springMVC整合shiro

最新推荐文章于 2023-12-01 10:14:03 发布
最新推荐文章于 2023-12-01 10:14:03 发布
阅读量407 收藏
点赞数
分类专栏: Spring生态 文章标签: shiro spring spring mvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y534560449/article/details/53742508
版权

shiro是什么:Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障。

shiro官方文档:http://shiro.apache.org/authentication.html。

首先在pom.xml中添加shiro依赖:

<!-- shiro核心包 -->
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-core</artifactId>
	<version>1.2.5</version>
</dependency>
<!-- 添加shiro web支持 -->
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-web</artifactId>
	<version>1.2.5</version>
</dependency>
<!-- 添加shiro spring支持 -->
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-spring</artifactId>
	<version>1.2.5</version>
</dependency>
<!-- 添加jstl支持 -->
<dependency>
    <groupId>javax.servlet</groupId>
    <artifactId>jstl</artifactId>
    <version>1.2</version>
</dependency>
<dependency>
    <groupId>taglibs</groupId>
    <artifactId>standard</artifactId>
    <version>1.1.2</version>
</dependency>
编写自己的Realm(当验证currentUser.login(token)时会执行此类的方法): 

package com.yrok.realm;

import javax.annotation.Resource;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import com.yrok.entity.TUser;
import com.yrok.mapper.UserMapper;

public class MyRealm extends AuthorizingRealm {

	@Resource
	UserMapper userMapper;
	/**
	 * 为当前已经登陆成功的用户授予权限和角色
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		String username = (String) principals.getPrimaryPrincipal(); // 获取用户名
		SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
		authorizationInfo.setRoles(userMapper.getRoles(username)); //设置角色
        authorizationInfo.setStringPermissions(userMapper.getPermissions(username)); //设置权限            
		return authorizationInfo;
	}

	/**
	 * 验证当前正在登录的用户,获取认证信息
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		String username = (String) token.getPrincipal(); // 获取用户名
		TUser tUser = userMapper.getByUsername(username);
		 if (tUser != null) {
             AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(tUser.getUsername(), tUser.getPassword(), "myrealm");
             return authcInfo;
         } else {
             return null;
         }
	}

}
spring集成mybatis参考我的另一篇文章: SSM配置模板

编写UserMapper:

package com.yrok.mapper;

import java.util.List;
import java.util.Set;

import org.apache.ibatis.annotations.Param;

import com.yrok.entity.TUser;


public interface UserMapper {
	
	public TUser getByUsername(String username);

	public Set<String> getRoles(String username);

	public Set<String> getPermissions(String username);

}

编写UserMapper.xml: 

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.yrok.mapper.UserMapper" >
 
   <select id="getByUsername" parameterType="String" resultType="TUser">
        select * from t_user where username=#{username}
    </select>

    <select id="getRoles" parameterType="String" resultType="String">
        select r.rolename from t_user u,t_role r where u.role_id=r.id and u.username=#{username}
    </select>

    <select id="getPermissions" parameterType="String" resultType="String">
        select p.permissionname from t_user u,t_role r,t_permission p where u.role_id=r.id and p.role_id=r.id and u.username=#{username}
    </select>
</mapper>


编写UserController:

package com.yrok.controller;

import java.io.IOException;

import javax.annotation.Resource;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;
import com.yrok.entity.TUser;
import com.yrok.entity.User;
import com.yrok.service.UserService;
@Controller
@RequestMapping(value="/user")
public class UserController {

	@Resource
	UserService userService;

	//用户登录
    @RequestMapping("/login")
    public String login(TUser user, HttpServletRequest request,HttpServletResponse response) throws ServletException, IOException {
    	Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword());
        try{
            subject.login(token);//会跳到我们自定义的realm中
            request.getSession().setAttribute("username", user.getUsername());
            return "success";
        }catch(Exception e){
            e.printStackTrace();
            request.getSession().setAttribute("username", user.getUsername());
            request.setAttribute("error", "用户名或密码错误!");
            request.getRequestDispatcher("/login.jsp").forward(request, response);
        }
        return null;
    }

    @RequestMapping("/logout")
    public String logout(HttpServletRequest request,HttpServletResponse response) throws ServletException, IOException {
        request.getSession().invalidate();
        request.getRequestDispatcher("/login.jsp").forward(request, response);
        return null;
    }   

    @RequestMapping("/admin")
    public String admin(HttpServletRequest request) {
        return "success";
    }

    @RequestMapping("/student")
    public String student(HttpServletRequest request) {
        return "success";
    }   

    @RequestMapping("/teacher")
    public String teacher(HttpServletRequest request) {
        return "success";
    }   
	
}


最后spring集成shiro的配置:

<!-- 自定义Realm -->
<bean id="myRealm" class="com.yrok.realm.MyRealm"/>  
<!-- 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
  <property name="realm" ref="myRealm"/>  
</bean>  

<!-- Shiro过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
	<!-- Shiro的核心安全接口,这个属性是必须的 -->  
	<property name="securityManager" ref="securityManager"/>
	<!-- 身份认证失败,则跳转到登录页面的配置 -->  
	<property name="loginUrl" value="/login.jsp"/>
	<!-- 权限认证失败,则跳转到指定页面 -->  
	<property name="unauthorizedUrl" value="/unauthorized.jsp"/>  
	<!-- Shiro连接约束配置,即过滤链的定义 -->  
	<property name="filterChainDefinitions">  
		<value>  
			<!-- 访问login是不需要认证 -->
			/login=anon 
			<!-- 访问user/admin开头的任意接口都需要认证 -->
			/user/admin*=authc
			/user/student*/**=roles[teacher]
			/user/teacher*/**=perms["user:create"]
		</value>  
	</property>
</bean>  

