关于spring整合shiro的方法

最新推荐文章于 2021-05-31 15:34:22 发布
最新推荐文章于 2021-05-31 15:34:22 发布
阅读量409 收藏
点赞数 1
分类专栏: JAVA 文章标签: spring shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013451347/article/details/53933130
版权

shiro简介

shiro是权限控制的一个框架
是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。

权限控制的方式

权限有四种实现方式
注解(基于代理),url拦截(基于过滤器),shiro标签库(基于标签),编写代码(及其不推荐)
不论哪种方式:都需要引入spring用于整合shiro的过滤器
web.xml中:DelegatingFilterProxy=>spring整合shiro
配置spring提供的用于整合shiro框架的过滤器

  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy
   </fileter>

filet-name需要和spring配置文件中的一个BEAN对象的id保持一致非常重要

配置

I. 注解方式,注解是利用生成的代理对象来完成权限校验:
spring框架会为当前action对象(加注解的action)创建一个代理对象,如果有权限,就执行这个方法,不然就会报异常
(将spring,Strust配置文件丰富:添加权限的注解,struts添加捕获异常,跳转页面)
1. 需要在spring配置文件中进行配置开启注解DefaultAdvisorAutoProxyCreator,
并配置成cjlib方式的注解 

<property name="proxyTargetClass" value="true">\</property>

注解实现权限当为jdk模式的时候
方法注解实现权限过滤
抛异常的原因:因为如果是jdk方式的话,实现的接口modelDriven只有一个getModel方法
所以不能进行对除该方法外其他方法进行注解

  1. 定义切面类AuthorizationAttributeSourceAdvisor

    <bean id="authorizationAttributeSourceAdvisor" class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"></bean>

  2. 在需要权限才能访问的方法上添加注解

    @RequiresPermissions("relo_delete这是权限名称")

II. url拦截(springxml)
基于过滤器或者拦截器实现 

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login.jsp"/>
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        <property name="filterChainDefinitions">
            <value>
                /css/** = anon
                /js/** = anon
                /images/** = anon
                /validatecode.jsp* = anon
                /login.jsp* = anon
                /userAction_login.action = anon
                /page_base_staff.action = perms["staff"]
                /** = authc
                <!--/** = authc-->
            </value>
        </property>
    </bean>
    <!--开启自动代理,并且将代理代理模式设置为cjlib-->
    <bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
        <!--设置成cglib方式-->
        <property name="proxyTargetClass" value="true"></property>
    </bean>

shiro各种过滤器简写

shiro的使用

  1. 在web.xml中引入用于创建shiro框架的过滤器
    web.xml中:DelegatingFilterProxy=>spring整合shiro
    注意引入的位置:要在struts核心过滤器的前面,StrutsPrepareAndExcutFilter,不然,所有请求会通过struts过滤器获直接访问得到,shiro的过滤器将不会起到作用

  2. 在Spring中整合shiro
    2.1). shiro框架过滤器:ShiroFilterFactoryBean 需要声明那些过滤器,那些资源需要匹配那些过滤器,采用url拦截方式进行的路径对应的拦截器
    2.2). 配置安全管理器:DefaultWebSecurityManager 需要注入 自定义的Realm bean对象 

    <!--配置一个shiro框架的过滤器工厂bean,用于创建shiro框架的过滤器-->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.jsp"/>
    <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
    <property name="filterChainDefinitions">
        <value>
            /css/** = anon
            /js/** = anon
            /images/** = anon
            /validatecode.jsp* = anon
            /login.jsp* = anon
            /userAction_login.action = anon
            /page_base_staff.action = perms["staff"]
            /** = authc
            <!--/** 表示所有/下所有路径,包括下面的所有路径-->
    <!--/validatecode.jsp*
     表示所有除了validatecode.jsp,还包括jsp后追加其他内容的.如validatecode.jsp?'+Math.random();防止验证码读取缓存
        </value>
    </property>
</bean>
<!--开启自动代理,并且将代理代理模式设置为cjlib
动态代理分为两类
基于jdk 创建的类必须要实现一个接口,这是面向接口的动态代理   
基于cjlib 创建的类不能用final修饰
-->
<bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
    <!--设置成cglib方式-->
    <property name="proxyTargetClass" value="true"></property>
</bean>
<!--定义aop通知+切入点-->
<bean id="authorizationAttributeSourceAdvisor" class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"></bean>

