【Shiro】Shiro的MVC、SpringBoot整合配置及常用配置

最新推荐文章于 2024-03-22 13:04:16 发布
最新推荐文章于 2024-03-22 13:04:16 发布
阅读量296 收藏 1
点赞数
分类专栏: 分布式 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48095745/article/details/107660134
版权

Shiro的配置

导入Shiro依赖库

	<dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro‐core</artifactId>
		<version>1.4.1</version>
	</dependency>
	
	<dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro‐web</artifactId>
		<version>1.4.1</version>
	</dependency>

	<dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro‐spring</artifactId>
		<version>1.4.1</version>
	</dependency>

本博文配置以1.4.1版本为参考,其他版本如有出入请以官方配置为主
官方配置地址在此博文底部

SpringMVC整合Shiro

  • 拦截所有请求
<?xml version="1.0" encoding="UTF‐8"?>
<web‐app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema‐instance"
	xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
	http://xmlns.jcp.org/xml/ns/javaee/web‐app_3_1.xsd"
	version="3.1">
	<context‐param>
		<param‐name>contextConfigLocation</param‐name>
		<param‐value>classpath:spring‐*.xml</param‐value>
	</context‐param>
	<listener>
		<listener‐class>org.springframework.web.context.ContextLoaderListener</listener‐class>
	</listener>
	<servlet>
		<servlet‐name>springMVC</servlet‐name>
		<servlet‐class>org.springframework.web.servlet.DispatcherServlet</servlet‐
	class>
		<init‐param>
			<param‐name>contextConfigLocation</param‐name>
			<param‐value>classpath:spring‐context*.xml</param‐value>
		</init‐param>
	</servlet>
	<servlet‐mapping>
		<servlet‐name>springMVC</servlet‐name>
		<url‐pattern>*.do</url‐pattern>
	</servlet‐mapping>
	<filter>
		<filter‐name>shiroFilter</filter‐name>
		<filter‐class>org.springframework.web.filter.DelegatingFilterProxy</filter‐class>
		<init‐param>
			<param‐name>targetFilterLifecycle</param‐name>
			<param‐value>true</param‐value>
		</init‐param>
	</filter>
	<filter‐mapping>
		<filter‐name>shiroFilter</filter‐name>
		<url‐pattern>/*</url‐pattern>
	</filter‐mapping>
</web‐app>

创建spring-context-shiro.xml
配置shiro

<?xml version="1.0" encoding="UTF‐8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema‐instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans
	http://www.springframework.org/schema/beans/spring‐beans.xsd">
<!‐‐shiro过滤器‐‐>
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
	<property name="securityManager" ref="securityManager"></property>
	<!‐‐配置登录页面地址,非必须,默认寻找web项目根路径下的/login.jsp‐‐>
	<property name="loginUrl" value="/login.jsp"></property>
	
	<!‐‐配置登录成功之后跳转的页面路径此配置一般不使用一般在LoginController中处理逻辑‐‐>
	<property name="successUrl" value="/index.jsp"></property>
	<property name="unauthorizedUrl" value="/"></property>
	<property name="filterChainDefinitions">
		<value>/**=anon</value>
	</property>
</bean>

<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>

<!‐‐证书匹配器‐‐>
<bean id="credentialsMatcher"
class="org.apache.shiro.authc.credential.Md5CredentialsMatcher"></bean>

<!‐‐使用自带的Realm‐‐>
<bean id="jdbcRealm" class="org.apache.shiro.realm.jdbc.JdbcRealm">
	<property name="credentialsMatcher" ref="credentialsMatcher"></property>
	<property name="permissionsLookupEnabled" value="true"></property>
	<property name="dataSource" ref="dataSource"></property>
</bean>

<!‐‐缓存管理‐‐>
	<bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"></bean>
	
	<!‐‐shiro安全管理器‐‐>
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="jdbcRealm"></property>
		<property name="cacheManager" ref="cacheManager"></property>
	</bean>
</beans>

如果用注解则需要配置权限验证使用注解

<!‐‐配置权限验证使用注解‐‐>
<aop:config proxy‐target‐class="true"></aop:config>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
	<property name="securityManager" ref="securityManager"></property>
</bean>

SpringBoot应用整合Shiro配置

  • SpringBoot默认没有提供对Shiro的自动配置

java配置方式

@Configuration
public class ShiroConfig {

   @Bean
    public ShiroDialect getShiroDialect(){
        return new ShiroDialect();
    }
    
    //自定义Realm
    @Bean
    public MyRealm getMyRealm(){
        MyRealm myRealm = new MyRealm();
        return myRealm;
    }

