spring 集成shiro 之 自定义过滤器

最新推荐文章于 2024-04-28 17:17:13 发布
最新推荐文章于 2024-04-28 17:17:13 发布
阅读量6.1w 收藏 32
点赞数 5
分类专栏: spring

转:http://blog.csdn.net/shuishouhcd/article/details/9077379

最近一段时间,我一直在将shiro集成到我的一个项目中,用作认证和授权处理。

            shiro对我来说是个新东西,以下是我学习过的内容:

            http://shiro.apache.org/authorization.html

            http://www.cnblogs.com/skyme/archive/2011/09/11/2173760.html  系列

            http://www.infoq.com/cn/articles/apache-shiro

            http://kdboy.iteye.com/blog/1103794

http://www.ibm.com/developerworks/cn/java/j-lo-shiro/

如果我那个地方没说明白,可以看这些。

  集成shiro,需要配置web.xml文件,spring的applicationContext.xml配置文件(当然,独立配置一个shiro.xml文件交给spring容器处理也是可以的)。

web.xml文件中的配置:

<!-- shiro filter的名字是shiroFilter,那么在spring的配置文件中要有一个名字为shiroFilter的bean-->
   <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
             <param-name>targetFilterLifecycle</param-name>
             <param-value>true</param-value>
        </init-param>
   </filter>
  
   <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
   </filter-mapping>

applicationContext.xml文件中的配置: 

 <!-- 自定义的Shiro Filter-->
    <bean id="simplePermFilter" class="frame.security.PermissionsAuthorizationFilter"></bean>
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="/login" />
		<property name="successUrl" value="/user/list" />
		<property name="unauthorizedUrl" value="/login" />
		<property name="filters">  
            <map>  
                <entry key="sperm" value-ref="simplePermFilter"/>
            </map>  
        </property>  
		<property name="filterChainDefinitions">
			<value>
			    /Flat-UI-master/**=anon
				/index.jsp* = anon
				/test.jsp*=anon
				/jsp/** = authc
	            /test/objT.do = sperm
			</value>
		</property>
	</bean>
	<!--设置自定义realm -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="myRealm" />
	</bean>
    <!-- 配置shiro bean processor-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
     <!--myRealm 继承自AuthorizingRealm-->
     <bean id="myRealm" class="frame.security.MonitorRealm" ></bean>
     <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
          <property name="staticMethod"
               value="org.apache.shiro.SecurityUtils.setSecurityManager" />
          <property name="arguments" ref="securityManager" />
     </bean>

代码说明:

  1. shiroFilter 中 loginUrl 为登录页面地址,successUrl 为登录成功页面地址(如果首先访问受保护 URL 登录成功,则跳转到实际访问页面),unauthorizedUrl 认证未通过访问的页面(前面提到的“未经授权页面”)。
  2. shiroFilter 中 filters 属性,formAuthenticationFilter 配置为基于表单认证的过滤器。
  3. shiroFilter 中 filterChainDefinitions 属性,anon 表示匿名访问(不需要认证与授权),authc 表示需要认证,perms[SECURITY_ACCOUNT_VIEW] 表示用户需要提供值为“SECURITY_ACCOUNT_VIEW”Permission 信息。由此可见,连接地址配置为 authc 或 perms[XXX] 表示为受保护资源。
  4. securityManager 中 realm 属性,配置为我们自己实现的 Realm。关于 Realm,参见前面“Shiro Realm”章节。
  5. myShiroRealm 为我们自己需要实现的 Realm 类,为了减小数据库压力,添加了缓存机制。
  6. shiroCacheManager 是 Shiro 对缓存框架 EhCache 的配置。
MonitorRealm.java 是自定义的realm,读取数据库的用户信息,和授权信息。

 PermissionsAuthorizationFilter.java 是自定义的过滤器,来实现自己需要的授权过滤方式。

public class MonitorRealm extends AuthorizingRealm{
	
	@Autowired
	private DAO dao;<span style="font-family: Consolas, 'Courier New', Courier, mono, serif; font-size: 11.818181991577148px; line-height: 17.27272605895996px; background-color: rgb(248, 248, 248);">//这里自己需要什么就注入什么。  </span>

	public MonitorRealm() {
		super();
	}
	
	/**
	 * 授权操作,决定那些角色可以使用那些资源
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc) {
		
