Shiro集合Spring

最新推荐文章于 2022-12-18 16:14:24 发布
最新推荐文章于 2022-12-18 16:14:24 发布
阅读量949 收藏
点赞数 1
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38966984/article/details/87869128
版权

shiro学习,可去bilibili

上面,有许多教学视频。另外还有《跟我学Shiro》

这个系列也不错,但得有点shiro基础,不然想看文字入门还是很难的

今天,简单做了一下shiro的demo:主要有以下几个步骤(结合springmvc)

  1. 搭起springmvc框架,
  2. 在web.xml进行shiro的相关配置
  3. 编写shiro.xml
  4. 编写自定义Realm, 和登录Controller
  5. 在jsp页面引入相应shiro标签。

1.忽略。。。。

2.web.xml的shiro配置:

2. 1、初始化shiro的xml

 <!--1.配置监听器,加载spring配置 和Shiro-->
  <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath:spring.xml,classpath:shiro.xml</param-value>
  </context-param>
  <listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
  </listener>

 2.2、配置shiro过滤器

<filter>
    <filter-name>shiro</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>shiro</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

---这一部分,基本差不多

3.编写shiro.xml :这里,写的是一个精简版的。

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
                           http://www.springframework.org/schema/beans/spring-beans.xsd
                           http://www.springframework.org/schema/context
                           http://www.springframework.org/schema/context/spring-context.xsd">

    <!--shiro的配置-->

    <!--1.shiro过滤器的配置-->
              <!--这个要和web.xml中的shiro过滤器名字一样-->
    <bean id="shiro" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securitymanager"/>
        <property name="loginUrl" value="/slogin"/>
        <!--路径配置,可以直接在这里写,但打包后修改不方便,这种方法好处是,路径信息能写进数据库,方便修改-->
        <property name="filterChainDefinitionMap" ref="filterurlmap" />
    </bean>
    <!--获取路径配置的map-->
       <!--1.获取map工厂-->
       <bean id="filterurlmapfactory" class="jshiro.shiroFilterMap"/>
       <!--2.从工厂获取map-->
       <bean id="filterurlmap" factory-bean="filterurlmapfactory" factory-method="shiroFilterMapFactory" />
    <!--获取路径配置的map-->

    <!--2.注入自定义Realm,
    Realm如何工作:分为两块:验证块 和 授权块
    验证块先执行,作用是:看你的账号密码对不对
        1.获取你输入的账号,
        2.拿你的账号,去数据库查,出相应的密码,交给:SimpleAuthenticationInfo,它会把查出来的和你输入的进行比对!
        3.返回比对结果
    授权块,作用是:现在比登录了,从你登录的角色中获取账号去数据库查,你有那些身份,是管理员,还是vip,,等
                ,然后,在去查管理员等身份有那些权利。告诉SimpleAuthorizationInfo,它把你的身份,权利信息管理起来。
        1.从登录角色中获取账号
        2.用账号去查你的身份
        3.写进shiro去
        4.查身份的权利(如果有的话)
        5.写进去
        6.返回
    -->
    <bean id="jrealm" class="jshiro.jRealm"/>
    <!--3.配置SecrityManager,-->
    <bean id="securitymanager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="jrealm"/>
    </bean>
    <!--4.其他,比如自定义缓存管理,remrember me配置-->

</beans>

4.配置自定义Realm和路径的map

4.1自定义Realm:我这里为了简便没建表,模拟查询

package jshiro;

import jObject.juser;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.Permission;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.subject.PrincipalCollection;

import java.util.HashSet;
import java.util.Set;

/**
 * @author :JXH
 * @time :2019-02-21-下午6:22
 */

public class jRealm extends AuthorizingRealm {

     /*
      账号,密码 验证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken usernamePasswordToken=(UsernamePasswordToken)authenticationToken;
        String username=usernamePasswordToken.getUsername();
        System.out.println("用户输入的账号:"+username);
        //根据用户名,去数据库查询出密码,把它给shiro,让它进行比对
       juser juser = new juser(1,username,"123");//模拟数据库获取
       // System.out.println("getName():"+getName());
        System.out.println("-------我是验证1---------");
        System.out.println("is_remember:"+((UsernamePasswordToken) authenticationToken).isRememberMe());
                                                  
        return new SimpleAuthenticationInfo(juser,// 以后这个对象就保存了你登录的信息
                                            juser.getPassword(),//从数据库查出的密码
                                            getName());
    }
    /*
    对登录输入的账号,进行 身份授权。,把该用户的权限告诉shiro,交给他管理!
    */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
       // String username=(String)principalCollection.fromRealm(getName()).iterator().next();
        System.out.println("----------我是授权2----------");
        juser juser=(juser) principalCollection.getPrimaryPrincipal();
        String username=juser.getUsername();
        // 根据用户输入的账号,进数据库查询,他的角色,并交给shiro
        Set<String> set=new HashSet<>();
        // 模拟数据库查询,如果你输入了账号anon,就给你普通用户的身份!
        if (username.equals("anon")){ //为了测试
            set.add("anon");//普通用户
        }
        if (username.equals("admin")){
            set.add("admin");//普通管理员
        }
        if (username.equals("superadmin")){
            set.add("superadmin");
        }

