shiro + extjs

最新推荐文章于 2023-05-17 15:23:14 发布
最新推荐文章于 2023-05-17 15:23:14 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: My Projects 文章标签: shiro autowire configuration
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/paristao/article/details/38417959
版权

源码下载 我的GITHUB

shiro 相比与spring security配置上简单很多。


加载shiro config

    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
           classpath:shiro-config.xml
        </param-value>
    </context-param>

添加shrio过滤器,这里需要注意的是,过滤器的名字shiroFilter必须与配置文件里面的bean名字相同 

	<filter>
    	<filter-name>shiroFilter</filter-name>
    	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    	<init-param>
        	<param-name>targetFilterLifecycle</param-name>
        	<param-value>true</param-value>
    	</init-param>
	</filter>

	<filter-mapping>
    	<filter-name>shiroFilter</filter-name>
    	<url-pattern>/*</url-pattern>
	</filter-mapping>


shiroFilter配置,这里需要配置一个 formAuthenticationFilter,作用在后面会提到,主要是因为extjs的ajax请求。 

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager"/>
		<!-- override these for application-specific URLs if you like:-->
		<property name="loginUrl" value="/login.html"/>
    	<property name="successUrl" value="/index.html"/>
    	<property name="unauthorizedUrl" value="/unauthorized.html"/>
    	<property name="filters">
        	<util:map>
            	<entry key="authc" value-ref="formAuthenticationFilter"/>
        	</util:map>
    	</property>
    	<property name="filterChainDefinitions">
    		<value>
    			/comp/** = anon
    			/pages/** = anon
    			/resources/** = anon
    			/view/** = anon
    			/** = authc
    		</value>
    	</property>
	</bean>

shiroFilter中引用了 securityManageer。如果参考shiro官网的同学请注意,官网documentation中的manager是org.apache.shiro.mgt.DefaultWebSecurityManager。在1.2.2中,这个类是没有实现WebSecurityManager的,所以会跑出unimplement WebSecurityManager的异常。 

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    	<!-- Single realm app.  If you have multiple realms, use the 'realms' property instead. 如果有多个realm,需要用reamls参数,为实践。-->
    	<property name="realm" ref="fastRealm"/>
    </bean>


引用的realm是可以重写的。 

<bean id="fastRealm" class="com.chinadreamer.contacts.filter.shiro.UserRealm"></bean>
重写realm。

重写的doGetAuthorizationInfo与doGetAuthenticationInfo在官网中已经很明确的说明了,这里不再解释。

我说下这里会遇到的一个问题。shiro跟spring的filter并没有优先级之分,而用户验证,一般都会涉及到datasource bean的引用,比方这里的userservice。所以需要注意的是必须在spring bean加载之后,进入shiro,否则是无法加载的。

我的做法是在applicationContext.xml 结尾才引入shiro-config.xml,这样就可以获取到bean了。

引入方式比较常规 

<import resource="shiro-config.xml"/>

public class UserRealm extends AuthorizingRealm{
	private final static Logger LOGGER = Logger.getLogger(UserRealm.class);
	
	
	@Autowired
	private UserService userService;
	
	public UserRealm(){
		super();
		LOGGER.info(" init user realm ");
		setAuthenticationTokenClass(UsernamePasswordToken.class);
	}
	
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(
			PrincipalCollection principals) {
		User user = ShiroUtils.getUser();

        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        return authorizationInfo;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {
		UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        String username = upToken.getUsername();
        String password = new String(upToken.getPassword());
        User user;
        try {
			user = this.userService.userLogin(username, password);
		} catch (Exception e) {
			throw new AuthenticationException(e.getMessage(),e);
		}
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, password.toCharArray(), getName());
		return info;
	}

}

	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

简单的shiro到这就可以了。但是如果配合extjs,就需要控制ajax返回,大家知道extj是根据response会写的success 字段来判断的。 

    <!--替换默认的form 验证过滤器-->
    <bean id="formAuthenticationFilter" class="com.chinadreamer.contacts.filter.shiro.FastFormAuthenticationFilter">
    </bean>