		//<span style="font-family: Consolas, 'Courier New', Courier, mono, serif; font-size: 11.818181991577148px; line-height: 17.27272605895996px; background-color: rgb(248, 248, 248);">TODO </span><span style="font-family: Consolas, 'Courier New', Courier, mono, serif; font-size: 11.818181991577148px; line-height: 17.27272605895996px; background-color: rgb(248, 248, 248);">访问授权信息</span>
		return info;
	}

	/**
	 * 认证操作,判断一个请求是否被允许进入系统
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
		
		//<span style="font-family: Consolas, 'Courier New', Courier, mono, serif; font-size: 11.818181991577148px; line-height: 17.27272605895996px;">TODO 用户认证信息  </span>
	        return info;  
	}

}

public class PermissionsAuthorizationFilter extends AuthorizationFilter {

    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
    	<span style="font-family: Consolas, 'Courier New', Courier, mono, serif; font-size: 11.818181991577148px; line-height: 17.27272605895996px; background-color: rgb(248, 248, 248);"> //自定义过滤器逻辑</span>   
        return true;
    }
}

配置自定义过滤器的关键是配置文件中 的这几句 

<property name="filters">  
            <map>  
                <entry key="sperm" value-ref="simplePermFilter"/>
            </map>  
        </property>  
		<property name="filterChainDefinitions">
			<value>
			...   
	            /test/objT.do ="sperm"
			</value>
		</property>

颜色相同的地方一定要一样,表示用某个过滤器过滤指定路径。因为这个我费了好长时间。

org.apache.shiro.spring.web.ShiroFilterFactoryBean   的作用是通过spring来初始化shiro的工作环境。如果一个请求进来,shiro的过滤器会先工作,过滤器会调用realm中的授权或认证的方法来获取授权或认证信息。



