ssh整合shiro框架用于进行认证和授权

最新推荐文章于 2022-08-05 23:00:01 发布
最新推荐文章于 2022-08-05 23:00:01 发布
阅读量505 收藏
点赞数
分类专栏: java学习问题总结 文章标签: ssh java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31269835/article/details/123192476
版权

基础介绍

shiro 是一个安全框架 有认证和授权 加密 会话管理等功能.
内置9个过滤器用于对数据进行过滤 (anon,authc,prem)
如何使用:步骤1:导入jar包(4个分别为shiro-web,spring,aspject,core)
步骤2:导入配置文件:application_shiro.xml(配置核心组件,安全管理器等)

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans
						http://www.springframework.org/schema/beans/spring-beans.xsd">

   <bean id="erpAuthorizationFilter" class="cn.itcast.erp.authorfilter.ErpAuthorizationFilter"></bean>

  <!-- shiro过滤器工厂bean  相当于加载了9个内置过滤器 -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<!-- 安全管理器: 核心组件 -->
		<property name="securityManager" ref="securityManager" />
		<!-- 认证相关配置:如果没有通过认证就跳转到对应界面 -->
		<property name="loginUrl" value="/login.html" />
		<!-- 授权相关配置: 当用户访问了某个没有的权限时 页面跳转的位置 -->
		<property name="unauthorizedUrl" value="/error.html" />
		
		<property name="filters">
		<map>
		    <entry key="prems" value-ref="erpAuthorizationFilter"></entry>
		
		
		</map>
		
		</property>
		
		<!-- 过滤器的定义 其中的值 用于配置页面的访问规则 -->
		<property name="filterChainDefinitions">
			<value>
			<!-- anon:表示可以无认证(未登录)通过 -->
			
				/error.html = anon
				/login_*=anon
			
			    <!-- url配置 -->
			    /goodstype.html=perms["商品类型管理"]
			    /orders.html=perms["新增管理","审核管理","确认管理","入库管理","订单管理","销售订单新增","销售订单出库"]
			    /orders_add.action= perms["新增管理","销售订单新增"]
			    /orders_doCheck.action=perms["审核管理"]
			    /orders_doStart.action=perms["确认管理"]
			    
			    /orderdetail_doOutStore.action=perms["销售订单出库"]
			    /orderdetail_doInStore.action=perms["入库管理"]
			    /goodstype_*=perms["商品类型管理"]
			    
			    <!-- authc:需要登录才可以 -->
			    /*.action=authc
				/*.html = authc
				/*=authc
				
			</value>
		</property>
	</bean>
     <!-- 安全管理器:核心组件(大脑) -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
     <property name="realm" ref="erpRealm"></property>
	</bean>
<!-- 定义自己实现的realm类 并且将其注入到 安全管理器中-->
   <bean id="erpRealm" class="cn.itcast.erp.realm.ErpRealm">
      <!--  注入实现类过程中使用的元素-->
   <property name="empBiz" ref="empBiz"></property>
   <property name="menuBiz" ref="menuBiz"> </property>
   </bean>
   <!-- 开启shiro注解 -->
   <bean
		class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
			depends-on="lifecycleBeanPostProcessor" >
		<!-- 默认使用JDK代理 ,如被代理类没有实现接口,必须使用下列配置开启 cglib代理  -->
		<property name="proxyTargetClass" value="true" />
	</bean>	
	<bean
		class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />
	</bean>
	
	<!-- 对安全管理器 增强代码 , spring 后处理器 -->
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> 
</beans>

           步骤3:配置web.xml中配置过滤器 (注意配置位置要在struts2之前)   
  配置完成之后开始基础功能

<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

</filter>
 <filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>*.action</url-pattern>
<url-pattern>*.html</url-pattern>
<url-pattern>*</url-pattern>
</filter-mapping>

认证功能

即登录功能(采用 令牌+subject(主题)+事件格式)
步骤1:将之前的调用biz层的代码修改为创建对应的登录代码

   //创建令牌
  UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username,pwd1);
  //创建主题
	Subject subject = SecurityUtils.getSubject();
	//调用主题事件login();login为系统自带的
	subject.login(usernamePasswordToken);
	ajaxReturn(true, "");

        步骤2: 创建令牌会自己调用 realm中的功能,所以我们需要自己重写realm 类 继承自authenticathingRealem   重写两个方法  认证方法 和授权方法.

package cn.itcast.erp.realm;

import java.util.List;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import cn.itcast.erp.biz.IEmpBiz;
import cn.itcast.erp.biz.IMenuBiz;
import cn.itcast.erp.entity.Emp;
import cn.itcast.erp.entity.Menu;

