在web项目中使用shiro(认证、授权)

最新推荐文章于 2021-02-04 15:28:20 发布
最新推荐文章于 2021-02-04 15:28:20 发布
阅读量151 收藏
点赞数
文章标签: java 测试 数据库
原文链接:http://www.cnblogs.com/duguangming/p/11047198.html
版权
一.在web项目中实现认证
第一步,在web项目中导入shiro依赖的包
第二步,在web.xml中声明shiro拦截权限的过滤器 
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<!--保证该过滤器的生命周期和spring 工厂中shiro过滤器对象的生命周期一致-->
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
<!--声明该过滤器代理工厂类中的id为什么的shiro过滤器对象-->
<init-param>
<param-name>targetBeanName</param-name>
<param-value>shiroFilter</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
第三步,在spring的主配置文件中声明shiro的配置信息
shiro的配置信息比较多,一般不和spring的主配置文件放到一起。一般都会单独建立一个shiro和spring集成的配置文件。 
创建好该文件后,要在spring.xml中引入该文件:
在spring中自定义域对象:  
/**
* 实现自定义域
* Authorization 授权(权限校验)
*
* Authentication 认证(登录校验)
*
*/
public class AuthRealm extends AuthorizingRealm {
@Autowired
private UserService userService;
//获取授权信息
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
//获取认证信息
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws
AuthenticationException {
//获取用户名 不过一般往shiro中放置用户身份信息的时候,不直接放用户名字符串,放用户对象
String username = token.getPrincipal().toString();
//有了用户名,要根据用户名在数据库中查询用户对象
Users user = userService.findByUsername(username);
//判断如果用户对象不存在,抛出UnknownAccountException
if(user==null){
throw new UnknownAccountException("用户名不存在");
}
//封装用户的身份对象 返回这个身份对象
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,user.getPassword(),"authRealm");
return info;
}
}
在shiro的主配置文件spring-shiro.xml中做配置:  
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd">
<!--创建自定义域对象-->
<bean id="authRealm" class="com.aaa.ssm.realm.AuthRealm"></bean>
<!--创建shiro的安全管理器对象-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!--要声明域,在域中读取认证和授权的数据-->
<property name="realm" ref="authRealm"></property>
</bean>
<!--创建shiro的过滤器对象-->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!--要注入安全管理器对象-->
<property name="securityManager" ref="securityManager"></property>
<!--配置登录请求的路径-->
<property name="loginUrl" value="/user/login.do"></property>
<!--配置shiro认证和授权的过滤器-->
<property name="filterChainDefinitions">
<value>
<!--对静态资源不拦截-->
<!--anon指匿名访问的过滤器,所有匿名用户都可以访问static下面的资源-->
/static/*=anon
/user/login.do=anon
/login.jsp=anon
<!--authc指必须经过认证(登录过之后)才能访问的请求 /*代表所有有一个斜杠的请求都要经过认证 -->
/*=authc
/*/*=authc
</value>
</property>
</bean>
</beans>
第四步,在控制器中使用shiro去做登录认证 
/**
* 用户登录的请求
* @param user
* @return
*/
@RequestMapping("/login")
public String login(Users user, Model model, HttpSession session){
//获取用户的主体对象
Subject subject = SecurityUtils.getSubject();
//封装用户名和密码的认证信息对象
UsernamePasswordToken upt = new UsernamePasswordToken(user.getUsername(),user.getPassword());
//进行登录认证
try {
subject.login(upt);
}catch (Exception e){
e.printStackTrace();
System.out.println("用户名或者密码错误");
return "redirect:/login.jsp";
}
return "index";
}
二.在web项目中实现授权
当前我们还没有配置授权的信息,所以用户登录成功之后能访问所有的请求。 
配置文件的方式 
xml的方式 
第一步,在shiro的主配置文件中配置授权信息
第二步,当前登录用户有哪些授权信息从自定义的realm中读取 
注解的方式
第一步,开始spring的shiro的注解的支持 
注意,开启注解的支持之前,应该保证项目中有spring 的aop的jar包的,aspectj等的jar包。  
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-aop</artifactId>
<version>${spring.version}</version>
</dependency>
<!-- aspectj相关jar包-->
<dependency>
<groupId>org.aspectj</groupId>
<artifactId>aspectjrt</artifactId>
<version>1.7.4</version>
</dependency>
<dependency>
<groupId>org.aspectj</groupId>
<artifactId>aspectjweaver</artifactId>
<version>1.7.4</version>
</dependency>
要在spring mvc的主配置文件中声明shiro的注解的支持: 
第二步,在控制器的代码中增加需要授权的注解 
第三步,同xml的方式的第二步
第四步,声明spring mvc的统一异常处理 
因为如果用户没有权限,会跳转到500界面,不友好,我们可以使用spring mvc统一异常处理机制,让用户跳转到一个统一的界面。 
 

 

