Shiro学习(七)——Shiro与web集成

最新推荐文章于 2023-03-06 08:59:28 发布
最新推荐文章于 2023-03-06 08:59:28 发布
阅读量402 收藏
点赞数
分类专栏: Shiro 文章标签: maven eclipse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sadoshi/article/details/120564426
版权

前言

Shiro作为一个权限认证框架,最主要的服务对象应该就是JavaWeb。因此如何与web集成是发挥shiro作用的关键。这里以最基础的与servlet集成作为例子。

新建简单的servlet应用

这里以《Eclipse新建基于Servlet3.x的maven项目》这篇文章的方式构建基本的servlet,就不在本文叙述了。

Servlet与Shiro集成

在web.xml配置监听器和过滤器

首先在web.xml中添加如下内容:

	<listener>
		<listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
	</listener>

	<filter>
		<filter-name>ShiroFilter</filter-name>
		<filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
	</filter>

	<filter-mapping>
		<filter-name>ShiroFilter</filter-name>
		<url-pattern>/*</url-pattern>
		<dispatcher>REQUEST</dispatcher>
		<dispatcher>FORWARD</dispatcher>
		<dispatcher>INCLUDE</dispatcher>
		<dispatcher>ERROR</dispatcher>
	</filter-mapping>

添加一个监听器EnvironmentLoaderListener,这个监听器会默认创建IniWebEnvironment,读取默认位置的shiro.ini文件,然后默认创建DefaultWebSecurityManager。

然后ShiroFilter这个过滤器,替我们实现web登录及权限认证过滤器的功能。可以回想一下,自己写一个登录认证功能,都会写个filter,当用户访问哪些路径时,必须是已登录的,或者必须具备某些权限。现在等于ShiroFilter实现了这个filter的功能,我们只需要配置路径即可。

配置pom.xml

既然要和shiro集成,肯定要增加对shiro的依赖,因为涉及到web方面,还需要增加对shiro-web的依赖

......

		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>1.5.3</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-web</artifactId>
			<version>1.5.3</version>
		</dependency>

......

配置shiro.ini

下一步是在shiro.ini中配置过滤器对应的路径

[main]
#登录认证的页面
authc.loginUrl=/login
#缺少权限时跳转的页面
roles.unauthorizedUrl=/unauthorized.jsp

[users]
zhang=123,role1
wang=456,role1,role2
li=123
[roles]
role1=user:create,update
role2=user:create,delete

[urls]
#请求login的时候不需要权限,游客身份即可(anon)
/login=anon
/login.jsp=anon

#请求/user/updatePwd.jsp的时候,需要身份认证(authc)
/*=authc

#请求/admin的时候,需要角色认证,必须是拥有admin角色的用户才行
/admin/*.jsp=roles[role2]

配置都不难理解,读者可以自行尝试一下,如果未登陆时直接访问/shiroWeb/hello会怎么样,也可以试下以zhang这个用户访问/admin路径下的页面会怎么样。上面/unauthorized.jsp页面和/admin下的页面,读者可以自行编写,没什么特殊要求。

Shiro提供了以下这些过滤器,我们用了其中的anon、authc和roles。其他的各位也可以自行尝试,如果后面有时间我也会逐个尝试并在文章中展示:

Filter NameClass
anonorg.apache.shiro.web.filter.authc.AnonymousFilter
authcorg.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
authcBearerorg.apache.shiro.web.filter.authc.BearerHttpAuthenticationFilter
invalidRequestorg.apache.shiro.web.filter.InvalidRequestFilter
logoutorg.apache.shiro.web.filter.authc.LogoutFilter
noSessionCreationorg.apache.shiro.web.filter.session.NoSessionCreationFilter
permsorg.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
portorg.apache.shiro.web.filter.authz.PortFilter
restorg.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
rolesorg.apache.shiro.web.filter.authz.RolesAuthorizationFilter
sslorg.apache.shiro.web.filter.authz.SslFilter
userorg.apache.shiro.web.filter.authc.UserFilter

Session有效时间

对Web开发有一定了解都知道登录之后,后台会为用户保存一个session,当下次检验是否已登录时,可以根据sessionId进行判断。session是存在有效期的,有效期过了之后就要重新登录了,我们可以在web.xml中配置session有效期,在web.xml中添加这一段:

	<session-config>
		<session-timeout>30</session-timeout>
	</session-config>

这里指session有效期为30分钟。如果想测试一下效果的话,读者可以尝试改成1分钟。这样登录后过了一分钟再次访问shiroWeb/hello看看效果如何。

小结

Shiro与web的集成是开发javaweb应用非常重要的一环。本文的应用方式基本可以满足小型Servlet应用的需要。通常现在的javaweb开发还需要考虑到和spring的集成。另外关于session,Shiro默认使用Servlet的session,不过实际项目开发尤其是分布式应用会把session存放到redis中给分布式系统各主机访问,所以后续还要考虑Shiro和redis的集成。

