Shiro使用(基于SSM)

最新推荐文章于 2022-08-28 23:41:30 发布
最新推荐文章于 2022-08-28 23:41:30 发布
阅读量153 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37968824/article/details/81200957
版权

一、配置文件

maven配置

    <!-- Shiro -->
   <dependency>  
        <groupId>org.apache.shiro</groupId>  
        <artifactId>shiro-core</artifactId>  
        <version>1.2.3</version>  
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-ehcache</artifactId>
        <version>1.2.3</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-web</artifactId>
        <version>1.2.3</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-spring</artifactId>
        <version>1.2.3</version>
    </dependency>

web.xml配置

<!-- Spring ApplicationContext 配置文件的路径,可使用通配符,多个路径用,号分隔 此参数用于后
面的 Spring Context Loader -->
<context-param>
	<param-name>contextConfigLocation</param-name>
	<param-value>
		classpath*:/applicationContext-shiro.xml
	</param-value>
</context-param>
<!-- shiro security filter -->
<filter>
	<!-- 这里的 filter-name 要和 spring 的 applicationContext-shiro.xml 里的
	org.apache.shiro.spring.web.ShiroFilterFactoryBean 的 bean name 相同 -->
	<filter-name>shiroSecurityFilter</filter-name>
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	<init-param>
	<param-name>targetFilterLifecycle</param-name>
	<param-value>true</param-value></init-param>
</filter>
<filter-mapping>
	<filter-name>shiroSecurityFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

applicationContext-shiro.xml

<bean id="shiroSecurityFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<!-- shiro 的核心安全接口 -->
		<property name="securityManager" ref="securityManager" />
		<!-- 要求登录时的链接 -->
		<property name="loginUrl" value="/login.jsp" />
		<!-- 登陆成功后要跳转的连接 -->
		<property name="successUrl" value="/index.jsp" />
		<!-- 未授权时要跳转的连接 -->
		<property name="unauthorizedUrl" value="/unauthorized.jsp" />
		<!-- shiro 连接约束配置 -->
		<property name="filterChainDefinitions">
			<value>
				/login = authc
				/logout = logout
				/resource/** = anon
			</value>
		</property>
	</bean>
	
	<!-- securityManager -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<!--调用自定义realm -->
        <property name="realm" ref="realm" />
	</bean>
	<bean id="realm" class="cn.cc.shiro.Realm"></bean>
	
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
	
	<!-- AOP式方法级权限检查  -->
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true" />
    </bean>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>
	
	<!-- 启用注解 -->
	<!-- <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager"/>
	</bean> -->

二、登录验证-登录拦截器

 

    <bean id="shiroSecurityFilter"                    class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<!-- shiro 的核心安全接口 -->
		<property name="securityManager" ref="securityManager" />
		<!-- 要求登录时的链接 -->
		<property name="loginUrl" value="login.do" />
		<!-- 登陆成功后要跳转的连接 -->
		<property name="successUrl" value="/index.jsp" />
		<!-- 未授权时要跳转的连接 -->
		<property name="unauthorizedUrl" value="unauthorized.do" />
		
		<!-- shiro 连接约束配置  URL拦截规则-->
		<property name="filterChainDefinitions">
			<value>
				/css/** = anon
				/js/** = anon
				/images/** = anon
				/login.do = anon
				/checkLogin.do = anon
				/doGetAuthorizationInfo.do = perms["authorization"]
				/* = authc
			</value>
		</property>
	</bean>

首先要了解一下拦截规则

securityManager:这个属性是必须的
loginUrl :没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。
successUrl :登录成功默认跳转页面,不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面,则在登录自动跳转到那个需要登录的页面。不跳转到此。
unauthorizedUrl :没有权限默认跳转的页面。

过滤器简称

对应的java

anon

org.apache.shiro.web.filter.authc.AnonymousFilter

authc

org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic

org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

perms

org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

port

org.apache.shiro.web.filter.authz.PortFilter

rest

org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

roles

org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

ssl

org.apache.shiro.web.filter.authz.SslFilter

user

org.apache.shiro.web.filter.authc.UserFilter 

logout

org.apache.shiro.web.filter.authc.LogoutFilter 

 

 

anon:例子/admins/**=anon 没有参数,表示可以匿名使用

authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数

roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。

perms:例子
/admins/user/**=permsuser:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。

rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。

port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。

authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证

ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https

user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查

注:anon,authcBasic,auchc,user是认证过滤器,perms,roles,ssl,rest,port是授权过滤器
 

登录url和js一定要设置成anon不被拦截 要不然登录页面都进不去

其他可以设置/* = authc 必须登录才能访问

在shiro配置文件中配置realm路径

 登录校验Controller

// 使用shiro框架方式进行登录认证
Subject subject = SecurityUtils.getSubject();//获得当前用户 状态为“未认证”
// 从表单中获取登录信息传入进去
AuthenticationToken token = new UsernamePasswordToken(username, password);//创建用户名密码令牌
try {
    subject.login(token);  // 该方法会进入自定义的reaml 进行账号密码校验 校验失败会抛出异常
}catch (Exception e) {
    e.printStackTrace();
    System.out.println("认证失败");
    return new ModelAndView("login/login");
}
// 校验通过 subject.getPrincipal() 拿到user信息 放入session 跳转首页
User user = (User) subject.getPrincipal();
session.setAttribute("loginUser", user);
return new ModelAndView("index");

