基于spring的shiro配置

最新推荐文章于 2024-06-18 10:17:47 发布
最新推荐文章于 2024-06-18 10:17:47 发布
阅读量789 收藏 2
点赞数
分类专栏: shiro框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37928350/article/details/78889844
版权

Shiro继承spring

1.需要所有的springmvc.xml的配置

2.需要所有的web.xml的配置

3.需要所有的pom.xml的依赖

4.需要所有的spring.xml的配置

5.jdbc.properties文件

 

Web.xml配置

[html]  view plain  copy
  1. <!-- 配置shiro的代理过滤器   filter-name的名字和spring中bean的id一样 -->  
  2. <filter>  
  3.     <filter-name>shiroFilter</filter-name>  
  4.     <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
  5.     <init-param>  
  6.         <param-name>targetFilterLifecycle</param-name>  
  7.         <param-value>true</param-value>  
  8.     </init-param>  
  9. </filter>  
  10. <filter-mapping>  
  11.     <filter-name>shiroFilter</filter-name>  
  12.     <url-pattern>/*</url-pattern>  
  13. </filter-mapping>  


 

spring.xml中配置realm

[html]  view plain  copy
  1. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
  2. lt;!-- ref="myDbRealm" 自定义类MyDbRealm加注解@component继承AuthorizingRealm -->  
  3.    <property name="realm" ref="myDbRealm"/>  
  4. lt;/bean>  
  5. <!-- 后置处理器(用来注销securityManager) -->  
  6. lt;bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>  


spring.xml中配置ini

 

[html]  view plain  copy
  1. <!-- spring 配置ini  bean的id与web.xml中filter-name一样-->  
  2.  <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
  3.     <property name="securityManager" ref="securityManager"/>  
  4.     <property name="loginUrl" value="/login.html"/>  
  5.     <property name="unauthorizedUrl" value="/un.html"/>  
  6.       
  7.     <property name="filterChainDefinitions">  
  8.         <value>  
  9.             /login.html = anon  
  10. /scu.jsp = authc  
  11.         </value>  
  12.     </property>  
  13. </bean>  

加入依赖:

[html]  view plain  copy
  1. 1. <dependency>    
  2. 2.     <groupId>org.apache.shiro</groupId>    
  3. 3.     <artifactId>shiro-spring</artifactId>    
  4. 4.     <version>1.4.0</version>    
  5. 5. </dependency>  

  

