Shiro在Web集成设置与默认过滤器解析(六)

最新推荐文章于 2022-10-18 09:56:20 发布
最新推荐文章于 2022-10-18 09:56:20 发布
阅读量366 收藏
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37431224/article/details/103926875
版权

Shiro与Web集成,主要是通过配置一个ShiroFilter拦截所有URL,其中ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器,是所有请求入口点,负责根据配置(如ini配置文件),判断请求进入URL是否需要登录/权限等工作。

1)创建一个web的Maven项目

2)导入Shrio相关依赖:

  <dependencies>
	  <dependency>
		  <groupId>commons-logging</groupId>
		  <artifactId>commons-logging</artifactId>
		  <version>1.1.3</version>
	  </dependency>
	  <!-- shiro核心的依赖 -->
	  <dependency>
		  <groupId>org.apache.shiro</groupId>
		  <artifactId>shiro-core</artifactId>
		  <version>1.2.2</version>
	  </dependency>
	  <!-- shiro对web支持的依赖 -->
	  <dependency>
		  <groupId>org.apache.shiro</groupId>
		  <artifactId>shiro-web</artifactId>
		  <version>1.2.2</version>
	  </dependency>
	  <!-- serlvet-api -->
	  <dependency>
		  <groupId>javax.servlet</groupId>
		  <artifactId>javax.servlet-api</artifactId>
		  <version>3.0.1</version>
		  <scope>provided</scope>
	  </dependency>
  </dependencies>

3)web.xml文件中配置shiro的过滤器shiroFilter

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xmlns="http://java.sun.com/xml/ns/javaee"
         xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="WebApp_ID" version="3.0">

    <!--初始化securityManager对象所需要的环境配置-->
    <context-param>
        <param-name>shiroEnvironmentClass</param-name>
        <param-value>org.apache.shiro.web.env.IniWebEnvironment</param-value>
    </context-param>
    <context-param>
        <param-name>shiroConfigLocations</param-name>
        <param-value>classpath:shiro.ini</param-value>
    </context-param>
    <!--
    	从Shiro 1.2开始引入了Environment/WebEnvironment的概念,即由它们的实现提供相应的SecurityManager及其相应的依赖。
    	ShiroFilter会自动找到Environment然后获取相应的依赖。
    	底层:返回反射创建shiroEnvironmentClass对象,调用其init方法.
    		shiroEnvironmentClass中的init方法创建SecurityManager实例并绑定到当前运行环境
     -->
    <listener>
        <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
    </listener>


    <!--配置Shiro过滤器-->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <!-- 拦截所有的请求 -->
        <url-pattern>/*</url-pattern>
    </filter-mapping>
</web-app>

4)配置shiro.ini配置文件

[main]
#默认是/login.jsp
authc.loginUrl=/login
#用户无需要的角色时跳转的页面
roles.unauthorizedUrl=/nopermission.jsp
#用户无需要的权限时跳转的页面
perms.unauthorizedUrl=/nopermission.jsp
#登出之后重定向的页面
logout.redirectUrl=/login
[users]
admin=666,admin
zhangsan=666,deptMgr
[roles]
admin=employee:*,department:*
deptMgr=department:view
[urls]
#静态资源可以匿名访问
/static/**=anon
#访问员工列表需要身份认证及需要拥有admin角色
/employee=authc,roles[admin]
#访问部门列表需要身份认证及需要拥有department:view的权限
/department=authc,perms["department:view"]
#当请求loginOut,会被logout捕获并清除session
/loginOut=logout
#所有的请求都需要身份认证
/**=authc

默认过滤器详解 :

