shiro框架的详细配置及使用

最新推荐文章于 2024-05-16 09:40:03 发布
最新推荐文章于 2024-05-16 09:40:03 发布
阅读量3.1k 收藏 8
点赞数
分类专栏: java技术总结 文章标签: shiro框架使用详细步骤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengjwhx/article/details/70228683
版权

1.web.xml文件的配置

<!--Shiro过滤器 -->

<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>

</filter-mapping>


2.applicationContext-shiro.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.1.xsd"
default-lazy-init="true">


<description>Shiro Configuration</description>


    <!--安全管理器-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="shiroDbRealm"/>
        <property name="cacheManager" ref="cacheManager"/>
       <!--  <property name="sessionManager" ref="sessionManager"/> -->
    </bean>


    <!-- 項目自定义的Realm -->
    <bean id="shiroDbRealm" class="com.huaxia.security.shiro.ShiroDbRealm"/>   //  自己写的域


    <!-- Shiro Filter -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login"/>
        <property name="successUrl" value="/index"/>
        <property name="unauthorizedUrl" value="/unauth"/>
        <property name="filterChainDefinitions">
            <value>
                /commons/** = anon
                /plugins/** = anon
                /assets/** = anon
                /css/** = anon
                /js/** = anon
                /img/** = anon
                /fonts/** = anon
                /bootstrap/** = anon
                /login = anon
                /interface/** = anon
                /** = user
                
            </value>
        </property>
    </bean>




    <!-- 用户授权信息Cache -->
<bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" />


    <!-- 会话管理器 -->
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <property name="globalSessionTimeout" value="#{30 * 60 * 1000}"/>
        <property name="sessionIdUrlRewritingEnabled" value="false"/>
    </bean>


    <!-- 在方法中 注入  securityManager ,进行代理控制 -->
    <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
        <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
        <property name="arguments" ref="securityManager"/>
    </bean>


    <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>


    <!-- AOP式方法级权限检查 -->
<bean
class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor">
<property name="proxyTargetClass" value="false" />
</bean>


    <!-- 启用shrio授权注解拦截方式 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>
</beans>

3. shiroUser

public class ShiroUser implements Serializable  {

/**

*/
private static final long serialVersionUID = 1L;
private Long id;
    private String username;
    
public ShiroUser(Long id, String username) {
super();
this.id = id;
this.username = username;
}

public Long getId() {
return id;
}
public void setId(Long id) {
this.id = id;
}
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
  
}

4. ShiroDbRealm

public class ShiroDbRealm  extends AuthorizingRealm{
    private static final Logger LOGGER = LogManager.getLogger(ShiroDbRealm.class);


    @Autowired
    private ILoginService loginService;
    
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken authcToken) throws AuthenticationException {
        LOGGER.info("Shiro开始登录认证");
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
        User un = loginService.selectByUsername(token.getUsername());
       
        // 账号不存在
   if (un == null) {
         return null;
   }
   ShiroUser shiroUser = new ShiroUser(un.getId(), un.getUsername());
   // 认证缓存信息
        return new SimpleAuthenticationInfo(shiroUser, un.getPassword().toCharArray(), getName());


    }
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
// TODO Auto-generated method stub
return null;
}
}

5.controller

 @SystemControllerLog(operatePoint=OperatePointConstants.LOGIN, operateType=OperateTypeConstants.LOGIN)
    @PostMapping("/login")
    @CsrfToken(remove = true)
    @ResponseBody
    public Object loginPost(String username, String password) {
        logger.info("POST请求登录");


        if (StringUtils.isBlank(username)) {
            return renderError("用户名不能为空");
        }
        if (StringUtils.isBlank(password)) {
            return renderError("密码不能为空");
        }else{
        password = SymmetricEncoder.encryptStr(secretkey, password);
//         LOGGER.info(password);
        }
        Subject user = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);
        Result result=new Result();
        try {
            user.login(token);                                                                                                                                                     //在这一步跳入入自己实现的域即shiroDbRealm中验证
            return renderSuccess();
        } catch (UnknownAccountException e) {
        result.setMsg("账号不存在");
        return result;
            /*throw new RuntimeException("账号不存在!", e);*/
        } catch (DisabledAccountException e) {
        result.setMsg("账号未启用");
        return result;
            /*throw new RuntimeException("账号未启用", e);*/
        } catch (IncorrectCredentialsException e) {
        result.setMsg("密码错误,请重试");
        return result;
            /*throw new RuntimeException("密码错误,请重试", e);*/
        } catch (Throwable e) {
        result.setMsg("未知错误,请联系管理员");
        return result;
//            throw new RuntimeException("未知错误,请联系管理员", e);
        }
       