    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm myRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //securityManager要完成校验,需要realm
        securityManager.setRealm(myRealm);
        return securityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean filter = new ShiroFilterFactoryBean();
        //过滤器就是shiro就行权限校验的核心,进行认证和授权是需要SecurityManager的
        filter.setSecurityManager(securityManager);
        //设置登录网址
        filter.setLoginUrl("/user/login");

        //设置shiro的拦截规则
        // anon   匿名用户可访问
        // authc  认证用户可访问
        // user   使用RemeberMe的用户可访问
        // perms  对应权限可访问
        // role   对应的角色可访问
        Map<String,String> filterMap = new HashMap<>();
        filterMap.put("/","anon");
        filterMap.put("/login.html","anon");
        filterMap.put("/regist.html","anon");
        filterMap.put("/user/login","anon");
        filterMap.put("/user/regist","anon");
        filterMap.put("/static/**","anon");
        filterMap.put("/**","authc");

        filter.setFilterChainDefinitionMap(filterMap);
        filter.setLoginUrl("/login.html");
        //设置未授权访问的页面路径
        filter.setUnauthorizedUrl("/login.html");
        return filter;
    }


}
  • 自定义Realm
/**
 * 1.创建一个类继承AuthorizingRealm类(实现了Realm接口的类)
 * 2.重写doGetAuthorizationInfo和doGetAuthenticationInfo方法
 * 3.重写getName方法返回当前realm的一个自定义名称
 */
public class MyRealm extends AuthorizingRealm {
    
    @Resource
    private UserDAO userDAO;
    @Resource
    private RoleDAO roleDAO;
    @Resource
    private PermissionDAO permissionDAO;

    public String getName() {
        return "myRealm";
    }
    
    /**
     * 获取授权数据(将当前用户的角色及权限信息查询出来)
     */
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取用户的用户名
        String username = (String) principalCollection.iterator().next();
        //根据用户名查询当前用户的角色列表
        Set<String> roleNames = roleDAO.queryRoleNamesByUsername(username);
        //根据用户名查询当前用户的权限列表
        Set<String> ps = permissionDAO.queryPermissionsByUsername(username);

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setRoles(roleNames);
        info.setStringPermissions(ps);
        return info;
    }

    /**
     * 获取认证的安全数据(从数据库查询的用户的正确数据)
     */
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //参数authenticationToken就是传递的  subject.login(token)
        // 从token中获取用户名
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        //根据用户名,从数据库查询当前用户的安全数据
        User user = userDAO.queryUserByUsername(username);

        AuthenticationInfo info = new SimpleAuthenticationInfo(
                username,           //当前用户用户名
                user.getUserPwd(),   //从数据库查询出来的安全密码
                getName());

        return info;
    }
}

Shiro使用加密认证

@Configuration
public class ShiroConfig {

    //...
    @Bean
    public HashedCredentialsMatcher getHashedCredentialsMatcher(){
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        //matcher就是用来指定加密规则(可自定义加密规则)
        matcher.setHashAlgorithmName("md5");
        //hash次数
        matcher.setHashIterations(1);	//此处的循环次数要与用户注册是密码加密次数一致
        return matcher;
    }

    //自定义Realm
    @Bean
    public MyRealm getMyRealm( HashedCredentialsMatcher matcher ){
        MyRealm myRealm = new MyRealm();
        myRealm.setCredentialsMatcher(matcher);
        return myRealm;
    }

	//...
}

缓存使用

导入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-cache</artifactId>
</dependency>

<dependency>
    <groupId>net.sf.ehcache</groupId>
    <artifactId>ehcache</artifactId>
</dependency>

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-ehcache</artifactId>
    <version>1.4.0</version>
</dependency>
  • 配置缓存策略
    在resources目录下创建一个xml文件(ehcache.xml)
<?xml version="1.0" encoding="UTF-8"?>
<ehcache updateCheck="false" dynamicConfig="false">

    <diskStore path="C:\TEMP" />

    <cache name="users"  timeToLiveSeconds="300"  maxEntriesLocalHeap="1000"/>

    <defaultCache name="defaultCache"
                  maxElementsInMemory="10000"
                  eternal="false"
                  timeToIdleSeconds="120"
                  timeToLiveSeconds="120"
                  overflowToDisk="false"
                  maxElementsOnDisk="100000"
                  diskPersistent="false"
                  diskExpiryThreadIntervalSeconds="120"
                  memoryStoreEvictionPolicy="LRU"/>
            <!--缓存淘汰策略:当缓存空间比较紧张时,我们要存储新的数据进来,就必然要删除一些老的数据
                LRU 最近最少使用
                FIFO 先进先出
                LFU  最少使用
            -->
</ehcache>

加入缓存管理(java配置)