自定义filter实现动态配置url拦截

[html]  view plain  copy
  1. package cn.et.shiro.conf;  
  2.    
  3. import java.util.List;  
  4. import java.util.Set;  
  5. import java.util.regex.Pattern;  
  6.    
  7. import javax.servlet.ServletRequest;  
  8. import javax.servlet.ServletResponse;  
  9. import javax.servlet.http.HttpServletRequest;  
  10.    
  11. import org.apache.shiro.spring.web.ShiroFilterFactoryBean;  
  12. import org.apache.shiro.subject.Subject;  
  13. import org.apache.shiro.util.CollectionUtils;  
  14. import org.apache.shiro.web.filter.authz.AuthorizationFilter;  
  15. import org.springframework.beans.factory.annotation.Autowired;  
  16. import org.springframework.stereotype.Component;  
  17.    
  18. import cn.et.shiro.dao.UserMapper;  
  19. import cn.et.shiro.entity.Menu;  
  20.    
  21. @Component    
  22. public class MyFilter extends AuthorizationFilter {    
  23.         
  24.     @Autowired    
  25.     private ShiroFilterFactoryBean sffb;    
  26.     /**    
  27.      * 匹配指定过滤器规则的url    
  28.      * @param regex    
  29.      * @param url    
  30.      * @return    
  31.      */    
  32.     public static boolean matchUrl(String regex,String url){    
  33.          
  34.         regex=regex.replaceAll("/+", "/");    
  35.         if(regex.equals(url)){    
  36.             return true;    
  37.         }    
  38.         regex=regex.replaceAll("\\.", "\\\\.");    
  39.         // /login.html  /l*.html    
  40.         regex=regex.replaceAll("\\*", ".*");    
  41.         // /**/login.html  /a/b/login.html    
  42.         if(regex.indexOf("/.*.*/")>=0){    
  43.             regex=regex.replaceAll("/\\.\\*\\.\\*/", "((/.*/)+|/)");    
  44.         }    
  45.         System.out.println(regex+"----"+url);    
  46.         return Pattern.matches(regex, url);    
  47.     }    
  48.     @Autowired  
  49.     UserMapper userMapper;  
  50.     /**    
  51.      * 测试    
  52.      * @param args    
  53.      */    
  54.     public static void main(String[] args) {    
  55.         System.out.println(matchUrl("/**/s*.html","/t/g/login.html"));    
  56.     }      
  57.       
  58.     /**    
  59.      * isAccessAllowed用于判断当前url的请求是否能验证通过  如果验证失败 调用父类的onAccessDenied决定跳转到登录失败页还是授权失败页面    
  60.      */    
  61.     @Override    
  62.     protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)    
  63.             throws Exception {  
  64.       
  65.         HttpServletRequest req=(HttpServletRequest)request;    
  66.         String contextPath=req.getContextPath();  
  67.         //获取用户访问的资源的路径  
  68.         String url=req.getRequestURI();  
  69.         url=url.split(contextPath)[1];  
  70.         //获取哪些url需要哪些认证  
  71.         //List<Menu> queryMenu=userMapper.queryMenuByUrl(url);  
  72.         List<Menu> queryMenu=userMapper.qieryMenu();  
  73.         if(queryMenu.size()==0){  
  74.             return false;  
  75.         }  
  76.         String urlAuth=null;  
  77.         for(Menu menu:queryMenu){  
  78.             if(matchUrl(menu.getMenuUrl(),url)){  
  79.             //取出权限  
  80.             urlAuth=menu.getMenuFilter();  
  81.             }  
  82.         }  
  83.         //通数据库没有配置当前url的授权  
  84.          
  85.          
  86.         if(urlAuth==null){    
  87.             return false;    
  88.         }    
  89.         //配置的过滤器是anon 直接放过    
  90.         if(urlAuth.startsWith("anon")){    
  91.             return true;    
  92.         }    
  93.         //配置的是authc 判断当前用户是否认证通过    
  94.         Subject subject = getSubject(request, response);    
  95.         if(urlAuth.startsWith("authc")){    
  96.             return subject.isAuthenticated();    
  97.         }    
  98.         //授权认证 也需要判断是否登录 没有登录返回 登录继续下面的验证    
  99.         boolean ifAuthc=subject.isAuthenticated();    
  100.         if(!ifAuthc)    
  101.             return ifAuthc;    
  102.         //如果是定义的roles过滤器  获取所有的roles 一般是roles[a,b]    
  103.         if(urlAuth.startsWith("roles")){    
  104.             String[] rolesArray=urlAuth.split("roles\\[")[1].split("\\]")[0].split(",");    
  105.             if (rolesArray == null || rolesArray.length == 0) {    
  106.                 return true;    
  107.             }    
  108.             Set<String> roles = CollectionUtils.asSet(rolesArray);    
  109.             return subject.hasAllRoles(roles);    
  110.         }    
  111.         if(urlAuth.startsWith("perms")){    
  112.             String[] perms=urlAuth.split("perms\\[")[1].split("\\]")[0].split(",");    
  113.             boolean isPermitted = true;    
  114.             if (perms != null && perms.length > 0) {    
  115.                 if (perms.length == 1) {    
  116.                     if (!subject.isPermitted(perms[0])) {    
  117.                         isPermitted = false;    
  118.                     }    
  119.                 } else {    
  120.                     if (!subject.isPermittedAll(perms)) {    
  121.                         isPermitted = false;    
  122.                     }    
  123.                 }    
  124.             }    
  125.     
  126.             return isPermitted;    
  127.         }    
  128.         return false;    
  129.     }    
  130.     
  131. }  


 