过滤器简称		对应的java类
anon		org.apache.shiro.web.filter.authc.AnonymousFilter
authc		org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic		org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
roles		org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
perms		org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
user		org.apache.shiro.web.filter.authc.UserFilter
logout		org.apache.shiro.web.filter.authc.LogoutFilter
port		org.apache.shiro.web.filter.authz.PortFilter
rest		org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
ssl		org.apache.shiro.web.filter.authz.SslFilter


anon:匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤;示例“/static/**=anon”
authc:表示需要认证(登录)才能使用;示例“/**=authc”
        主要属性:usernameParam:表单提交的用户名参数名( username);  passwordParam:表单提交的密码参数名(password); rememberMeParam:表单提交的密码参数名(rememberMe);  loginUrl:登录页面地
         址(/login.jsp);successUrl:登录成功后的默认重定向地址; failureKeyAttribute:登录失败后错误信息存储key(shiroLoginFailure);
authcBasic:Basic HTTP身份验证拦截器,主要属性: applicationName:弹出登录框显示的信息(application);
roles:角色授权拦截器,验证用户是否拥有资源角色;示例“/admin/**=roles[admin]”
perms:权限授权拦截器,验证用户是否拥有资源权限;示例“/user/create=perms["user:create"]”
user:用户拦截器,用户已经身份验证/记住我登录的都可;示例“/index=user”
logout:退出拦截器,主要属性:redirectUrl:退出成功后重定向的地址(/);示例“/logout=logout”
port:端口拦截器,主要属性:port(80):可以通过的端口;示例“/test= port[80]”,如果用户访问该页面是非80,将自动将请求端口改为80并重定向到该80端口,其他路径/参数等都一样
rest:rest风格拦截器,自动根据请求方法构建权限字符串(GET=read, POST=create,PUT=update,DELETE=delete,HEAD=read,TRACE=read,OPTIONS=read, MKCOL=create)构建权限字符串;
       示例“/users=rest[user]”,会自动拼出“user:read,user:create,user:update,user:delete”权限字符串进行权限匹配(所有都得匹配,isPermittedAll);
ssl:SSL拦截器,只有请求协议是https才能通过;否则自动跳转会https端口(443);其他和port拦截器一样;
注:
anon,authcBasic,auchc,user是认证过滤器,
perms,roles,ssl,rest,port是授权过滤器