    }


pengjwhx
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro入门
trasewell的博客
09-25 844
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
shiro踏坑(一)——loginUrl不拦截问题
热门推荐
LuckyToMeet-Dian叶
02-26 1万+
    想想大家应该也遇到过整合了ssm+shiro后,直接进入需要经过认证授权的页面,但是loginUrl居然不拦截,直接放行进来,虽然拿不到数据。但是这也是不能忍的。    下面是我的shiro整合spring的配置文件:&lt;beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3...
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2805
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
csrf漏洞表述/shiro漏洞分析-手把手教渗透笔记
最新发布
程序员三九的博客
05-16 427
0x00 漏洞信息简介 ! Board(简称 !)是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。自2001年6月面世以来,!
二十三、shiro安全框架详解(一)
kejizhentan的博客
01-02 1334
shiro权限框架详解第一部分
shiro与spring整合中shiroFilter配置参数loginUrl及unauthorizedUrl含义小记
TYOUKAI_的博客
03-15 7275
&nbsp;&nbsp;&nbsp;&nbsp; shiro与spring整合的时候一般会使用shiro的Filter来代理网站的Filter。网上有很多关于配置shiroFilter的例子,但是感觉都没有给出参数的具体含义。在此小小的记录一下。 shiroFilter的xml配置如下: &lt;!-- Shiro Filter --&gt; &lt;bean id="sh...
基于Spring框架Shiro配置方法
09-04
通过以上配置,基于Spring的Shiro框架就能有效地管理应用的访问控制,提供用户登录、权限检查等功能,同时利用Spring的IoC和AOP特性,使得集成更加方便和灵活。在实际项目中,可以根据需求调整过滤链定义、添加拦截...
Apache Shiro 框架简介
09-15
以下是对Shiro框架详细的解析: 一、Shiro的主要功能 1. 认证(Authentication):Shiro提供了验证用户身份的能力,即确认用户是谁。这通常涉及到用户提交凭证,如用户名和密码,然后Shiro与存储的凭证进行比较,...
shiro框架使用简易教程
03-26
Shiro框架使用简易教程 Shiro框架是一个开源的安全框架,在Web开发应用中使用比较多验证和权限管理。它提供了一个灵活的身份验证和授权机制,可以使得开发难度大大降低。下面是Shiro框架使用简易教程的知识点总结:...
Shiro框架详解.pptx
01-20
本文将对 Shiro 框架进行详细的介绍,包括 Shiro 框架的基本概念、环境搭建、身份验证功能实现、资源权限认证、业务功能拓展等方面。 Shiro 框架的基本概念: * Subject:主体,用于封装存储用户身份信息。 * ...
springshiro
06-24
spring集成shiro 和mongodb数据库 ,下载可用ini配置,启用mongo配置
shiro认证授权框架详解
11-18
shiro认证授权框架详解,包含了认证以及授权的详细说明,以及使用shrio进行认证授权和Spring framework的整合
shiro中实现防御CSRF攻击的token解决方案
qq_27555691的博客
09-06 1381
首先,代码核心逻辑来自https://blog.csdn.net/qq_26848943/article/details/114023239#comments_18211700 其次,我对其进行了修改 1.shiroConfig类中加入防御代码如下 2. filters包下新建CsrfFilter类 说明: 1.csrfDomains在配置配置,可参考链接的原文 2.在session中设csrfToken来作为token防御csrf攻击的主要防御手段, 3.paths集合是...
权限验证框架Shiro使用详解
想作会飞的鱼的博客
06-08 6059
一、简介Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。是一个很不错的安全框架。 它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情: 验证用户 对用户执行访问控制,如: 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限 在任何环境下使用 Session API。例如CS程序。 可以使
安全认证框架Shiro详解
weixin_46178852的博客
05-14 2482
1. RBAC权限设计模型1.1. RBAC模型关键元素1.1.1. 权限1.1.2. 用户1.1.3. 角色1.1.4. 组1.2. 关键元素关系图1.3. 设计权限表结构1.3.1. RBAC权限设计(传统5张表) 1. RBAC权限设计模型         基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。\
Shiro学习详解
m0_67402970的博客
08-24 338
一、什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架Shiro要简单的多。二、Shiro的架构介绍 首先,来了解一下Shiro的三个核心组件:Subject, SecurityManager 和 Realms. 如下图: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zsMDipIM-1661282584478)(http:
Shiro配置文件
weixin_41070431的博客
05-24 926
一、修改web.xml&lt;!-- spring整合shiro安全框架 --&gt; &lt;filter&gt; &lt;filter-name&gt;DelegatingFilterProxy&lt;/filter-name&gt; &lt;filter-class&gt;org.springframework.web.filter.DelegatingFil...
shiro安全框架
mween的博客
08-04 976
shiro简介        Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
Java spring 使用shiro框架
08-20
### 回答1: Java Spring 框架可以使用 Apache Shiro 框架来实现身份验证、授权、加密和会话管理功能。...无论是保护敏感数据,还是实现多角色权限管理,使用Java Spring与Shiro框架都可以提供一种优雅的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值