wxwzy738
关注
  • 5
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
shiro讲解之 Shiro Filter
Dusty丶one的博客
10-26 1152
shiro讲解之 Shiro Filter本章节将详细说明Shiro Filter。概念 什么是Shiro FilterShiro 提供了与 Web 集成的支持,其通过一个ShiroFilter 入口来拦截需要安全控制的URL,然后进行相应的控制。 ShiroFilter 类似于如 Strut2/SpringMVC 这种web 框架的前端控制器,是安全控制的入口点,其负责读取配置(如ini 配置文件
Shiro定义过滤器
m0_67402588的博客
03-28 1019
最近在学习shiro。 由于shiro过滤器是与的格式,在实际编辑过滤器链的时候 /admin/** = authc,roles[admin,passenger] 本意是想admin和passenger角色都能够拥有对 /admin/** 的进行访问,但是shiro内部过滤器的逻辑是与,即同时拥有admin和passenger的角色才可以对路径进行访问。 因此,需要自己定义一个过滤器,实现或的逻辑,定义一个过滤器如下 public class CustomRolesAuthorizationFilter
Shiro安全框架——【快速入门、登录拦截、用户认证
最新发布
2401_84281638的博客
04-28 693
Apache Shiro是一个Java的安全(权限)框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。shiro功能:Authentication:身份认证、登录,验证用户是不是拥有相应的身份;
shiro加入自定义过滤器
it_boy_elite的博客
12-02 4621
##SpringBoot下Shiro添加过滤器定义filter继承AdviceFilter package com.itdage.filter; import org.apache.shiro.web.filter.AccessControlFilter; import org.apache.shiro.web.filter.authz.AuthorizationFilter; ...
shrio与spring整合的关键bean——ShiroFilterFactoryBean
weixin_42002747的博客
01-14 615
1、先看看ShiroFilterFactoryBean的继承关系 public class ShiroFilterFactoryBean implements FactoryBean, BeanPostProcessor 实现了FactoryBean接口,这是spring中很重要的一个接口,所以我们看看这个类实现的接口方法 public Object getObject() throws Ex...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及解决方法。 一、问题描述 在使用 Spring Boot 集成 Shiro 时,需要...
详解springshiro集成
08-29
1. 创建Shiro的Filter Chain定义,指定哪些URL应该受到哪个过滤器(即安全控制)的影响。 2. 在Spring的DispatcherServlet配置中,注册Shiro Filter。 3. 配置Spring的ApplicationContext,使它能够加载Shiro配置。 ...
Spring 应用中集成 Apache Shiro的方法
08-27
Spring应用中集成Shiro能够实现灵活且强大的安全控制。以下将详细讲解如何在Spring环境中配置和使用Apache Shiro。 **1. 集成步骤** **独立应用程序集成** 在独立的Spring应用中,首先需要创建一个Realm来连接...
springmvc集成shiro登录权限示例代码
08-31
总之,SpringMVC 集成 Shiro 主要涉及到配置过滤器、安全管理器、Realm 以及自定义过滤器等步骤,从而实现对用户登录、权限控制的管理。通过这样的集成,开发者可以更专注于业务逻辑,而将安全性交由 Shiro 这样的...
基于Spring框架的Shiro配置方法
09-04
这一步是设置Shiro的核心过滤器`DelegatingFilterProxy`,它会代理到Spring的Bean中。配置如下: ```xml <!-- Shiro filter --> <filter-name>shiroFilter <filter-class>org.springframework.web.filter....
shiro filter在基于spring的web中的执行流程
sinat_33472737的博客
06-19 605
概述 我们知道filter都是通过doFilter方法处理相关逻辑。通过源码可以发现,shiro所有的filter的doFilter方法只有OncePerRequestFilter中有。OncePerRequestFilter也是我们平时所用到的shiro的filter的抽象父类。且该方法是final的。 public final void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChai
Shiro笔记五:Shiro内置Filter过滤器
公子&小白的博客
05-10 1654
Shiro笔记五:Shiro内置Filter过滤器 shiro内置的过滤器 核心过滤器类:DefaultFilter,配置哪个路径对应哪个拦截器进行处理。 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.f
SpringBoot整合shiro-重写shiro的登录过滤器
tengfei308的博客
03-30 632
SpringBoot整合shiro-重写shiro的登录过滤器 shiro是利用过滤器进行工作,而springboot的web项目本质其实就是springmvc.所有的请求都在DispatcherServlet中进行了分发.在web项目中,Filter先于servlet执行的.shiro的登录的拦截器比springboot的controller先执行.而shiro的登录filter只支持登录失败时返回一个页面,如果使用的是ajax请求,希望没有登录时返回JSON数据,shiro本身的filter是做不到的,
shiro学习系列:shiro定义filter过滤器
ITxiaofeixiang的博客
01-18 1929
shiro学习系列:shiro定义filter过滤器定义JwtFilter的hierarchy(层次体系) 上代码 package com.finn.springboot.common.config.shiro.filters; import com.alibaba.fastjson.JSON; import com.finn.springboot.common.api.vo.Result; import com.finn.springboot.common.config.shiro.JwtTok
shiroFilter配置详解
web17886480312的博客
08-24 887
定义,在Spring相关配置文件中配置。````定义`Shiro Filter Bean`对应关系。???这样就配置完成了。五、自定义Shiro Filter上面配置了,那下面举个栗子,然后以判断角色。
Spring-shiro-Boot-1 整合shiro的配置文件1-ShiroConfig
良之才的专栏
03-04 1192
shiro是纯java的权限管理框架,可以处理认证、权限、加密等标准需求。 shiro的思路就是给控制处理。封装处理的其实很不错,使用起来很方便。 但是,使用shiro得了解一些它的基本特点。 ======================================= 一、shiro权限模型 (1)配置之前,需要知道基本的权限控制概念。这里使用数据库模型控制。【用户-角色-权限】 (2)权限表--sys_permission (3)角色表-sys_role (4)角色...
第七节 shiro自带的拦截器分析
大宇的博客,欢迎访问
01-30 3357
一、Shiro框架携带的拦截器 首先来温故一下最常见的shiro拦截器。anon表示不拦截,authc表示需要认证,roles表示需要某种角色,perms就更狠了,直接表明需要某种权限。ssl是https相关的拦截器,上次项目中客户要求以https方式启动项目,当时是项目经理配置的,我暂时还没有掌握这种拦截器。 anon:匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤...
SpringBoot+Shiro学习之自定义拦截器管理在线用户(踢出用户)
热门推荐
qq_20954959的博客
03-05 1万+
应用场景 我们经常会有用到,当A 用户在北京登录 ,然后A用户在天津再登录 ,要踢出北京登录的状态。如果用户在北京重新登录,那么又要踢出天津的用户,这样反复。又或是需要限制同一用户的同时在线数量,超出限制后,踢出最先登录的或是踢出最后登录的。 第一个场景踢出用户是由用户触发的,有时候需要手动将某个在线用户踢出,也就是对当前在线用户的列表进行管理。 ··························
Spring Boot 中,可以通过 ShiroFilterFactoryBean 设置自定义过滤器
05-23
是的,Spring Boot 中集成 Shiro 时,可以通过 ShiroFilterFactoryBean 来设置自定义过滤器ShiroFilterFactoryBean 是 Shiro 过滤器链的工厂类,它负责创建过滤器链,并管理过滤器链的生命周期。可以通过它来设置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值