@Bean
public EhCacheManager getEhCacheManager(){
   EhCacheManager ehCacheManager = new EhCacheManager();
   ehCacheManager.setCacheManagerConfigFile("classpath:ehcache.xml");
   return ehCacheManager;
}

@Bean
public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm myRealm){
   DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
   securityManager.setRealm(myRealm);
   securityManager.setCacheManager(getEhCacheManager());
   return securityManager;
}

session管理

  • 配置自定义SessionManager:ShiroConfig.java
@Bean
public DefaultWebSessionManager getDefaultWebSessionManager(){
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    System.out.println("----------"+sessionManager.getGlobalSessionTimeout()); // 1800000
    //配置sessionManager
    sessionManager.setGlobalSessionTimeout(5*60*1000);
    return sessionManager;
}

@Bean
public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm myRealm){
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    securityManager.setRealm(myRealm);
    securityManager.setCacheManager(getEhCacheManager());
    securityManager.setSessionManager(getDefaultWebSessionManager());
    return securityManager;
}

记住我

在过滤器中设置“记住我”可访问的url

// anon     表示未认证可访问的url
// user     表示记住我可访问的url(已认证也可以访问)
//authc     表示已认证可访问的url
//perms		表示必须具备指定的权限才可访问
//logout	表示指定退出的url
filterMap.put("/","anon");
filterMap.put("/index.html","user");
filterMap.put("/login.html","anon");
filterMap.put("/regist.html","anon");
filterMap.put("/user/login","anon");
filterMap.put("/user/regist","anon");
filterMap.put("/layui/**","anon");
filterMap.put("/**","authc");
filterMap.put("/c_add.html","perms[sys:c:save]");
filterMap.put("/exit","logout");

在ShiroConfig.java中配置基于cookie的rememberMe管理器

@Bean
public CookieRememberMeManager cookieRememberMeManager(){
    CookieRememberMeManager rememberMeManager = new CookieRememberMeManager();
   
    //cookie必须设置name
    SimpleCookie cookie = new SimpleCookie("rememberMe");
    cookie.setMaxAge(30*24*60*60);
    
    rememberMeManager.setCookie(cookie);
    return  rememberMeManager;
}
@Bean
public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm myRealm){
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    securityManager.setRealm(myRealm);
    securityManager.setCacheManager(getEhCacheManager());
    securityManager.setSessionManager(getDefaultWebSessionManager());
    //设置remember管理器
    securityManager.setRememberMeManager(cookieRememberMeManager());
    return securityManager;
}

登录认证时设置token“记住我”

  • 登录页面
<form action="/user/login" method="post">
    <p>帐号:<input type="text" name="userName"/></p>
    <p>密码:<input type="text" name="userPwd"/></p>
    <p>记住我:<input type="checkbox" name="rememberMe"/></p>
    <p><input type="submit" value="登录"/></p>
</form>

控制器

@Controller
@RequestMapping("user")
public class UserController {

    @Resource
    private UserServiceImpl userService;

    @RequestMapping("login")
    public String login(String userName,String userPwd,boolean rememberMe){
        try {
            userService.checkLogin(userName,userPwd,rememberMe);
            System.out.println("------登录成功!");
            return "index";
        } catch (Exception e) {
            System.out.println("------登录失败!");
            return "login";
        }
    }
}

service

@Service
public class UserServiceImpl {

    public void checkLogin(String userName, String userPwd,boolean rememberMe) throws Exception {
        //Shiro进行认证 ——入口
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(userName,userPwd);
        token.setRememberMe(rememberMe);
        subject.login(token);
    }
}

参考资料
Shiro官方配置: http://shiro.apache.org/spring.html.