转载于:https://www.cnblogs.com/duguangming/p/11047198.html

weixin_30724853
关注
web采用shiro实现登录认证与权限授权管理
java_mdzy的博客
11-01 912
Apache ShiroJava的一个安全框架。 官网对shiro的介绍:Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With S
Shiro框架在项目的应用
weixin_54685622的博客
04-03 6321
1、Shiro 框架简介 Shiro 概述 Shiro 是Apache公司推出一个权限管理框架,其内部封装了项目认证授权,加密,会话等逻辑操作,通过Shiro框架可以简化我们项目权限控制逻辑的代码的编写。其认证授权业务分析,如图所示: Shiro 框架概要架构 Shiro 框架主要通过Subject,SecurityManager,Realm对象完整认证授权业务,其简要架构如下: 其: Subject 此对象负责提交用户身份、权限等信息 SecurityManager 负责完成认证授权等核
项目shiro的应用
ITWANGBOIT的博客
10-14 249
1:项目,用户-角色-权限的关系如下图: 2:用户登录,可以借用shiro认证,仅仅需要userInfo的信息就可以完成认证。 3:用户登录成功之后,达到系统主页面,有以下信息会根据用户角色和权限的不同,显示的不同: (1):菜单 (2):页面上的元素(按钮之类的) (3):通过浏览器访问一个当前用户没有被分配权限的资源 4:菜单:开发者可以通过登录用户获取到被分配的菜单(...
shiroweb项目实现认证
常军凯的博客
06-17 302
web项目pom.xml文件导入jar包 <!--shiro安全框架jar包--> <dependency> <groupId>commons-logging</groupId> <artifactId>commons-logging<...
shiro权限框架认证授权过程
2896405089的博客
12-16 604
[html] view plain copy pre>pre name="code" class="html">bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">           property name="securityManager" ref=
web项目应用Shiro
02-27
### 在Web项目应用Shiro #### 一、Shiro简介与重要性 Apache Shiro是一个强大且易用的Java安全框架,它提供了身份验证授权、加密和会话管理功能,可以非常容易地开发出足够安全的应用。本文旨在详细介绍如何在...
shiro认证授权demo
10-28
这个"shiro认证授权demo"应该包含了设置Shiro环境、配置 Realm、创建 SecurityManager、定义用户角色和权限以及处理登录、登出等核心功能的示例代码。 1. **Shiro环境设置**:首先,需要在项目引入Shiro的依赖...
Shiro登录授权认证功能
09-26
在这个项目,我们主要关注的是“Shiro登录授权认证功能”。 **身份验证(Authentication)** 身份验证是确认用户身份的过程,通常涉及用户名和密码的验证。在Shiro,可以通过实现自定义的`Realm`类来对接自己的...
shiro认证授权的过程
05-01
在本文,我们将深入理解Shiro认证授权过程,以及如何利用它来保护我们的应用程序。 **1. 认证过程** 认证,也称为登录,是验证用户身份的过程。在Shiro,这个过程分为以下几个步骤: 1. **凭证匹配器...
实际WEB项目整合 Shiro 以及 LDAP 方案.docx
02-11
在 Web 项目Shiro 作为安全框架,负责拦截用户请求并处理认证授权。当用户尝试访问受保护的资源ShiroFilter 会拦截请求。若用户未认证,系统会重定向到登录页面。用户提交登录信息后,Shiro使用 LDAP ...
Shiro(登录拦截,登录认证,请求授权,和Thymeleaf整合)
weixin_44324174的博客
07-23 628
前言:Apache Shiro是一个强大且易用的Java安全框架,执行身份验证授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 1、快速入门 导入依赖 ...
ShiroWeb项目配置
Jintao_Ma的博客
06-04 3342
shiro的学习 二 shirojava客户端配置 三.关于权限的一些问题 一 shiro的学习 1.在web.xml配置shiro的过滤器 shiroFilter org.springframework.web.filter.DelegatingFilterProxy true targetFilterLifecycle t
Shiro与AspectJ同使用的配置
Jafey的博客
08-16 2001
    昨天写了一个自定义注解,因为使用了@Aspect注解来进行注解相关的一些操作,所以在spring 的xml配置文件添加了配置 &lt;aop:aspectj-autoproxy proxy-target-class="true"/&gt; 这个本来应该没有什么问题的,测试却发现我写的切面类并没有执行,一头雾水的的只能问一下万能的网友了,才知道原来Shiro和AspectJ同使用的...
跟着大宇学Shiro--------目录帖
大宇的博客,欢迎访问
07-01 1万+
一、我与Shiro 本系列Shiro已经重写,本次重写间为2018年12月。博主已经在实际项目接触快Shiro一年,也积累了不少使用心得。文章已经部分转移到了我的专栏里面:跟着大宇学Shiro博客专栏。 本系列教程源码:点击我下载源码 下面是本次重写的博客大纲,希望大宇能够帮助到正在学习shiro的你。我期待与大家一起交流学习、共同进步。 ...
shiro权限框架详解06-shiroweb项目整合(上)
在路上
02-09 8951
shiroweb项目整合,实现与真实项目一致的基本需求。并全面介绍shiro的常用filter的作用。
使用shiro实现登录拦截(请求拦截)和用户认证(登录)
kitahiragawa的博客
02-04 3006
上一篇已经将shiro和springboot整合起来了,这里就直接开始写功能了 一、登录拦截(请求拦截) 这个功能在shiro配置类里写,拦截哪些页面,什么情况下拦截,拦截后要不要跳转,都写在注释里 @Configuration public class ShiroConfig { //ShiroFilterFactoryBean @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("secur
shiro简单配置
weixin_33905756的博客
05-02 57
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro笔记(三)----Shiro配置文件ini详解
热门推荐
fendo
07-09 3万+
一、INI简介 INI配置文件是一种key/value的键值对配置,提供了分类的概念,每一个类的key不可重复,#号代表注释,shiro.ini文件默认在/WEB-INF/ 或classpath下,shiro会自动查找,INI配置文件一般适用于用户少且不需要在运行动态创建的情景下使用。 1.在web.xml配置shiro的过滤器 要使用Shiro必须在web
SpringBoot与Shiro:实战登录认证授权详解
首先,我们关注的是添加Shiro的依赖项,以便在项目引入Shiro的核心功能。具体来说,推荐使用版本1.4.0的`shiro-spring-boot-web-starter`,这将简化与Spring Boot的集成。 接下来,文章的核心内容是创建一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值