<!--注入安全管理器-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="bosRealm"></property>
    <property name="cacheManager" ref="ehCacheManager"></property>
</bean>

  3. 在登陆认证的方法中加入subject controller中的login方法

public String login(){
Subject subject = SecurityUtils.getSubject();
  //创建一个用户名密码令牌
  AuthenticationToken token = new UsernamePasswordToken(getModel().getUsername(), MD5Utils.md5(
          getModel().getPassword()));
  try {
    //认证
      subject.login(token);
  } catch (Exception e) {
      this.addActionError("用户名或者密码错误");
      return LOGIN;
  }
  /*当通过认证,跳入主页*/
  User user = (User) subject.getPrincipal();
  /*将用户信息存入session*/
  ServletActionContext.getRequest().getSession().setAttribute("currentUser", user);
  /*返回主页*/
  return "";
}
  1. 自定义Realm(用于权限的具体实施,即认证和授权)一般实现Realm接口的 AuthorizingRealm 实例
    4.1实现认证 重写doGetAuthenticationInfo方法
    必须继承AuthorizingRealm
    在需要交付给spring生成,并需要在安全注册管理器中注入属性Realm
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

UsernamePasswordToken mytoken = (UsernamePasswordToken) token;
       String username = mytoken.getUsername();
       DetachedCriteria dc = DetachedCriteria.forClass(User.class);
       dc.add(Restrictions.eq("username",username));
       List<User> list = userDao.findByCriteria(dc);
       if(list != null && list.size() >0){
           User user = list.get(0);
           String dbPassword = user.getPassword();
           AuthenticationInfo info = new SimpleAuthenticationInfo(user,dbPassword,this.getName());
           return info;
       }else{
           return null;
       }
   }

4.2实现授权 重写doGetAuthorizationInfo方法

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
/*获的简单授权对象,用于授权的*/
  SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    /*授权staff权限*/
    //info.addStringPermission("staff");
    //步骤获得授权对象,获得当前用户,获得当前用户的权限(若为admin即授予所有权限),当前用户授权
    //获得对象
    User user = (User)principals.getPrimaryPrincipal();
    List<Function> fList = null;
    //获得权限
    if(user.getUsername().equals("admin")){
        fList = functionDao.findAll();
    }else{
        fList = functionDao.findFunctionByUserId(user.getId());
    }
    //授予权限
    for(Function f : fList){
        info.addStringPermission(f.getCode());
}

关于Shiro中使用 encache

1.引入包
在spring配置文件中配置以下
2.配置文件ehcache.xml 

<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="../config/ehcache.xsd">
    <defaultCache
            maxElementsInMemory="10000"
            eternal="false"
            timeToIdleSeconds="120"
            timeToLiveSeconds="120"
            overflowToDisk="true"
            maxElementsOnDisk="10000000"
            diskPersistent="false"
            diskExpiryThreadIntervalSeconds="120"
            memoryStoreEvictionPolicy="LRU"
            />
</ehcache>
 <!--eternal是否永久有效-->

3.引入缓存管理器EhCacheManager(shiro包中的),并设置配置文件;
4.将缓存管理器注入安全管理器DefaultWebSecurityManager

<!--注册安全管理器-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="bosRealm"></property>
        <property name="cacheManager" ref="ehCacheManager"></property>
    </bean>
    <bean id="bosRealm" class="org.yao.bos.web.action.realm.BOSRealm"></bean>

