JFinal整合Shiro(二)

最新推荐文章于 2024-04-24 22:50:14 发布
最新推荐文章于 2024-04-24 22:50:14 发布
阅读量80 收藏
点赞数
文章标签: java web.xml 数据库
原文链接:https://segmentfault.com/a/1190000007838222
版权
原文: http://zhangxiao.org/2016/jfinal-shiro-integration2/
续上一篇 《JFianl整合Shiro(一)》
我准备在这里,具体的描述下JFianl整合Shiro的基本流程。

Maven Dependency

我现在使用是

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-web</artifactId>
    <version>1.2.4</version>
</dependency>

配置web.xml

<listener>
    <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
</listener>

<filter>
    <filter-name>ShiroFilter</filter-name>
    <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
</filter>

<filter-mapping>
    <filter-name>ShiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
    <dispatcher>FORWARD</dispatcher>
    <dispatcher>INCLUDE</dispatcher>
    <dispatcher>ERROR</dispatcher>
</filter-mapping>
  • <listener> 节点定义了一个ServletContextListener,在web应用程序启动的生时候启动Shiro环境(包括shiro的SecurityManager)默认情况下, 这个listener会自动去找我们的WEB-INF/classes/shiro.ini。
  • <filter> 节点定义了主要的ShiroFilter.这个filter被要求去过滤所有进入web应用程序的请求,因此shiro可以在一个请求到达应用程序之前进行必要的身份验证和访问控制。
  • <filter-mapping> 节点确保所有请求类型通过被ShiroFilterare提出(filed)filter-mapping节点一般是不指定dispatcher元素的,但是shiro需要它们都被定义,以便它能够过滤所有可能被web应用执行的不同请求类型。

添加shiro.ini文件

以下是我常用的shiro.ini

[main]
#sessionId相关设定
sessionIdCookie=org.apache.shiro.web.servlet.SimpleCookie
sessionIdCookie.name=jshop-admin-web
sessionIdCookie.path=/
sessionIdCookie.maxAge=1800
sessionIdCookie.httpOnly=true

#sessionManager
sessionManager = org.apache.shiro.web.session.mgt.DefaultWebSessionManager
sessionManager.sessionIdCookie = $sessionIdCookie
sessionManager.sessionIdCookieEnabled = true
sessionManager.globalSessionTimeout = 3600000

#Realm
dbRealm = com.yourdomain.module.shiro.Realm

#Cache
cacheManager = org.apache.shiro.cache.MemoryConstrainedCacheManager

#---------------
securityManager.sessionManager=$sessionManager
securityManager.realm = $dbRealm
securityManager.cacheManager = $cacheManager

#[filters] 这个已经被取消,并入main中
#自定义验证过滤器
app_auth= com.yourdomain.module.shiro.AuthorizeFilter
#登录页面
app_auth.loginUrl = /auth/login
#未授权页面
app_auth.unauthorizedUrl=/auth/unauthorized

[urls]
/test/** = anon
/public/** = anon
/uploads/** = anon
/passport/* = anon
/** = app_auth

sessionIdCookie、sessionManager

这俩个似乎没啥好说的。

cacheManager

它定义了一个新的缓存管理实例. 缓存在Shiro的构架体系中是一个非常重要的部分 - 它减少了和数据存贮之间持续往返的通讯。这个例子是使用了在单个JVM上比较好使的MemoryConstrainedCacheManager。如果对你的应用是部署在多个服务器(比如服务器集群)的话,你将会想使用一个集群缓存管理器的实现来替代。

realm

它是很关键的一个地方,这是是需要自己实现的。它作为shiro的一个组件,可以让shiro访问到你的系统中的用户、角色、权限等数据。

[urls]

这是非常重要的一个节点,来配置哪些路径映射哪些过滤器来进行鉴权,可以用逗号分开,配置多个过滤器。

这里的anon是shiro内置的一个过滤器,表示不需要进行鉴权。当然还是很多的shiro内置鉴权过滤器.在后面简单介绍下

[filters]