认证登录实现AuthorizingRealm 

[html]  view plain  copy
  1. package cn.et.shiro.conf;  
  2.    
  3. import java.util.Set;  
  4.    
  5. import org.apache.shiro.authc.AuthenticationException;  
  6. import org.apache.shiro.authc.AuthenticationInfo;  
  7. import org.apache.shiro.authc.AuthenticationToken;  
  8. import org.apache.shiro.authc.SimpleAccount;  
  9. import org.apache.shiro.authc.UsernamePasswordToken;  
  10. import org.apache.shiro.authz.AuthorizationInfo;  
  11. import org.apache.shiro.authz.SimpleAuthorizationInfo;  
  12. import org.apache.shiro.realm.AuthorizingRealm;  
  13. import org.apache.shiro.subject.PrincipalCollection;  
  14. import org.springframework.beans.factory.annotation.Autowired;  
  15. import org.springframework.stereotype.Component;  
  16.    
  17. import cn.et.shiro.dao.UserMapper;  
  18. import cn.et.shiro.entity.UserInfo;  
  19. @Component  
  20. public class MyDbRealm extends AuthorizingRealm {  
  21. @Autowired  
  22. UserMapper userMapper;  
  23. /**  
  24.  * 认证  
  25.  * 将登陆输入的用户名和密码和数据库中的用户名和密码对比  是否相等  
  26.  * 返回值null表示认证失败 非null认证通过  
  27.  */  
  28. @Override  
  29. protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {  
  30. //获取从页面传入的token  
  31. UsernamePasswordToken upt=(UsernamePasswordToken)token;  
  32. //从数据库中查询userinfo对象  
  33. UserInfo queryUser=userMapper.queryUser(upt.getUsername());  
  34. //如果对象不为空,且密码相等 可以登录  
  35. if(queryUser!=null && queryUser.getPassword().equals(new String(upt.getPassword()))){  
  36. SimpleAccount sa=new SimpleAccount(upt.getUsername(),upt.getPassword(),"MyDbRealm");  
  37. return sa;  
  38. }  
  39. return null;  
  40. }  
  41. /**  
  42.  * 获取当前文件的授权数据  
  43.  * 将当前用户在数据库的角色和权限 加载到AuthorizationInfo  
  44.  * 默认在进行授权认证的调用 检查权限调用checkRole checkPerm  
  45.  */  
  46. @Override  
  47. protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {  
  48. //获取用户名  
  49. String userName=principals.getPrimaryPrincipal().toString();  
  50. //获取角色  
  51. Set<String> roleList=userMapper.queryRoleByName(userName);  
  52. //获取权限  
  53. Set<String> permsList=userMapper.queryPermsByName(userName);  
  54. SimpleAuthorizationInfo sa=new SimpleAuthorizationInfo();  
  55. sa.setRoles(roleList);  
  56. sa.setStringPermissions(permsList);  
  57. return sa;  
  58. }  
  59. }  
  60.    
爱码狮
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-shiro最基本的配置,就这一篇入门
低调的http://
04-04 5255
Apache Shiro是一个强大的,易用的Java安全框架。它被用作于认证,授权,加密,session管理。依赖于Shiro简单易懂的API,就可以快速的构建包括手机,大型web和商业应用。今天小编就带大家入门shiro,你会发现shiro并没有你想的那么难。
基于Spring框架的Shiro配置方法
09-04
以下将详细介绍基于Spring框架的Shiro配置方法。 首先,我们需要在`web.xml`中配置Shiro的过滤器。这一步是设置Shiro的核心过滤器`DelegatingFilterProxy`,它会代理到Spring的Bean中。配置如下: ```xml <!-- ...
Shiro的安装和基本使用
programmer想玩潮
02-24 1338
Shiro的安装和基本使用 shiro中的核心架构 添加依赖到 pom.xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.7.0</version> </dependency> shiro
spring-shiro 安全框架配置
dianqiong7545的博客
06-19 121
<!--创建自定义域对象--><bean id="authRealm" class="com.aaa.ssm.shiro.AuthRealm"> <property name="credentialsMatcher" ref="credentialsMatcher"></property></bean><!--创建凭...
springboot集成shiros自定义md5加密自定义token认证
最新发布
a360284634的博客
06-18 820
spring boot 集成 shiroshiro介绍,shirospringSecurity区别,shiro优缺点