sadoshi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合框架——集成SpringSecurity、shiro
m0_61506558的博客
11-04 654
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
shiro-web配置过滤器(ShrioFilter)
qq_25635139的博客
12-04 1757
    &lt;!--初始化securityManager对象所需要的环境配置--&gt;     &lt;context-param&gt;         &lt;param-name&gt;shiroEnvironmentClass&lt;/param-name&gt;         &lt;param-value&gt;org.apache.shiro.web.env.IniWebEnv...
web项目集成shirodemo
01-06
web项目集成shiro demo,这是web项目集成shiro的一个综合案例
Shiro-与web应用整合
Aro_HAN的博客
05-30 414
web.xml:&lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.co
shiro学习--day2
weixin_47277897的博客
12-09 650
Web项目集成Shiro 1、Web集成原理分析 【1】web集成的配置 还记得吗,以前我们在没有与WEB环境进行集成的时候,为了生成SecurityManager对象,是通过手动读取配置文件生成工厂对象,再通过工厂对象获取到SecurityManager的。就像下面代码展示的那样 /** * @Description 登录方法 */ private Subject shiroLogin(String loginName,String password) { //导入...
shiro集成web
jasnet_u的博客
03-25 367
一、shiro集成web的步骤 参考 http://shiro.apache.org/web.html 1.1、在pom.xml中引入 shro-web.jar <!-- shiro-web引入 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>...
ShiroWeb集成
这天有点热的博客
05-09 331
ShiroWeb集成,主要是通过配置一个ShiroFilter拦截所有URL,其中ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器,是所有请求入口点,负责根据配置如(ini配置文件),判断请求进入URL是否需要登录/权限等工作。 老规矩先贴项目结构: pom文件: <?xml version="1.0" encoding="UTF-8"?...
Shiro集成OAuth2
08-10
Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能,而OAuth2则是一种开放...总之,Shiro集成OAuth2可以提供更高级别的安全性和用户体验,是现代Web应用中常见的一种安全解决方案。
Shiro基础应用——角色和权限校验
qq_45337431的博客
10-10 2819
1.shiro的概述 2.相关依赖和配置文件 3.shiro工厂启动的初始化原理 4.整个的使用过程以及注意事项 5.自定义的标签的使用
Shiro与SSM整合(内含详细文档介绍)
11-06
在SSM(Spring、Spring MVC和MyBatis)框架中集成Shiro,可以利用Shiro的强项,同时利用Spring的依赖注入和事务管理能力,构建出更为强大的安全系统。 SSM是Spring框架的三个核心模块——Spring Core、Spring MVC和...
shiroweb项目整合代码下载
02-10
shiro与springMVC项目整合,并实现了常用的功能
Spring+SpringMVC+MyBatis+Shiro+Maven集成web项目
12-08
Spring+SpringMVC+MyBatis+Shiro+Maven集成web项目 可以直接使用
Shiro 学习笔记(7)—— Shiro 集成 Web
李威威的博客
09-17 2066
Shiro 学习笔记(7)—— Shiro 集成 WebWeb 环境下集成 Shiro 其实不难,按照官方文本的说明实现就可以了。更多地,我们会在 Spring 的 Web 环境中使用 Shiro ,这个我们后面再讲。参考 Shiro 官方文档中集成 Web 的这个章节:http://shiro.apache.org/webapp-tutorial.html。步骤1:在 web.xml 部署描述
Shiro(4) 与Web集成
u010478214的博客
06-19 382
Shiro集成Web应用中,只需要在web.xml中配置ContextListener和Filter. 对于Shiro来说,集成Web应用中,需要解决以下问题: - SecurityManager 等Shiro用到的组件与ServletContext的绑定。 - 将请求的URI与权限对应。为了方便,我们首先使用基于*.ini配置文件的方式来进行集成web.xml
shiro】--- 集成web
My Devil's Cry
08-28 445
第一步:建立一个maven web项目,引入jar包:                javax.servlet       javax.servlet-api       3.1.0                         javax.servlet.jsp       javax.servlet.jsp-api       2.3.1
shiro学习之路(5)------集成Web
莫失莫忘的博客
09-14 542
1.新建一个maven web项目 2.新建一个login.jsp登录页面 page language="java" import="java.util.*" pageEncoding="utf-8"%> taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c"%> <% String path = request.
Shiro集成web配置
NULL
05-02 634
                                                                                                       pom.xml文件配置如下&lt;project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2...
ShiroShiroweb集成
来日浅谈的博客
05-26 321
ShiroShiroweb集成1. pom依赖2. 基础代码3. 配置3.1 web.xml3.2 shiro.ini3.3 其他默认过滤器 与web项⽬集成后,shiro的⼯作模式如下: 如上:ShiroFilter拦截所有请求,对于请求做访问控制 如请求对应的功能是否需要有 认证的身份,是否需要某种⻆⾊,是否需要某种权限等。 如果没有做 身份认证,则将请求强制跳转到登录⻚⾯。 如果没有充分的⻆⾊或权限,则将请求跳转到权限不⾜的⻚⾯。 如果校验成功,则执⾏请求的业务逻辑 1. pom依赖 &l
SpringWeb集成Shiro
最新发布
小凯的博客
03-06 384
SpringWeb集成Shiro的demo
Shiro入门指南:身份验证、授权与Web集成详解
8. **第章:与WEB集成** - 针对Web应用,介绍了如何设置环境和配置SHIROFILTER,实现Web层的安全控制。 9. **第八章:拦截器机制** - 讲解拦截器的原理、拦截器链的构建以及自定义拦截器的使用。 10. **第九章:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值