1.2以后,filters被并入[main]节点,如果继续保留也没事儿,只是会出个警告而已。app_auth是我自己实现的一个filter系统中主要使用这个filter进行鉴权。

shiro的内置filters

  • anon

org.apache.shiro.web.filter.authc.AnonymousFilter

  • authc

org.apache.shiro.web.filter.authc.FormAuthenticationFilter

  • authcBasic

org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

  • logout

org.apache.shiro.web.filter.authc.LogoutFilter

  • noSessionCreation

org.apache.shiro.web.filter.session.NoSessionCreationFilter

  • perms

org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

  • port

org.apache.shiro.web.filter.authz.PortFilter

  • rest

org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

  • roles

org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

  • ssl

org.apache.shiro.web.filter.authz.SslFilter

  • user

org.apache.shiro.web.filter.authc.UserFilter

自定义realm

com.yourdomain.module.shiro.Realm

需要继承shiro的AuthorizingRealm

public class Realm extends AuthorizingRealm

需要实现2个抽象方法

doGetAuthenticationInfo

主要是在登录的时候,进行用户身份验证

 /**
 * 获取用户验证信息
 * @param authcToken 所需验证的token
 * @return null or 身份信息
 * @throws AuthenticationException 验证异常
 */
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
    UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
    SysAdmin admin = AdminService.getByUsername(token.getUsername());
    if (admin != null) {
        if(!admin.getPassword().equals(String.valueOf(token.getPassword()))){
            throw new AuthenticationException("密码错误");
        }
        Db.update("update sys_admin set loginTime=?,loginCount=loginCount+1 where id=?",new Date(),admin.getId());
        return new SimpleAuthenticationInfo(admin, admin.getPassword(),admin.getUsername());
    } else {
        throw new AuthenticationException("用户不存在");
    }

}

doGetAuthorizationInfo

在第一次鉴权的时候进行调用,获取并保存到chache中(没有配置cache是不是每次都得调用?)

/**
 * 获取用户授权信息
 * @param principals 用户身份
 * @return null or 授权信息
 */
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    SysAdmin userInPrincipal = (SysAdmin) principals.getPrimaryPrincipal();
    //根据用户获取权限
    List<String> stringPermissions = AdminService.getPermissions(userInPrincipal.getId());
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    //stringPermissions结构:
    //user
    //user:list
    //user:add
    //user:edit
    //...
    info.addStringPermissions(stringPermissions);
    return info;
}

我这里返回的:字符串权限表达式(字符串通配符权限),对于各自所对应的资源(主要就是url路径),我是保存在数据库中,方便进行配置,然后再加上缓存。在自定义filter中将url转换成对应的表达式,然后进行鉴权。

登录、注销

登录

public void login() {
    if(Boolean.FALSE.equals(validateCaptcha("captcha"))){
        renderJson(CommonService.ajaxError("验证码错误"));
        return;
    }
    String username = getPara("username");
    String password = HashKit.md5(getPara("password"));
    Subject subject = SecurityUtils.getSubject();
    UsernamePasswordToken token = new UsernamePasswordToken(username, password);
    try {
        subject.login(token);
        renderJson(CommonService.ajaxSuccess());
    } catch (AuthenticationException e) {
        //虽然在realm中有具体的错误信息,但是安全起见,统一返回登录失败
        renderJson(CommonService.ajaxError("登陆失败"));
    }
}

注销

public void logout() {
    Subject subject = SecurityUtils.getSubject();
    subject.logout();
    redirect("/passport/login");
}

是不是感觉很easy:)

自定义filter

com.yourdomain.module.shiro.AuthorizeFilter

继承shiro的AuthorizationFilter

public class AuthorizeFilter extends AuthorizationFilter

实现抽象方法isAccessAllowed

protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
    //-----------------用户验证------------------
    Subject currentUser = getSubject(request, response);
    if (!currentUser.isAuthenticated())
        return false;
    //-----------------获取资源权限表达式-------------
    SysAdmin user = (SysAdmin) currentUser.getPrincipal();
    //request中加入attribute便于controller调用admin的信息
    request.setAttribute("admin",user);
    // 根据actionKey分析出权限表达式
    HttpServletRequest hsr = ((HttpServletRequest) request);
    String root = hsr.getContextPath();
    String URI = hsr.getRequestURI();
    String actionKey = URI.replace(root,"");
    if("".equals(actionKey))
        actionKey="/";
    RoleService roleService = new RoleService();
    String expression = roleService.getActionKeyExpression(actionKey);
    //-----------------进行鉴权-------------
    if (user==null)
        return false;
    else if(user.getStr("username").equals("superadmin")){
        //超级管理员具有所有权限
        return true;
    }else if(expression==null){
        return false;
    }else if(currentUser.isPermitted(expression)){
        //鉴权
        return true;
    }else{
        return false;
    }