/**
 * @author 66
 *  自定义 realm 类 继承自 authrizingRealm 
 *  实现了两个方法 一个为授权方法 一个为认证方法
 */
public class ErpRealm extends AuthorizingRealm{
//      注入empbiz 用于获取用户名和密码I
	private IEmpBiz empBiz;
	
	private IMenuBiz menuBiz;
	public void setMenuBiz(IMenuBiz menuBiz) {
		this.menuBiz = menuBiz;
	}

	public void setEmpBiz(IEmpBiz empBiz) {
		this.empBiz = empBiz;
	}

	/* (non-Javadoc)
	 * @授权方法
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		// TODO Auto-generated method stub
		System.out.println("授权方法");
//		在授权方法中对用户的权限 进行授权
//		步骤1:获得当前的用户信息
		Emp emp = (Emp) principals.getPrimaryPrincipal();
//		步骤2:获取菜单集合
		List<Menu> list = menuBiz.getMenusByEmpuuid(emp.getUuid());
		//定义一个简易授权信息
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		 for (Menu menu : list) {
//			 将菜单遍历加入到 对象中
             //赋值给简易授权信息
			info.addStringPermission(menu.getMenuname());
		}
		
//		将简易授权信息返回给//
		return info;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		// TODO Auto-generated method stub
		System.out.println("认证方法");
		
//		实现认证方法  通过访问 iempbiz 来判断是否密码是否正确
//		将携带的令牌 传给一个自定义的 用户密码令牌
		
		UsernamePasswordToken upt= (UsernamePasswordToken) token;
		String pwd = new String(upt.getPassword());
//		通过令牌中的用户名和密码调用 emp方法 查看用户是否存在
		Emp emp = empBiz.findByPasswordAndPassword(upt.getUsername(), pwd);
//		如果用户存在 则使用
		if (null!=emp) {
//              返回结果为:  简易授权信息 包括
//			      参数1:主角,就是登陆的用户
//			      参数2:证书凭证,或者密码
//			参数3:当前realm 的名称

			return new SimpleAuthenticationInfo(emp,pwd,getName());
		}
		
//		如果用户不存在就返回为空
		return null;
	}

}

重写之后将其配置到shiro中.见applicatioon-shiro图
之后可以通过
SecurityUtils.getSubject().getPrincipal();来得到用户名 用于页面返回.
可以调用subject 的logout来退出登录.

授权功能:

需要重写 对应的realm中的方法 
 配置核心配置文件中数据

分为三块 1:粗颗粒 2:细颗粒
1粗颗粒经常用于url 对网址进行授权 但是如果多个功能使用了同一个页面,就需要使用细颗粒 包括两种一:对方法的 2:对代码的. 需要进行对应的prem配置