提供一份源码,根据各自的需求改动,这是其他大大提供的。 

package com.chinadreamer.contacts.filter.shiro;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.log4j.Logger;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;

public class FastFormAuthenticationFilter extends FormAuthenticationFilter{
	private static final Logger LOGGER =  Logger.getLogger(FastFormAuthenticationFilter.class);
	
	/* 
     *  主要是针对登入成功的处理方法。对于请求头是AJAX的之间返回JSON字符串。 
     */  
	@Override
	protected boolean onLoginSuccess(AuthenticationToken token,
			Subject subject, ServletRequest request, ServletResponse response)
			throws Exception {
		HttpServletRequest httpServletRequest = (HttpServletRequest) request;
		HttpServletResponse httpServletResponse = (HttpServletResponse) response;

		if (!"XMLHttpRequest".equalsIgnoreCase(httpServletRequest
				.getHeader("X-Requested-With"))) {// 不是ajax请求
			issueSuccessRedirect(request, response);
		} else {
			httpServletResponse.setCharacterEncoding("UTF-8");
			PrintWriter out = httpServletResponse.getWriter();
			out.println("{success:true,message:'登入成功'}");
			out.flush();
			out.close();
		}
		return false;
	}
	
	/** 
     * 主要是处理登入失败的方法 
     */  
    @Override  
    protected boolean onLoginFailure(AuthenticationToken token,  
            AuthenticationException e, ServletRequest request,  
            ServletResponse response) {  
        if (!"XMLHttpRequest".equalsIgnoreCase(((HttpServletRequest) request)  
                .getHeader("X-Requested-With"))) {// 不是ajax请求  
            setFailureAttribute(request, e);  
            return true;  
        }  
        try {  
            response.setCharacterEncoding("UTF-8");  
            PrintWriter out = response.getWriter();  
            String message = e.getClass().getSimpleName();  
            if ("IncorrectCredentialsException".equals(message)) {  
                out.println("{success:false,message:'密码错误'}");  
            } else if ("UnknownAccountException".equals(message)) {  
                out.println("{success:false,message:'账号不存在'}");  
            } else if ("LockedAccountException".equals(message)) {  
                out.println("{success:false,message:'账号被锁定'}");  
            } else {  
                out.println("{success:false,message:'未知错误'}");  
            }  
            out.flush();  
            out.close();  
        } catch (IOException e1) {  
            // TODO Auto-generated catch block  
            e1.printStackTrace();  
        }  
        return false;  
    }  
    
    /** 
     * 所有请求都会经过的方法。 
     */  
    @Override  
    protected boolean onAccessDenied(ServletRequest request,  
            ServletResponse response) throws Exception {  
  
        if (isLoginRequest(request, response)) {  
            if (isLoginSubmission(request, response)) {  
                if (LOGGER.isTraceEnabled()) {  
                	LOGGER.trace("Login submission detected.  Attempting to execute login.");  
                }  
                if ("XMLHttpRequest"  
                        .equalsIgnoreCase(((HttpServletRequest) request)  
                                .getHeader("X-Requested-With"))) {// 不是ajax请求  
//                    String vcode = request.getParameter("vcode");  
//                    HttpServletRequest httpservletrequest = (HttpServletRequest) request;  
//                    String vvcode = (String) httpservletrequest  
//                            .getSession()  
//                            .getAttribute(  
//                                    com.google.code.kaptcha.Constants.KAPTCHA_SESSION_KEY);  
//                    if (vvcode == null || "".equals(vvcode)  
//                            || !vvcode.equals(vcode)) {  
//                        response.setCharacterEncoding("UTF-8");  
//                        PrintWriter out = response.getWriter();  
//                        out.println("{success:false,message:'验证码错误'}");  
//                        out.flush();  
//                        out.close();  
//                        return false;  
//                    }  
                }  
                return executeLogin(request, response);  
            } else {  
                if (LOGGER.isTraceEnabled()) {  
                	LOGGER.trace("Login page view.");  
                }  
                // allow them to see the login page ;)  
                return true;  
            }  
        } else {  
            if (LOGGER.isTraceEnabled()) {  
            	LOGGER.trace("Attempting to access a path which requires authentication.  Forwarding to the "  
                        + "Authentication url [" + getLoginUrl() + "]");  
            }  
            if (!"XMLHttpRequest"  
                    .equalsIgnoreCase(((HttpServletRequest) request)  
                            .getHeader("X-Requested-With"))) {// 不是ajax请求  
                saveRequestAndRedirectToLogin(request, response);  
            } else {  
//                response.setCharacterEncoding("UTF-8");  
//                PrintWriter out = response.getWriter();  
//                out.println("{success:true,message:'login'}");  
//                out.flush();  
//                out.close();  
                return true;
            }  
            return false;  
        }  
    }  
}