}
  1. 在这里,我根据actionKey分析出所对应的权限表达式
  2. 对于用户superadmin,默认具有所有权限,等同于,不需要鉴权
  3. 其他用户根据权限表达式,来进行鉴权

关于用户、角色、url资源及对应的权限表达式

你可以按照你自己的方式来构建一套,我相信对于大多数人应该不成问题,因为这个已经不属于shiro的范畴了。自己搞几个表,搞几个配置界面,做下缓存策略等等。

模板引擎中使用扩展函数(标签)

有时候你的应用也许需要在界面上进行鉴权,比如按钮啥的,这时候就可能需要扩展模板引擎的函数或者标签。

可以参考下 《beetl 和 shrio 结合》 http://my.oschina.net/xiandaf...

只要解决如何扩展模板引擎的函数或者标签,其他,我想应该都是雷同的吧。

weixin_34032792
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jfinal-shiro:jfinal shiro插件
05-21
jfinal-shiro jfinal shiro plugin 最简单,最灵活的权限框架实现,查看其他插件-> maven 引用 ${jfinal-shiro.version}替换为相应的版本如:0.2 <dependency> <groupId>cn.dreampie</groupId> <artifactId>jfinal-shiro</artifactId> <version>${jfinal-shiro.version}</version> </dependency> 支持不同角色登陆到不同的url,支持ajax登陆/登出,例如: 推荐的数据库权限表结构设计 DROP TABLE IF EXISTS sec_user; CREATE TABLE sec_user ( id BIGINT NOT NULL AUTO_IN
JFianl整合Shiro
weixin_34176694的博客
08-30 73
2019独角兽企业重金招聘Python工程师标准>>> ...
java jfinal 权限控制_Jfinal配合Shiro进行权限控制
weixin_32572673的博客
02-27 781
web项目总免不了用户的管理与注册,需求稍微再多一点儿,就涉及用户的角色及权限管理了,下面根据自己项目的实际经验,介绍如何在Jfinal项目中使用Shiro来进行简单的登陆及权限管理。主角简介Jfinal 位居开源中国年度热门开源项目前列,简单好用快速的java web开发框架,用过就知道。Shiro Apache基金会顶级项目,所以你懂得。java安全框架里的主流选择,号称相当简单,但是我至今其...
Jfinal配合Shiro进行权限控制
热门推荐
Calvin的专栏
02-26 2万+
web项目总免不了用户的管理与注册,需求稍微再多一点儿,就涉及用户的角色及权限管理了,下面根据自己项目的实际经验,介绍如何在Jfinal项目中使用Shiro来进行简单的登陆及权限管理。主角简介 Jfinal 位居开源中国年度热门开源项目前列,简单好用快速的java web开发框架,用过就知道。 Shiro Apache基金会顶级项目,所以你懂得。java安全框架里的主流选择,号称相当简单,但是我至
Jfinal整合shiro
m0_67391377的博客
08-18 384
进入shiro官网下载对应的jar包,放在WebRoot/WEB-INF/lib文件下。更为完善的角色模型:用户—角色—权限—部门—资源。注:要在所有监听器和拦截器的最前方配置。一般常用的角色模型:用户—角色—权限。最简单的角色模型:用户—权限。...
jfinal整合shiro实例
06-03
完整的jFinal整合Shiro实例,部署就可使用!!! 1、Eclipse直接导入,部署到tomcat中 2、新建jfinal_shiro数据库,执行jfinal_shiro.sql 3、修改配置文件中数据库用户名和密码 ~/jfinal_shiro/resource/jfinal....
jfinal 整合shiro下载即用
07-26
具体使用步骤会在jfinal官网项目中发表,感谢使用
jfinal+shiro简单的整合
06-10
jfinal+shiro简单的整合,自己整合
jfinal整合shiro权限控制(从数据库读取配置信息)
04-20
NULL 博文链接:https://fengzgxing.iteye.com/blog/1884466
JFinal2.0整合shiro权限框架,简单好用
05-12
综合网上资料,完成JFinal2.0整合shiro权限框架的demo,demo完整,简单好用
authc过滤器 shiro_shiro + jfinal, 重写shiro 的 authc 过滤器后,过滤器无效:报错-问答-阿里云开发者社区-阿里云...
weixin_33134753的博客
01-26 132