风吹底裤飘
关注
专栏目录
springBoot集成mybatis+shiro+jsp
11-01
在本项目中,我们主要探讨的是如何将SpringBoot与Mybatis、Shiro和JSP集成,构建一个完整的Web应用程序。SpringBoot以其简化配置和快速开发的特性,深受开发者喜爱;Mybatis作为轻量级的持久层框架,简化了SQL操作;...
Shiro笔记五:Shiro内置Filter过滤器
公子&小白的博客
05-10 1720
Shiro笔记五:Shiro内置Filter过滤器 shiro内置的过滤器 核心过滤器类:DefaultFilter,配置哪个路径对应哪个拦截器进行处理。 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.f
apache shiro 自带权限过滤器及配置释义
oO粑粑ooo
05-28 437
===============其权限过滤器及配置释义=======================   anonorg.apache.shiro.web.filter.authc.AnonymousFilter   authcorg.apache.shiro.web.filter.authc.FormAuthenticationFilter   authcBasicor...
shiro入门-Shiroweb中内置的Filter过滤器和配置路径讲解 [文档]
小哇
03-23 1558
核心过滤器类:DefaultFilter, 配置哪个路径对应哪个拦截器进行处理 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache...
Shiro权限管理的过滤器解释
dot2s的专栏
12-23 3290
默认过滤器(10个) anon -- org.apache.shiro.web.filter.authc.AnonymousFilter authc -- org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic -- org.apache.shiro.web.filter.authc.BasicHttpAuthen...
SpringBoot 使用Shiro权限框架自定义拦截器检查token失效
Langeldep的专栏
11-09 1万+
  创建一个类,继承自UserFilter,实现OnAccessDenied函数即可。 package io.tenglu.modules.sys.shiro; import org.apache.shiro.web.filter.authc.UserFilter; import org.apache.shiro.web.servlet.ShiroHttpServletRequest; ...
springboot_shiro_jwt.zip
04-08
3. 在SpringBoot的配置类中,配置ShiroWebFilter,设置过滤器链,比如anon(匿名访问)、authc(认证过滤器),并指定对应的URL规则。 4. 使用Shiro的RememberMe服务,可以实现用户下次访问时的自动登录功能。 5. ...
shiro简单的demo.zip
07-14
3. **SecurityConfig.java**:Shiro的配置类,用于设置过滤器链、安全管理器等。 4. **ShiroRealm.java**:自定义的 Realm 类,实现Shiro的认证和授权逻辑,可能连接到数据库进行用户验证。 5. **RedisSessionDAO....
SpringBoot + Shiro实现前后端全分离接口安全框架
09-02
4. **拦截器或过滤器**:在SpringBoot中,可以创建一个Shiro拦截器或过滤器,对每个请求进行检查,确保请求带有有效的JWT。如果令牌无效或过期,Shiro将阻止请求并返回相应的错误信息。 5. **授权策略**:Shiro支持...
springboot_shiro.zip
11-06
4. **配置Web安全过滤器**:在SpringBoot的`WebSecurityConfigurerAdapter`的子类中,通过`addFilterBefore`方法添加Shiro过滤器,并配置过滤器链,确保Shiro能拦截并处理请求。 5. **启动Shiro**:在SpringBoot...
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 3658
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
spring boot整合shiroshiro过滤器介绍
无名剑
08-07 1万+
过滤器链条配置说明 1、一个URL可以配置多个Filter,使用逗号分隔 2、当设置多个过滤器时,全部验证通过,才视为通过 3、部分过滤器可指定参数,如perms,roles Shiro内置的FilterChain anon(org.apache.shiro.web.filter.authc.AnonymousFilter):例子/admins/**=anon 没有参数,表示可以匿...
Shiro学习(七)——Shiroweb集成
sadoshi的专栏
10-07 428
前言 Shiro作为一个权限认证框架,最主要的服务对象应该就是JavaWeb。因此如何与web集成是发挥shiro作用的关键。这里以最基础的与servlet集成作为例子。 新建简单的servlet应用 这里以《Eclipse新建基于Servlet3.x的maven项目》这篇文章的方式构建基本的servlet,就不在本文叙述了。 ...
安全认证框架Shiro (二)- shiro过滤器工作原理
陈袁的博客
11-15 2万+
安全认证框架Shiro (二)- shiro过滤器工作原理 安全认证框架Shiro 二- shiro过滤器工作原理 第一前言 第二ShiroFilterFactoryBean入口 第三请求到来解析过程 第四过滤器执行原理 第五总结第一:前言由于工作原因,写上篇文章安全认证框架Shiro (一)- ini配置文件过了好久,这里补上Shiro的后续学习经历。第二:ShiroFilterFactoryBe
shiroFilter配置详解
热门推荐
eriz程序之路
06-06 2万+
Shiros是我们开发中常用的用来实现权限控制的一种工具包,它主要有认证、授权、加密、会话管理、与Web集成、缓存等功能。Shiro  权限配置一般使用的有两种,一种是采用注解的方式,在我们的  Controller  方法上,或者Action 方法上写入一些权限判断注解,具体怎么使用,我不做介绍,我主要推荐使用配置的方式。这也是我们现在要讲到的配置方式加载系统基础权限控制,采用对Url 进行控制...
【Apache-Shiroshiro配置详解
如切如磋,如琢如磨,臻于至善。
02-16 5062
Apache-Shiro旨在简化身份验证和授权,为企业应用提供安全解决方案。1.配置web.xml<filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
apache shiro内置过滤器 标签 注解
zwj1030711290的CSDN
10-18 366
perms:例子/admins/user/**=perms[user:add:*],perms参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。roles(权限验证) org.apache.shiro.web.filter.authz.RolesAuthorizationFilter。属性和roles一样;
通过Shiro完成组织机构的登录、查询、退出操作
mr_foxsand的专栏
05-23 597
版权声明:严禁用于任何商业用途的转发! 参考文档:Shiro基于组织机构的登录验证_sas???的博客-CSDN博客 需求: 1.多组织下实现用户组织认证登录 2.登录后任意请求获取当前登录组织信息 实现思路: 实现代码: package org.bluedream.core.config.shiro; import lombok.Data; import lombok.NoArgsConstructor; import org.apache.shiro.authc.U..
Shiro技术深度解析:Spring集成与实战指南
在与Web应用集成部分,教程介绍了如何准备环境、配置SHIROFILTER(Shiro过滤器)以处理HTTP请求,并探讨了Web INI配置的细节。拦截器机制也得到了详尽的阐述,包括拦截器的原理、自定义拦截器和默认拦截器的使用。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值