空山灵雨_tsj
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
js控制shiro权限 并封装成jquery插件
qq_31003407的博客
02-11 980
百度了几篇博客,没有找到自己想要的效果,于是自己查看shiro判断权限源码写了一个js版 shiro源码(想要直接使用的可以跳过) 通过这两个图我们可以清楚的了解到shiro判断是否存在权限的判断原理,那么接下来我们参考shiro标签 hasPermission 就可以仿照写一个jquery的shiro 如何使用 1.首先登陆时把权限放到session里面 session.setAttrib...
java shiro demo_spring mvc+Apache Shiro框架验证登录demo例子
weixin_28730927的博客
02-13 130
Shiro框架简单介绍Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下:(1)身份认证/登录,验证用户是不是拥有相应的身份;(2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有...
beetl模板页面使用shiro标签
几多心跳
04-20 2899
本文参看自:闲大赋 beetl 和 shrio 结合shrio 提供有jsp 标签,供在jsp 里使用,如果想在beetl中使用,有俩种方法,一是beetl支持集成jsp页面,所以你可以在在jsp里使用shrio标签;另外,beetl 使用自定义函数写了shiro tag功能,你可以像使用shiro标签那样使用shiropackage com.ext; import java.beans.Bea...
Ext6.x+springmvc+shiro框架下实现session过期跳转到登录页面
zhw19890710的专栏
01-09 2177
1. 在web.xml中添加拦截器,对所有的*.do请求进行过滤 登录过滤器 -->  filter>       filter-name>sessionTimeOutFilterfilter-name>  filter-class>com.psdb.core.base.filter. SessionTimeOutFilterfilter-class> filter> filter
shiro和ajax冲突,Shiro和AJAX完美整合
weixin_28952471的博客
08-05 336
Shiro和AJAX完美整合这是我第一次认认真真写博客,以前为了图快,结果写下来基本只有自己可以看懂。不过我感觉有经验就应该要和别人分享下,在分享的同时或许可以为这个问题找到更好的解决方案。   我在上学期5月份学完了Shiro,当初学时,看了半天的英文文档,最后还是不知道它为什么要这么干,只知道很多人说它很方便。在今年9月初时,我在次使用它,这次终于知道它的内部原理,但是感觉它的处理方式和我的上...
基于Spring Boot完美整合springmvc + shiro + mybatis-plus + beetl(开源guns )
10-21
基于Spring Boot,致力于做更简洁的后台管理系统,完美整合springmvc + shiro + mybatis-plus + beetl,用户管理 2.角色管理 3.部门管理 4.菜单管理 5.字典管理 6.业务日志 7.登录日志 8.监控管理 9.通知管理 10.代码生成
ExtjsWeb:Spring+Spring+Shiro+MyBatis+Extjs5创建的信息管理系统,支持图片登陆验证功能
05-08
ExtjsWeb SpringMVC+Spring+Shiro+MyBatis+Extjs5创建的信息管理系统,支持图片登陆验证功能 由于Extjs包太大,上传是没有加进来,可以根据目录中的结构加上Extjs5的开发包。
smh2:使用Spring3 + Spring JPA + Shiro + ExtJS4开发项目脚手架。已实现用户,权限,角色,资源,菜单,消息,公告,字典库,日志,excel导入,代码生成器,工作流等功能
03-23
###架构Spring3.2.0 + Hibernate4.2Final + JPA2 + Shiro 项目已经转移到: : 本架构已废弃,请知道! ####系统首页 ####左侧点击树主题 ####集成流程等常用系统功能 ####首页 ####顶部菜单形式主题
SpringMVC+Mybatis+ExtJs5.0
09-10
