也可自行参照shiro官方教程:http://shiro.apache.org/spring.html 1、首先通过maven导入shiro相关依赖jar包,修改pom.xml文件 <dependency> <groupId>org.apache.shiro</groupId> <artif...
Shiro框架入门:SpringMVC权限管理详解
5. **Web集成(WebSupport)**:Shiro可以无缝融入Web应用环境中,包括Spring MVC的整合,使得权限管理与Web应用的其他部分紧密结合。 6. **缓存(Caching)**:通过缓存技术,避免频繁查询用户信息和权限,提高...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

涐啝雨の約定

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值