 自定义Realm方法

public class Realm extends AuthorizingRealm {
	
	@Autowired
	private UserMapper userMapper;
	
	// 认证方法
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		System.out.println("自定义的realm中认证方法执行的");
		UsernamePasswordToken passwordToken = (UsernamePasswordToken)token;
		//根据用户名查询数据库中的密码
		String username = passwordToken.getUsername();
		User user = userMapper.getUserByUsernmae(username);
		if(user == null) {
			//用户不存在
			return null;
		}
		// 如果用户存在 校验密码是否正确 正确renturn info 否则抛出异常 认证失败
		AuthenticationInfo info = new SimpleAuthenticationInfo(user,   user.getPassword(), this.getName());
		return info;
	}
	
	// 授权方法
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		System.out.println("自定义的realm中授权方法执行的");
		return null;
	}

	
	
}

继承AuthorizingRealm 实现两个抽象方法 也可以继承其它Realm类 或者实现其它Realm接口

 两部

通过Controller中传入的token,Realm中可以取到

UsernamePasswordToken passwordToken = (UsernamePasswordToken)token;

只需要通过username查询出User信息  不需要校验密码 Realm有自己校验方法

查询不到user信息抛出异常 Controller中进行拦截 (这里的异常有账号不存在,密码错误等 可以根据异常类型不同进行捕获)

查到user信息进行校验返回

三、realm方法授权

在applicationContext-shiro.xml  URL拦截规则中加入下面配置

/doGetAuthorizationInfo.do = perms["authorization"]

意思是在用户登录后的情况下 访问doGetAuthorizationInfo.do URL 调用后台的Controller会判断当前用户有没有“authorization”的权限 没有的话会被拦截到未授权页面unauthorized.do

   <!-- 未授权时要跳转的连接 -->
  <property name="unauthorizedUrl" value="unauthorized.do" />

 

在Realm中的AuthorizationInfo方法中添加“authorization” 权限即可 这里只是简单的添加 应该是从数据库遍历的

        // 授权方法
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		System.out.println("自定义的realm中授权方法执行的");
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		//为用户授权
		info.addStringPermission("authorization");
		
		//TODO 后期需要修改为根据当前登录用户查询数据库 获取实际对应的权限
		return info;
	}

还可以在controller方法开始中进行判断 以及还有页面中的标签使用 

 