    <!--注入缓存管理器-->
    <bean id="ehCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"></property>
    </bean>
钢铁锅
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring整合Shiro
qq_42436356的博客
04-24 249
Maven项目: pom.xml中导入依赖 <!-- shiro 包--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version...
Spring Boot整合Shiro两种详细方法
qianlia的博客
03-23 1737
Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 ShiroSpring Security 和 Shiro 的比较: Spring Security 是一个重量级的安全管理框架;Shiro 则是一个轻量级的安全管理框架 Spring Security 概念复杂,配置繁琐;Shiro 概念简单、配置简单 S...
Spring框架中整合Shiro
08-31
Spring框架中整合Shiro,实现auth身份识别,鉴权管理功能。
spring整合shiro
知北
09-15 1862
引入maven依赖 shiro认证流程 shiro环境搭建 1.在web.xml配置filter要放在struts拦截器之前 &lt;!-- 配置shiro权限管理filter --&gt; &lt;filter&gt; &lt;filter-name&gt;shiroFilter&lt;/filter-name&gt; &lt;filter...
Spring 整合 Shiro
Dzq_Boyka的博客
07-16 207
原文:https://blog.csdn.net/donggua3694857/article/details/52157313 一、基本名词解释 Apache Shiro是一个强大易用的Java安全框架。它可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存、单点登录等等,而且它的API也十分简洁易用,所以现在有很多人都在使用它。它的基本能功能点如图所示: 从图上我们可以看...
Spring集成Shiro
架构之路
12-24 1360
准备好Spring+SpringMVC的开发环境。1、添加Shiro的依赖 <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.4.
spring cloud + shiro集成方案
01-15
手把手教你集成spring cloud + shiro微服务框架;用最少的工作量,改造基于shiro安全框架的微服务项目,实现spring cloud + shiro 框架集成。博客地址:...
详解Spring Boot 集成Shiro和CAS
08-30
本文将详细介绍 Spring Boot 集成 Shiro 和 CAS 的知识点,帮助读者了解 Shiro 和 CAS 的概念、使用方法,以及它们在 Spring Boot 中的集成方式。 Shiro 介绍 Shiro 是一个开源的 Java 安全框架,由 Apache 软件...
Shiro整合Spring
01-10
Shiro整合Spring,maven,Shiro整合Spring,maven,Shiro整合Spring,maven,
SpringMVC整合Shiro的完整示例代码下载
01-02
这是我的博文https://jadyer.github.io/2013/09/30/springmvc-shiro/里面知识点的可直接运行的完整代码
shiro+springmvc整合demo
06-11
SpringMVC+Apache Shiro+JPA(hibernate)整合demo
详解springshiro集成
08-29
1. `shiro-spring` - Apache ShiroSpring整合模块。 2. `spring-context` - Spring的核心模块,用于配置和管理应用程序上下文。 这些依赖可以通过Maven或Gradle等构建工具引入到项目中,具体配置请参考项目的`pom...
详解spring整合shiro权限管理与数据库设计
08-30
Spring整合Shiro权限管理与数据库设计 本文主要介绍了Spring整合Shiro权限管理与数据库设计的相关知识点。Shiro是一个开源的权限管理框架,广泛应用于Java Web开发中,而Spring则是Java企业版的框架,用于构建企业...
Spring Boot整合shiro
技术成就梦想
07-11 1712
shiro面世已经有很长时间了,相比Spring security更加精简一些,也更容易上手,因此就想分享下这段时间的学习成果,就当是学习笔记了1 pom文件如下&lt;project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schem...
spring框架整合shiro
weixin_46484970的博客
01-23 965
shiro框架 定义: Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 既然shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 shiro使用广泛,shiro可以运行在web应用,非web应用,集群分布式应用中越来越多的用户开始使用shiro。 java领域中spring security(原名Acegi)也是一个开源
spring web 整合shiro
weixin_46050018的博客
05-31 109
话不多说直接上步骤: 第一步,导入依赖。 <!--Shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.1</version> &lt
SpringMVC整合Shiro
banghaoqs409152的博客
05-10 142
第一部分:SpringMVC框架的配置 配置步骤说明   (1)导入依赖的Jar包   (2)构建一个请求的界面   (3)创建业务控制器   (4)配置 web.xml 的核心控制器   (5)创建配置文件   (6)构建一个返回界面 第一步:导入依赖的Jar包    第二步:构建一个请求界面 1 <%@ page language="java" co...
SpringShiro集成及EL表达式扩展实践
1. **Spring整合Shiro**: - 首先,开发人员需要在项目中引入shiro-spring模块(如1.4.0版本),这通过Maven或类似构建工具的依赖管理完成。 - Spring的集成使得Shiro可以无缝地与Spring的IoC容器协同工作,提供更...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值