qq_31269835
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSH+shiro安全框架注册登录操作
ZHAOHAOCHENG的博客
01-12 971
本文使用的是ssh+maven,初步集成shiro,完成了用户的注册和登陆的验证 代码可能有点多,不过重要的注释上面都有注释,所需要的每一个文件都已经配置好了,放心使用 pom.xml配置: &lt;project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-i...
SSH整合(Spring+Shiro+Hibernate) - 你会喜欢的
06-12
给大家分享一个前几年闲着蛋疼写(应该叫整合吧)的一个WEB应用框架整合Spring,使用的是SpringMVC,而不是Struts,Java开源框架Shiro,持久层框架Hibernate。实现的主要功能有,用户的管理,角色管理,可配置的Lookup(翻译成参照?)功能,可配置的select多选项,记录列表分页,增、删、查、改。多文件上传功能以及KindEditor所见即所得编辑器。 关于如何运行请看详细说明文档: http://www.cxy808.com/cxy/20140502/806.html
SSH整合shiro
desert568的博客
12-19 1833
和大家分享一下 ssh整合shiro 关于ssh整合就不啰嗦了,我上篇文章有详细的说明,关于整合shiro,首先在ssh整合的基础上进行组合 1.首先,要导入几个依赖(整合sshshiro的依赖):         1.3.2   //整合shiro的版本     //上面的一些有关于整合ssh的依赖就不详细说了    org.apache.sh
SSH整合Shiro
LYQ2332826438的博客
10-06 895
SSH整合Shiro 环境配置:SSH框架Shiro框架 一、搭建SSH框架,结构如下图: 二、导入几个依赖(整合sshshiro的依赖): &lt;!--引入shiro核心依赖shiro-core--&gt;          &lt;dependency&gt;                   &lt;groupId&gt;org.apache.shiro&lt;/g...
shiro整合ssh
weixin_43766390的博客
08-05 215
我们可以自定义一个,但spring整合shiro时提供了一个拦截器注解:可以加载相应方法上。没有权限的话会在前端报错,不合适,我们要在后台处理。使用注解就不需要再进行上面的自定义拦截器了。创建自定义的realm文件。...
SSH整合Shiro源码
01-19
主要是SSH整合Shiro框架中的密码加密、认证授权。主要是SSH整合Shiro框架中的密码加密、认证授权
ssh整合shiro
06-05
SSH整合ShiroJava Web开发中的一个重要话题,它涉及到Spring、Struts2和Hibernate这三个主流框架与Apache Shiro安全框架的集成。这篇文章将详细介绍SSH框架整合过程以及Shiro的安全管理功能。 首先,SSH...
SSH框架+shiro整合的maven项目pom文件--pom.xml
04-01
该pom文件整合spring,struts2,hibernate5框架shiro权限框架所需的jar包,完美无冲突
SSH集成shiro实现登陆
AsakuraNatsuhi的博客
10-30 1861
导入maven坐标 <!-- 权限控制 框架 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>${shiro.version}</version>
SSH+shiro+easyUI实战项目案例
05-16
包含了基础的增删改查,easyUI应用和shiro的基本实现,含mysql数据库。解压导入数据库,修改jdbc.properties参数直接运行.
easyUI+ssh+shiro技术实现的开源权限管理系统
07-05
easyUI+ssh+shiro技术实现的开源权限管理系统sshpermissions,另外还有SpringMVC Spring3 Hibernate3 MyBatis重构的另外一个版本sshpermissions
ShiroSSH集成的一个综合的例子
09-13
最近通过http://jinnianshilongnian.iteye.com/blog/2018398学习了一下shiro,感觉shiro确实不错,但是学习的时候,作者使用的是springMVC,而本人开始使用的是SSH,有些小失望,决心自己做一个ShiroSSH集成的demo,供大家参考,由于本人工作时间紧,所以这个项目拖了将近一个月的时间,大体的权限管理已经实现了,只是部分修改和删除功能没有时间去写了,不过shiro的权限控制已经可以提现了,希望对大家有所帮助吧,尤其是使用SSH开发的人员。项目里面有完整的数据库文件
java权限框架_ssh+shiro+jbpm4.4+lucene+easyui
11-01
基于角色,组织的权限,细化到按钮,可直接在此项目上进行二次开发,代码非常规范,开源项目,希望对大家有帮助
shiroSSH整合的写的挺好的一篇博客 转载出来给 分享
PORSCHE_GT3RS的博客
03-22 525
一篇写的很好的shiroSSH整合的博客 转载出来 分享
Shiro认证整合SSH
小思的博客
10-25 342
1.新建或者导入一个SSH项目 项目模块图如下 2.导入shiro依赖到pom.xml pom.xml &amp;amp;lt;project xmlns=&amp;quot;http://maven.apache.org/POM/4.0.0&amp;quot; xmlns:xsi=&amp;quot;http://www.w3.org/2001/XMLSchema-instance&amp;quot; xsi:schemaLocation=&amp;
Shiro进阶(一)Shiro整合SSH之登录认证
jwang的博客
05-12 475
前言 本章讲解Shiro整合SSH的步骤 方法 1.概念 之前我们讲了Shiro认证授权,那么一般而言我们都是在web条件下进行的,所以我们来聊一下Shiro整合SSH的关键步骤。这里的SSH是我之前将SMS时的代码,这部分的整合代码我就略过了。有兴趣的可以翻翻我前面SSH框架的博客。 项目结构: 2.关键步骤 1)引入相关jar 由于是和spring进行整合,...
SSH集成Shiro,实现认证
umbrella_419的博客
08-31 317
1、首先写一个简单登录界面 2、写一个相对应的Actionpublic class StudentAction extends ActionSupport{ private StudentBiz studentBiz; private Student student; public String loginstu() throws Exception { Syst
Shiro授权整合SSH
小思的博客
10-25 369
1.新建或者导入一个SSH项目 项目模块图如下 2.导入shiro依赖到pom.xml pom.xml &amp;amp;lt;project xmlns=&amp;quot;http://maven.apache.org/POM/4.0.0&amp;quot; xmlns:xsi=&amp;quot;http://www.w3.org/2001/XMLSchema-instance&amp;quot; xsi:schemaLocation=&amp;
如何shiro框架进行认证授权
最新发布
07-11
Shiro框架是一个功能强大的Java安全框架,可以用于认证授权。下面是使用Shiro进行认证授权的基本步骤: 1. 添加Shiro依赖:在你的项目中添加Shiro的相关依赖,可以通过Maven或者Gradle进行引入。 2. 配置Shiro...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值