spring-shiro.xml授权验证的配置
scorpio_meng的博客
12-21 1886
springshiro整合时,需要将shiro的ini配置放到xml文件中,此文是授权验证模块配置的属性,如有问题,多谢指点。 首先单独创建一个spring-shiro.xml文件,这样shiro配置全部放在这个文件里面,为了查看方便,而且清晰,当然,所有文件都放在一个spring配置文件里也可以,不过感觉这样太乱了,对于各个技术和spring的整合,感觉单独创建一个xml文件比较好。不啰嗦...
Springboot 整合Shiro 轻量级权限框架,从数据库设计开始带你快速上手shiro
默默不代表沉默
04-26 2460
前言 shiro是一个轻量级的权限框架,该篇我将会从0到1快速教大家搭建出一套包含角色,权限登录校验的项目。 就算你没了解过,也能学会。跟着我把代码敲一遍,这个项目就是属于你的。 该篇文章比较啰嗦,篇幅较长,如果不是入门的初学者大可不必从头开始阅读(我一般的教程都会以从零开始的方式,所以都比较啰嗦)。 正文 数据库的准备(Mysql): 在这是实践的案例里面,数据库表三...
spring shiro整合
11-10
Spring应用中整合Shiro,可以利用Spring的依赖注入特性,将Shiro的相关组件如SecurityManager、Realm等注入到Spring容器中,方便管理和配置。 1. **认证**:Shiro提供了Subject接口,它是用户与系统交互的接口,...
springshiro
06-24
SpringShiro中,MongoDB被用作Shiro的会话数据存储,替代了传统的基于内存或JDBC的会话管理方式,这使得在分布式环境中处理会话变得更加方便。 项目提供的ini配置文件是Shiro配置文件,其中包含了认证、授权...
基于Spring shiro mybatis 的客户关系管理系统
11-28
【标题】基于Spring shiro mybatis 的客户关系管理系统 【描述】这个项目是一个采用Java技术栈构建的客户关系管理系统(CRM),特别适合初学者进行学习和实践。它整合了SpringShiro和MyBatis三个核心框架,为开发...
Spring Shiro 学习系统 Spring-Shiro-training
01-30
1. **SpringShiro的集成**:讲解如何在Spring应用中引入Shiro,包括配置Shiro的依赖、设置Shiro的过滤器链以及SpringShiro的Bean配置。 2. **身份认证**:介绍Shiro的Subject、Realms和CredentialsMatcher等...
shiro-springmvc-gradle整合
12-18
shiro-springmvc-gradle整合
shiro整合spring项目实例
11-04
shiro整合spring项目实例,shiro整合spring项目实例,shiro整合spring项目实例
shiro第一章shiro的DefaultSecurityManager练习和实现自己的Realm
24koby
03-13 3162
实现自己的Realm 实现自己的Realm时,需要实现shiro中的Realm接口。 String getName(); //返回一个唯一的 Realm 名字 ; boolean supports(AuthenticationToken token); //判断此 Realm 是否支持此 Token; AuthenticationInfo getA...
IDEA搭建shiro550复现环境
zyer
03-14 1802
一.环境准备 tomcat 8.5.76(下载地址:Apache Tomcat® - Welcome!) JDK 1.7 (下载地址:Java Archive Downloads - Java SE 7) shiro (下载地址:GitHub - jas502n/SHIRO-550: Shiro RememberMe 1.2.4 反序列化 漏洞) 下载对应war包即可 shiro源码(下载地址:https://codeload.github.com/apache/shiro/zip/shiro-ro
Shiro整合Spring配置及解释
↓ ↓ ↓ ↓
03-13 1811
Shiro整合Spring配置详解1.首先加入ShiroSpring对应的jar包,我是使用的maven添加.附上pom文件:&lt;properties&gt; &lt;!-- spring版本 --&gt; &lt;spring.version&gt;4.1.7.RELEASE&lt;/spring.version&gt; &lt;!-- Shiro版本 --&gt...
shiro框架的详细配置及使用
码畜
04-15 904
1.web.xml文件的配置 <!--Shiro过滤器 --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> &...
shiro教程(4)-shiro与项目集成开发
好好学java
04-01 2112
1shiro与项目集成开发 1.1shirospring web项目整合 shirospringweb项目整合在“基于url拦截实现的工程”基础上整合,基于url拦截实现的工程的技术架构是springmvc+mybatis,整合注意两点: 1、shirospring整合 2、加入shiro对web应用的支持 1.1.1取消原springmvc认证和授权拦截器
springboot基于shiro配置文件
05-09
Spring Boot项目中使用Shiro进行安全控制,需要进行以下几个步骤。 1. 引入ShiroSpring Boot相关依赖 在`pom.xml`文件中添加以下依赖: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.6.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.6.0</version> </dependency> ``` 2. 配置Shiro的安全管理器 在Spring Boot的配置文件中,添加Shiro的相关配置: ```yaml # Shiro配置 shiro: # 配置安全管理器 securityManager: # 配置Realm realms: - name: myRealm # 配置自定义的Realm实现类 customRealm: com.example.demo.shiro.MyRealm # 配置Session管理器 sessionManager: # Session过期时间,单位:毫秒 globalSessionTimeout: 1800000 # 配置Cookie cookie: # Cookie名称 name: SHIROSESSIONID # Cookie过期时间,单位:秒 maxAge: 1800 # Cookie路径 path: / # 配置Shiro Filter filters: # 配置自定义的Filter实现类 myFilter: com.example.demo.shiro.MyFilter # 配置Filter Chain filterChainDefinitions: # 配置访问控制规则 /login: anon /logout: logout /**: myFilter ``` 其中,配置了安全管理器`securityManager`,包括了自定义的Realm实现类`MyRealm`、Session管理器和Cookie。 