同时,通过Spring Security或Apache Shiro等安全框架,可以实现权限控制、登录验证等功能,确保后台管理系统的安全性。 总的来说,"SpringMVC+Mybatis+ExtJs5.0"的组合提供了一个强大的企业级Web应用开发解决方案,...
后端SpringBoot+Shiro+MyBatis+Redis,前端Vue+ElementUI+Axios的后台管理系统模板
最新发布
06-15
后端SpringBoot+Shiro+MyBatis+Redis,前端Vue+ElementUI+Axios的后台管理系统模板 项目经过严格测试,确保可以运行! 基于SpringBoot整个常用框架的模板库 运用这个模板开发了一个基于粗粒度权限设计的管理后台,...
springmvc+mybatis+Extjs权限
11-04
在权限管理方面,SpringMVC可以与Spring Security或Apache Shiro等安全框架结合,实现用户认证与授权,控制访问权限。 **MyBatis** MyBatis是一个轻量级的持久层框架,它简化了数据库操作,允许开发者直接编写SQL...
freemarke+springmvc+mybatis+spring shiro,extjs
11-10
freemarke+springmvc+mybatis+spring+shiro+extjs
springboot2.0---02、beetl集成shiro
滴水穿石
11-10 1314
第一步、Maven &lt;dependency&gt; &lt;groupId&gt;com.ibeetl&lt;/groupId&gt; &lt;artifactId&gt;beetl-framework-starter&lt;/artifactId&gt; &lt;version&gt;1.1.55.RELEASE&lt;/version&gt; &lt;/
js中使用全局变量方式验证Shiro权限
m0_74444744的博客
05-17 237
当我们登录一个不是该权限的角色时,是不会发起Ajax请求的。接着我们登录一个该权限属于的角色。证明这个全局变量的方式是有效的。判断权限发送Ajax请求。beetl自定义if标签。可以看到发送了该请求,
通用后台管理系统(ExtJS 4.2 + Spring MVC 3.2 + Hibernate)
迷茫的小莱
07-02 3077
通用后台管理系统(ExtJS 4.2 + Spring MVC 3.2 + Hibernate) 开发语言JAVA 成品成品 前端技术extjs 数据库mysql,sql server,oracle 系统可作为OA、网站、电子政务、ERP、CRM、APP后台等基于B/S架构的应用软件系统的快速开发框架。 详细信息 系统可作为OA、网站、
Shiro和AJAX完美整合
热门推荐
wu560130911的专栏
09-18 1万+
实现shiro与ajax的完美结合
JS文件中shiro标签无效,解决方案
腾龙凌九霄
03-07 6293
场景: 页面使用的是DataTables,做一个后台管理系统。页面按钮shiro标签可以直接控制,这个没问题,但是,列表,分页,以及列表每一行内的操作按钮都是通过引入一个js文件异步加载出来的。如:list.js.,列表每一行都有行内操作的需求,只是根据配置的权限,每个角色会有不同的操作权限。直接在list.js中用 "columnDefs": [ { 'orderable':...
shiro+jwt+redis
05-19
Shiro 是一个 Java 的安全框架,提供了身份认证、授权、会话管理等功能。JWT(Json Web Token)是一种轻量级的认证和授权的方案,可以在多个系统之间传递信息。Redis 是一种高性能的内存数据库,常用于缓存和会话管理。 将 Shiro 和 JWT 结合使用可以实现无状态的身份认证和授权。当用户登录成功后,将用户信息生成一个 JWT,并将其返回给客户端。客户端在后续请求中携带该 JWT,服务端使用 Shiro 进行解析和校验,实现身份认证和授权。 使用 Redis 可以将会话信息存储在内存中,提高会话管理的效率和可扩展性。同时,可以使用 Redis 实现 Shiro 的缓存功能,提高 Shiro 的性能。例如,可以将 Shiro 的授权信息缓存在 Redis 中,减少数据库的访问次数,提高系统的响应速度。 综上所述,结合使用 Shiro、JWT 和 Redis 可以实现高效、安全的身份认证和授权。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值