感性的杰森cc
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Shiro之实际运用(整合到Spring中)将Shiro整到SSM中(基于maven)
sanluo11的博客
03-08 9948
Shiro整到SSM中(基于maven) --------------------------------------------------------------------------------------------------------------------     Shiro整到Spring中后,我们自定义的realm啊、securityManager等都会交给spring
ssm_rbac_shiro:基于ssm使用shiro的权限管理系统
03-11
本文将详细介绍一个基于SSM(Spring、Spring MVC、MyBatis)框架,结合Apache Shiro实现的Role-Based Access Control(RBAC)权限管理系统。这个系统名为"ssm_rbac_shiro",其主要目标是提供一个灵活且易于维护的...
基于ssm+shiro权限整合论坛实现基本功能
05-29
基于ssm框架开发,权限使用shiro。论坛的基本功能都全了,搜索,发帖,回复帖子,未读信息,后台管理,权限设置,整合了富文本框等等,当然还有很多缺点,我没有一一改正,我用的是myeclipse2017,数据库MySQL5.5及以上,登录名密码都是123。管理员需要在数据库手动设置为管理员才行。在无网络的情况下可能跑不起来,要有网才行
shiro权限控制(一):shiro介绍以及整合SSM框架
dieweidong5625的博客
05-18 135
  shiro安全框架是目前为止作为登录注册最常用的框架,因为它十分的强大简单,提供了认证、授权、加密和会话管理等功能 。   shiro能做什么?        认证:验证用户的身份        授权:对用户执行访问控制:判断用户是否被允许做某事        会话管理:在任何环境下使用 Session API,即使没有 Web 或EJB 容器。        加密:...
shiro框架整合ssm的简单使用
zy丶秋水的博客
04-28 322
该项目仅作为简单的ssm整合shiro的demo使用,部分代码仅简单实现。该文只贴出与shiro相关的配置,完整代码可见https://github.com/Zhong-Y/shiro_ssm部分代码UserRealm.javarealm在shiro框架中用于认证、授权等操作。为了满足业务的需求,通常在使用时,使用的是继承了AuthorizingRealm的自定义realm.public clas...
Shiro权限控制(一):shiro介绍以及整合SSM框架
萧曳丶
10-02 344
shiro安全框架是目前为止作为登录注册最常用的框架,因为它十分的强大简单,提供了认证、授权、加密和会话管理等功能 。 文章目录Shiro能做什么?Shiro 的四大核心部分shiro的三个核心组件:shiro整合SSM框架:1.加入 jar 包:以下jar包自行百度下载2.配置 ==web.xml==文件,在web.xml中加入以下代码—==shiro过滤器==。3.在 Spring 的配置文件...
SSM整合shiro
BUG专业户
08-05 1517
SSM整合shiro安全框架
shiro授权-SSM
彭于晏的博客
08-28 164
shiro授权-ssm这么基础的知识都不来学习一下吗?
shiro整合到ssm框架
qq_36364382的博客
11-27 169
1,在web.xml中配置shiro过滤器 2,在pom.xml中导入shiro依赖 3,在spring配置文件中加入shiro,为了不使spring文件太过臃肿,新创建shiro-config.xml文件,在spring配置文件导入下面一行即可 4,shiro-config.xml文件配置 5如果希望开启权限注解,我比较喜欢直接在controller层方法上直接加上注解,不然在shiro配置文件...
ssm+maven+shiro
03-29
本项目是基于SSM框架,利用Maven进行构建和依赖管理,并且整合了Apache Shiro进行权限控制,实现了与数据库的交互。 首先,Spring框架作为基础,它提供了依赖注入(Dependency Injection,DI)和面向切面编程...
SSM+shiro+redis
04-13
ShiroSSM集成,可以为基于Spring的Web应用提供一套完整的安全解决方案,实现用户认证、角色授权以及URL访问控制等。 Redis作为内存数据库,具有高速读写性能,常被用来缓存经常访问的数据,减轻数据库压力。在SSM...
Shiro整合SSM代码
11-27
Apache Shiro 和 Springmvc、...这个整合项目可以帮助开发者理解 Shiro 如何与 SSM 框架协同工作,以及如何实现基于角色和权限的认证和授权。通过学习和实践这个示例,开发者可以更好地掌握 Java Web 应用的安全控制。
基于Maven的ssmshiro整合项目
03-21
**基于Maven的SSMShiro整合项目详解** 在现代Java Web开发中,Maven、SSM(Spring、Spring MVC、MyBatis)和Shiro框架的整合应用是非常常见的一种架构模式。这个项目旨在帮助开发者理解如何将这些组件集成到一个...
SSM(三)Shiro使用详解
crossoverJie专栏
07-15 4265
前言相比有做过企业级开发的童鞋应该都有做过权限安全之类的功能吧,最先开始我采用的是建用户表,角色表,权限表,之后在拦截器中对每一个请求进行拦截,再到数据库中进行查询看当前用户是否有该权限,这样的设计能满足大多数中小型系统的需求。不过这篇所介绍的Shiro能满足之前的所有需求,并且使用简单,安全性高,而且现在越来越的多企业都在使用Shiro,这应该是一个收入的你的技能库。创建自定义MyRealm类有关
mpu6050陀螺仪使用方法开发教程文档.docx
07-30
mpu6050陀螺仪使用方法
【SCI顶级】龙格库塔算法RUN-CNN-LSTM-Multihead-Attention温度预测【含源码 5747期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Mutilhead-Attention回归预测
大模型的数学之魂:统计学习理论精要
07-30
大型机器学习模型,通常简称为“大模型”,是指具有数十亿甚至数千亿参数的深度神经网络模型。这些模型因为其庞大的参数量和复杂的计算结构,能够处理非常复杂的任务和数据,展现出强大的表达能力和预测性能。大模型在自然语言处理、计算机视觉、语音识别和推荐系统等多个领域都有广泛的应用。 大模型的设计目的是通过训练海量数据来学习复杂的模式和特征,从而具备强大的泛化能力,能够对未见过的数据做出准确的预测。与参数较少、层数较浅的小模型相比,大模型虽然需要更多的计算资源和时间来训练和推理,但它们展现出了一种被称为“涌现能力”的特性,即从原始训练数据中自动学习并发现新的、更高层次的特征和模式。 大模型的发展历程可以分为几个阶段,从早期的卷积神经网络模型发展到以Transformer为代表的全新神经网络模型,再到当前以GPT为代表的预训练大模型阶段。Transformer架构因其自注意力机制而成为大模型的核心技术,它使得模型能够更好地理解和处理文本数据中的长距离依赖关系。 大模型的分类主要包括语言大模型(NLP)、视觉大模型(CV)和多模态大模型。语言大模型专注于处理文本数据和理解自然语言,而视觉大模型用
唯美淡雅四页.zip
最新发布
07-30
【简历模板】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
基于ssm的大学社团
12-05
基于SSM(Spring+Spring MVC+MyBatis)的大学社团是一种采用这一技术框架来搭建和管理的大学社团系统。 这个系统使用Spring作为核心容器,通过IOC(Inverse of Control,控制反转)和AOP(Aspect-Oriented ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值