配置Shiro Filter`myFilter`,以及Filter Chain,其中`/login`可以匿名访问,`/logout`需要进行登出操作,其他URL需要经过自定义的Filter`MyFilter`进行访问控制。 3. 实现自定义Realm 在`MyRealm`类中,需要实现Shiro的`Realm`接口,重写`doGetAuthenticationInfo`和`doGetAuthorizationInfo`方法,完成身份认证和授权。 ```java public class MyRealm extends AuthorizingRealm { /** * 身份认证 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { // 获取用户名和密码 String username = (String) authenticationToken.getPrincipal(); String password = new String((char[]) authenticationToken.getCredentials()); // 根据用户名查询用户信息 User user = userService.findByUsername(username); // 判断用户是否存在 if (user == null) { throw new UnknownAccountException("用户不存在"); } // 判断密码是否正确 if (!password.equals(user.getPassword())) { throw new IncorrectCredentialsException("密码错误"); } // 将用户信息封装到AuthenticationInfo中 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, password, getName()); return authenticationInfo; } /** * 授权 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { // 获取用户信息 User user = (User) principalCollection.getPrimaryPrincipal(); // 查询用户角色和权限信息 List<Role> roles = roleService.findByUserId(user.getId()); List<Permission> permissions = permissionService.findByUserId(user.getId()); // 封装角色和权限信息到AuthorizationInfo中 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); for (Role role : roles) { authorizationInfo.addRole(role.getName()); } for (Permission permission : permissions) { authorizationInfo.addStringPermission(permission.getName()); } return authorizationInfo; } } ``` 4. 实现自定义Filter 在`MyFilter`类中,需要继承Shiro的`AccessControlFilter`类,重写`isAccessAllowed`和`onAccessDenied`方法,完成访问控制逻辑。 ```java public class MyFilter extends AccessControlFilter { @Override protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception { // 获取Shiro的Subject对象 Subject subject = getSubject(servletRequest, servletResponse); // 判断是否已经登录 if (subject.isAuthenticated()) { return true; } // 判断是否是登录请求 HttpServletRequest request = (HttpServletRequest) servletRequest; if ("/login".equals(request.getServletPath())) { return true; } // 其他情况都要进行跳转到登录页面 redirectToLogin(servletRequest, servletResponse); return false; } @Override protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception { // 如果是Ajax请求,则返回JSON格式的数据 HttpServletRequest request = (HttpServletRequest) servletRequest; HttpServletResponse response = (HttpServletResponse) servletResponse; if (request.getHeader("X-Requested-With") != null && request.getHeader("X-Requested-With").equalsIgnoreCase("XMLHttpRequest")) { response.setContentType("application/json;charset=UTF-8"); response.getWriter().write(JSON.toJSONString(Result.fail("未登录或登录超时"))); } else { // 否则进行跳转到登录页面 redirectToLogin(servletRequest, servletResponse); } return false; } } ``` 5. 配置Shiro的注解支持 在Spring Boot的配置类中,添加`@EnableAspectJAutoProxy(proxyTargetClass = true)`注解和`@EnableAuthorization`注解,启用Shiro的注解支持和AOP功能。 ```java @Configuration @EnableAspectJAutoProxy(proxyTargetClass = true) @EnableAuthorization public class ShiroConfig { // ... } ``` 至此,基于Shiro的安全控制已经配置完成。在需要进行访问控制的Controller方法上,添加相应的注解即可完成授权操作,例如`@RequiresPermissions("user:view")`表示需要拥有`user:view`权限才能访问该方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值