TZGod
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ShiroConfig.java
03-23
ShiroConfig.java 看博客吧
spring mvc集成shiro的web.xml配置详解
weixin_30920091的博客
02-25 131
<?xml version="1.0" encoding="UTF-8" ?><web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schem...
SpringBoot/SpringMVC整合Shiro:实现登录与注册(MD5加盐加密)
因特马
01-07 1万+
本文欢迎转载,转载前请联系作者,经允许后方可转载。转载后请注明出处,谢谢! http://blog.csdn.net/colton_null 作者:喝酒不骑马 Colton_Null from CSDN 终于终于,用正确姿势搭建了一个Spring框架下整合Shiro的登录注册的DEMO。 因为还有其他事情要忙,所以有关这个shiro的demo前前后后鼓捣了一周多。为啥多花这么多时间? 按
SpringBoot整合Shiro实现权限控制,springmvc实战教程
最新发布
03-22 929
**自定义安全策略*/@Autowired//授权@Override//根据用户名查询用户权限=null){//权限去重//给shiro的安全管理器授权//认证@Override//根据用户名查询用户信息=null){/**自定义shiro配置管理程序加载时,已经初始化*/@Configuration //标注此类为一个配置管理类,自动备spring管理@Bean。
Springboot+SpringMVC+Myabtis整合shiro权限控制
qq_35272054的博客
07-28 966
最近也被这个难题搞的我头都大了额。写下此篇文章献给自己和广大朋友。如果有不懂的地方可以加企鹅号询问哦。 企鹅号:2054861587,不一定会时时在,但如果有空的话就会给你回答 maven依赖: &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro...
springboot-shiro
10-18
首先,SpringBootSpring框架的简化版,它集成了众多优秀组件,如Spring MVCSpring Data JPA等,大大减少了开发者配置的工作量。在SpringBoot项目中集成Shiro,可以充分利用其提供的安全功能,实现用户登录、权限...
springboot整合redis+shiro
08-17
标题 "springboot整合redis+shiro" 描述的是一个基于Spring Boot的应用程序,该应用程序集成了Redis和Apache Shiro框架,以实现权限管理和用户认证。这个项目还包含了SQL文件,可以方便地部署和运行,但前提是你需要...
项目演示:springboot整合shiro.zip
04-04
它集成了大量常用的第三方库配置,如数据源、JPA、MVC、安全等,通过“约定优于配置”的方式,使得开发者能够更专注于业务逻辑。 2. **Apache Shiro简介** Apache Shiro是一个强大的安全框架,主要提供身份认证...
springBoot+shiro简单测试mvc项目
11-14
在"spring-boot-shiro"这个测试项目中,开发者可能已经创建了一些基本的Controller、Service和DAO层,以演示SpringBootShiro整合效果。测试用例可能包括模拟用户登录、权限验证、访问受保护资源等场景。这样的...
springboot 集成shiro代码实例
08-28
分析这些代码可以帮助理解ShiroSpringBoot整合过程。 6. **注意事项**: - Shiro的缓存管理:为了提高性能,Shiro可以集成缓存框架如Redis,将用户的登录状态和权限信息存储在缓存中。 - 登录退出处理:正确...
shiro 配置文件
01-06
从web.xmlspring 配置shiro的使用
shirospringmvc整合需要注意xml配置
镜水灵动
09-16 861
1.在springxml文件中配置: <beans xmlns="http://www.springframework.org/schema/beans" xmlns:context="http://www.springframework.org/schema/context" xmlns:p="http://www.springframework.org/schema/p" xmlns:
shiro 整合 springmvc 实战及源码详解
02-22 761
针对每一个请求,shiro 会判断请求的 url 是否和我们指定的 url 匹配,并且调用对应的 filter,然后出发对应的方法。这一节我们讲解了如何整合 springmvcshiro,可以发现 shiro 内置了非常多的实现,帮助我们简化登录的设计实现。还有比较常用的就是 form 表单提交,springboot 整合的时候甚至可以省略掉我们写的登录校验实现。当然,不同的用户登录的权限不同,肯定是因为我们定义了不同的权限。登录的校验非常简单,直接根据页面的账户密码,然后执行登录校验。
shiroConfig配置
chuanxuzheng1943的博客
11-27 961
安全管理器设置 /** * shiro 安全管理器设置 * @return SecurityManager */ @Bean public SecurityManager securityManager() { DefaultWebSecurityManager secu...
记一下Shiro重构之ShiroConfig配置文件
热门推荐
程序员朱永胜
09-05 1万+
ShiroConfig 所有的shiro配置都在这里面配就行了,你要是喜欢xml啥的就自己对应改下 package com.ccb.web.configs; //shiro import com.ccb.web.shiro.*; import com.fasterxml.jackson.annotation.JsonAutoDetect; import com.fasterxml.jacks...
Shiro配置
asscwf的博客
05-19 635
【代码】Shiro配置
springboot整合shiro (一) ShiroConfig配置类编写
m0_67402731的博客
04-08 556
shiro实现用户登录认证需要三个核心api Subject 用户主体 SecurityManager 安全管理器 Realm 连接数据的桥梁 1. 导入shiro的maven依赖 导入shirospring整合的依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <
shiro权限框架 -过滤器ShiroConfig详细配置ShiroFilterFactoryBean详细参数配置
Hibeilu的博客
05-06 1373
package com.pcframe.config; import com.pcframe.realm.PcUserRealm; import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor; import org.apache.shiro.spring.web.ShiroFilterFactoryBea
SpringBoot整合Shiro实战:快速入门与配置详解
springboot结合shiro.pdf”是一个关于如何在Spring Boot项目中集成Apache Shiro进行权限管理和认证的实战教程。资源包含了必要的依赖配置配置文件设置以及相关的页面示例。 在Spring Boot项目中整合Shiro,首先...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值