FormAuthenticationFilter处,认证方法错误。至少再shiro1.2.2版本下######public class MyJdbcAuthzService implements JdbcAuthzService {@Overridepublic Map getJdbcAuthz() {//加载数据库的url配置Map authzJdbcMaps = new HashMap();/...
string模拟实现
m0_73969414的博客
04-23 905
c++中string的模拟实现,面试必会知识点
【1524】java投票管理系统Myeclipse开发mysql数据库web结构java编程计算机网页项目
qq_251836457的博客
04-18 881
2、开发环境为TOMCAT7.0,Myeclipse8.5开发,数据库为Mysql5.0,使用java语言开发。(5)投票选项管理:对投票选项信息进行添加、删除、修改和查看。(6)投票记录管理:对投票记录信息进行添加、删除、修改和查看。(1)管理员管理:对管理员信息进行添加、删除、修改和查看。(2)用户管理:对用户信息进行添加、删除、修改和查看。(3)公告管理:对公告信息进行添加、删除、修改和查看。(4)投票管理:对投票信息进行添加、删除、修改和查看。4)投票浏览查看、查看投票、投票记录。
PageHelper实现分页查询
m0_63849044的博客
04-24 662
这行代码是在使用 MyBatis Generator (MBG) 或类似的 MyBatis 工具生成的代码来构建查询条件。(可能是MyBatis的Mapper接口)来执行基于前面定义的查询条件的查询,并获取结果列表。实例之后会被用来设置各种查询条件,如字段的等于、不等于、大于、小于、模糊查询等。实体类生成的辅助类,它通常包含了一些静态内部类和方法,用于构建查询条件。在MyBatis中,这样的对象通常用于构建查询条件。对象,可能用于作为查询条件)。的一个内部类,用于定义查询的具体条件。
javaweb-SpringBoot基础
kussm_的博客
04-20 1112
Spring的官网(Spring的简介:Spring makes Java simple。Spring Boot 可以帮助我们非常快速的构建应用程序、简化开发、提高效率。创建一个子包controller。
Web前端 Javascript笔记5
cycyzh的博客
04-18 982
script>'console.log("哈哈哈佳人们好困")'}, 3000)​let t1 = setTimeout('console.log("你们看到这句话的时候我早已身价百万!!")', 4000)​</script>3秒,四秒后出来的东西,出现前会返回计时器编号。
2.8 构建gradle环境
蚊者逆袭的博客
04-18 2265
Gradle是一种现代化的构建工具,用于自动化地构建、测试和部署软件项目。它是一种基于JVM(Java虚拟机)的构建工具,最初是为了解决Apache Ant和Apache Maven等传统构建工具的一些限制而开发的。
MSE实现全链路灰度实践
最新发布
云计算、数据库、大数据、深度学习、NLP、Python
04-24 104
待更新。
Mybatis-动态SQL
weixin_43866613的博客
04-24 597
Mybatis的xml映射文件,以及动态SQL的应用
jfinal集成shiro
04-11
JFinal是一款基于Java的轻量级Web开发框架,而Shiro是一个强大且易用的Java安全框架。集成JFinalShiro可以为你的应用程序提供更好的安全性和权限控制。 要在JFinal中集成Shiro,你需要进行以下步骤: 1. 添加Shiro依赖:在你的项目中添加Shiro的依赖,可以通过Maven或者手动下载jar包的方式引入。 2. 创建Shiro配置类:创建一个继承自JFinalJFinalConfig类,并重写configConstant()和configInterceptor()方法。在configConstant()方法中配置Shiro的相关参数,如设置登录页面、未授权页面等。在configInterceptor()方法中添加Shiro的拦截器,用于实现权限控制。 3. 创建ShiroRealm类:创建一个继承自org.apache.shiro.realm.AuthorizingRealm的类,用于实现用户认证和授权逻辑。在该类中,你需要重写doGetAuthenticationInfo()方法用于用户认证,以及重写doGetAuthorizationInfo()方法用于用户授权。 4. 配置ShiroFilter:在JFinal的configRoute()方法中配置ShiroFilter,用于拦截请求并进行权限验证。你可以通过配置URL的匹配规则和相应的权限要求来实现不同页面的权限控制。 5. 配置登录和注销功能:在JFinal的Controller中添加登录和注销的处理逻辑,包括用户登录验证、生成和保存用户的身份信息等。 6. 配置权限注解:使用Shiro的注解来标记需要进行权限验证的方法或类,以实现细粒度的权限控制。 以上是集成JFinalShiro的基本步骤,你可以根据具体需求进行更详细的配置和扩展。希望对你有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值