        //权限信息对象 info
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        //把角色添加进去。
        info.setRoles(set);
        //查询不同角色的权限
        for (String s:set){
            // 本来角色的权利是存在数据库的,在这就不建表了。用角色,去数据库查相应的权利
            if(s.equals("anon")){
                info.addStringPermission("view");//我们就在这,假设anon,具有 view能力
            }
            if(s.equals("admin")){
                info.addStringPermission("write");//我们就在这,假设admin,具有 write能力
            }
            if(s.equals("superadmin")){
                info.addStringPermission("delete");//我们就在这,假设superadmin,具有 delete能力
            }

        }
        return info;//返回角色对象
    }


}

  4.2 路径map

package jshiro;

import java.util.LinkedHashMap;

/**
 * @author :JXH
 * @time :2019-02-21-下午6:07
 */
public class shiroFilterMap {
    public LinkedHashMap<String,String> shiroFilterMapFactory(){
        LinkedHashMap<String,String> map=new LinkedHashMap<>();

        //此处从数据库获取
        //显示登录页面
        map.put("/slogin","anon");
        //提交登录路径
        map.put("/login","anon");
        map.put("/**","authc");

        return  map;
    }
}

4.3登录Controller

 @RequestMapping("login")
    public String login(String username,String password){
        UsernamePasswordToken token=new UsernamePasswordToken(username,password);
        // 假设用户,进行了 remember me操作!
        token.setRememberMe(true);
        try {
            SecurityUtils.getSubject().login(token);
        }catch (AuthenticationException e){
            e.getStackTrace();
            return "slogin";//账号密码不匹配处理
        }
        return "show";
    }

5. jsp 中使用shiro标签

<%--
  Created by IntelliJ IDEA.
  User: jxh
  Date: 19-2-21
  Time: 下午8:19
  To change this template use File | Settings | File Templates.
--%>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

<html>
<head>
    <title>Title</title>
</head>
<body>
shiro标签<br>
<shiro:notAuthenticated>
    <p>不登录,才能看到的提示!shiro:notAuthenticated</p>
</shiro:notAuthenticated>
(shiro:principal property="属性")当前用户账号:
<shiro:principal property="username"></shiro:principal><br>
<shiro:authenticated>
  <p>这条信息登录就能看到!shiro:authenticated</p>
</shiro:authenticated>
<shiro:guest>
不登录也能看到!
</shiro:guest>
<shiro:hasAnyRoles name="admin,superadmin">
    <p>只有管理员,或超级管理员才能看到 shiro:hasAnyRoles name="admin.superadmin"</p>
</shiro:hasAnyRoles>
<shiro:hasPermission name="write">
    <p>具有write权利,才能看到! shiro:hasPermission name="write"</p>
</shiro:hasPermission>
<shiro:lacksPermission name="view">
    <p>抱歉你不是anon,没有view权利!</p>
</shiro:lacksPermission>
<shiro:user>
    你已经进行了身份验证,或remrember me,操作!
</shiro:user>

</body>
</html>

shiro还有一些注解:

1.先开启shiro注解:

<aop:config proxy-target-class="true"></aop:config>  
<bean class="  
org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">  
    <property name="securityManager" ref="securityManager"/>  
</bean>

2.接着就可以在相应的控制器Controller中使用如下方式进行注解

  • @RequiresRoles("admin")   =======>当前用户有admin角色,才能进这个方法
  • @RequiresAuthentication                       当前Subject已经通过login进行了身份验证
  • @RequiresUser                                         当前Subject已经身份验证或者通过记住我登录的
  • @RequiresGuest                                      游客身份
  • @RequiresRoles(value={“admin”, “user”}, logical= Logical.AND)   当前Subject需要角色adminuser

项目路径:

 

不关心!
关注
专栏目录
shiro 简介
Zllvincent的博客
09-18 8581
一.What is Apache Shiro? shiro 可以在command line、mobile application、web 中使用的安全框架,其中有4个核心组件。 Authentication: 认证(校验用户身份,常叫做登录) Authorization:授权(可简单理解为授权登录用户某种操作的能力) Cryptography: 加密 Session Management:会话管...
Shiro介绍
xmh_sxh_1314的博客
02-15 1013
一、Shiro介绍 Shiro是一个Java安全框架,执行身份验证、授权、密码、会话管理。Shiro是Apache 的一个开源项目,前身是JSecurity 项目,始于2003年初。Shiro 可以为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。shiro 解决了应用安全的四要素: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控...
shirospring整合
01-15
shirospring整合的所有有jar包
使用Shiro 集合Spring来实现权限控制
Reiner的专栏
06-16 4963
这只是笔记  web.xml中引入 spring-shiro.xml spring-shiro.xml : <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://
shiro spring整合(一)
努力奔跑的蜗牛
12-12 603
shiro介绍(1)简介Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。整合(一)第一步. 在web.xml中配置filter<!-- shiro的filter --
Shiro+Spring Security学习文档
07-23
在IT安全领域,Apache ShiroSpring Security是两个非常重要的框架,它们主要用于应用程序的安全管理,包括身份验证、授权、会话管理和加密等。本学习文档集合了这两个框架的相关知识,旨在帮助开发者深入理解和...
浅析安全框架-ShiroSpring Security
m0_67942533的博客
09-04 5123
浅析安全框架-ShiroSpring Security
shirospringcloud中的权限路由配置
eliasgift的博客
12-18 128
添加,如果嫌太多也可以用通配符"/**/t"表示所有末尾加"/t"的路径,然后shiroFilterFactoryBean()方法里filters.put("jwt", jwtFilter);onAccessDenied()判断逻辑:每个登录用户在请求中都会携带一个“Authorization”请求头,如果没有servletResponse.setContentType("0"),作用是约定“0”代表token为空,“1”表示已过期,“2”表示用户不存在,“3”代表没有操作权限。如果只是实现请求拦截,
springmvc+shiro+spring+hibernate+redis缓存管理示例
11-09
本示例项目"springmvc+shiro+spring+hibernate+redis缓存管理示例"提供了一个全面的框架整合实例,它将几个关键的技术组件融合在一起,旨在帮助开发者实现更优的性能和安全性。以下是关于这些技术组件及其在项目中的...
shiro的全流程demo,世界shirospring中认证、授权流程,自定义授权类型,分布式session、授权缓存的实现
最新发布
09-11
Shiro 提供了 Permission 和 Role 概念,Permission 表示用户可以执行的操作,Role 是一组权限的集合。你可以定义自定义的授权逻辑,例如在 Realm 中实现权限的解析,或者使用注解式或配置式授权。Shiro 的 ACL...
Authority Video Capture-crx插件
04-02
语言:English (United States) 权威视频拍摄 用于触发视频捕获的扩展。
shiro整体流程
Jay的博客
07-29 1419
先摆出一套常规快速入门的shiro点的认证授权. 在pom文件中导入jar包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency> 配置ShiroConfig: @Configuration
Springboot+shiro整合
CTRLKK的博客
07-08 492
基于springboot和shiro的整合 准备工作,首先创建springboot项目: 1:首先防止下载慢的问题,将地址换成https://start.aliyun.com 2:一路next下去: 3:勾选对应的选项,然后在next,直接finish: 添加pom依赖: <!--shiro的依赖--> <dependency> <groupId>org.apache.shiro</groupId>
shiro 认证filter 的原理
xiaoliuliu2050的专栏
02-08 1万+
正常情况下,如果我们只是简单的用户名,密码登录,则我们做认证 只要配置默认认证过滤器就好了, 如下: 1   配置文件配置登录认证 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="loginUrl" va
shiro整合redis,使用redis缓存和session共享
ghx123456ghx的博客
07-16 711
shiro整合原理 shiro整合redis分2个部分,1 session管理使用redis管理 2 cache缓存管理使用redis管理。如下通过2种方式实现 二 springboot自带的 加入pom依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</a
10. shiro学习笔记(10) -- shiro redis缓存
qq_38970428的博客
07-03 430
10. shiro学习笔记(10) – shiro redis缓存 整合地址过程 shiro用redis实现缓存需要重写cache、cacheManager、SessionDAO和初始化redis配置。 1.pom添加依赖 <!-- 整合shiro框架 --> <dependency> <groupId>org.apache.shiro</gro...
shiro过滤器详解分析
weixin_34177064的博客
03-11 1233
(原) shiro最核心的2个操作,一个是登录的实现,一就是过滤器了。登录有时间再补录说明,这里分析下shiro过滤器怎样玩的。 1、目标 这里会按如下顺序逐一看其实原理,并尽量找出其出处。 先看一下shiro过滤器有哪些及它们的别名分别对应哪些类:点这里 这里只分析平时用的最多的一个:authc过滤器,对应的处理器的类是FormAuthenticationFilter。 2...
非常详尽的 Shiro 架构解析
Java技术栈,分享最主流的Java技术
06-17 1325
Shiro是什么? Apache Shiro是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的API,来简化开发人员在使他们的应用程序安全上的努力。 官网:http://shiro.apache.org Shiro有什么用? 以下是你可以用Apache Shiro所做的事情: 验证用户来核实他们的身份 对用户.
Shiro权限控制(一):Spring整合Shiro
热门推荐
kity9420的专栏
03-30 3万+
1.介绍如何在SpringMVC中整合Shiro权限框架 2.介绍如何使用Shrio进行身份验证,如常见的登录 3.介绍如何控制哪些服务登录后才能访问,哪些服务不需要登录就可以访问
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值