<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->  
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>  

<!-- 开启Shiro注解 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>  
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">  
  <property name="securityManager" ref="securityManager"/>  
</bean>

数据库sql: 

CREATE TABLE `t_role` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键',
  `rolename` varchar(20) DEFAULT NULL COMMENT '角色名称',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8

CREATE TABLE `t_user` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '用户主键',
  `username` varchar(20) NOT NULL COMMENT '用户名',
  `password` varchar(20) NOT NULL COMMENT '密码',
  `role_id` int(11) DEFAULT NULL COMMENT '外键关联role表',
  PRIMARY KEY (`id`),
  KEY `role_id` (`role_id`),
  CONSTRAINT `t_user_ibfk_1` FOREIGN KEY (`role_id`) REFERENCES `t_role` (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8

CREATE TABLE `t_permission` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键',
  `permissionname` varchar(50) NOT NULL COMMENT '权限名',
  `role_id` int(11) DEFAULT NULL COMMENT '外键关联role',
  PRIMARY KEY (`id`),
  KEY `role_id` (`role_id`),
  CONSTRAINT `t_permission_ibfk_1` FOREIGN KEY (`role_id`) REFERENCES `t_role` (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8
测试: 

根据spring的配置文件中对shiro的url拦截配置,我们首先请求:http://localhost:8080/SSMShiro/user/admin来测试身份认证,然后会跳转到登录页面让我们登陆,登陆成功后,再次请求这个url就会进入success.jsp页面了。
再测试角色和权限认证,可以先后输入http://localhost:8080/ShiroSpring/user/student来测试角色认证,输入http://localhost:8080/SSMShiro/user/teacher来测试权限认证。通过登陆不同的用户去测试即可。
参考文档:

【Shiro】Apache Shiro架构之权限认证(Authorization)
【Shiro】Apache Shiro架构之集成web
【Shiro】Apache Shiro架构之自定义realm
【Shiro】Apache Shiro架构之实际运用(整合到Spring中)

它山之石,可以攻玉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro+SpringMVC集成
guohangfei001的博客
05-10 863
一.本文主要是本人对使用shiro方面的总结。重点在介绍shiro使用。二.1.导入所需要的架包maven导入&lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-web&lt;/artifactId&gt; &lt;version&gt;1.3....
springMVC小结
WalleChoy's blog
04-23 356
一.SpringMVC 快速入门1.SpringMVC 体系结构 2.配置DispatcherServlet:<servlet> <servlet-name>spring</servlet-name> <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class> <ini
第四章:Shiro的身份认证(Authentication)
逸轩
04-09 8308
Authentication概述 概述   Authentication 是指身份验证的过程——即证明一个用户实际上是不是他们所说的他们是谁。也就是说通过提交用户的身份和凭证给Shiro,以判断它们是否和应用程序预期的相匹配。 基本概念 1:Principals(身份):是Subject 的‘identifying attributes(标识属性)’。比如我们登录提交的用户名。
SpringMVC整合Shiro
WGH100817的博客
01-29 124
摘要: SpringMVC整合ShiroShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。第一步:配置web.xml<!-- 配置Shiro过滤器,先让Shiro过滤系统接收到的请求 --> <!-- 这里filter-name必须对应applicationContext.xml中定义的<bean id="shiroFilte...
SpringMvc整合shiro相关配置
最新发布
m0_71975719的博客
12-01 955
- shiro过滤器,DelegatingFilterProxy通过代理模式将spring容器中的bean和filter关联起来 -->-- 设置spring容器的filter的bean的id,如果不设置则查找与filter名称一致的bean-->--shiro过虑器链定义,从上向下顺序执行,一般将/**放在最下边 -->--注销过滤器,这个地址无关紧要-->--配置sessionManager的bean-->--去除重定向生成的sessionid-->-- 1.Shiro 的Web过滤器 -->
springmvc整合shiro
07-05
整合Spring MVC和Shiro的目的是为了在Spring应用中利用Shiro的强大安全功能。首先,我们需要在项目中引入Shiro的相关依赖。在`pom.xml`文件中添加如下依赖: ```xml <groupId>org.apache.shiro <artifactId>...
springMVC整合shiro框架
02-12
SpringMVCShiro 框架的整合是企业级Web开发中常见的一种安全控制解决方案。SpringMVC 是一个强大的MVC(Model-View-Controller)框架,负责处理请求、展示视图以及业务逻辑;而 Apache Shiro 则是一个轻量级的...
SpringMVC整合Shiro的完整示例代码下载
01-02
在本文中,我们将深入探讨如何将SpringMVC与Apache Shiro框架整合,以实现一个安全的Web应用程序。这个示例代码提供了完整的实现过程,让你能够快速理解和应用到自己的项目中。 首先,SpringMVC是Spring框架的一个...
springmvc+shiro整合详解
12-01
架构采用 sping+spingmvc+hibenate+shiro完美整合,每段 配置文件都亲自加了注释,包括 web.xml,spring配置文件等,自己亲自试过,代码可以直接运行,是一个不可多得代码架构分享
No qualifying bean of type问题解决
热门推荐
蜀道难,难于上青天。
05-06 6万+
No qualifying bean of type问题解决 前言 No qualifying bean of type ‘xxx.xxx.xxx’ available: expected single matching bean but found 2:xxx.xxx.xxx 对于一个java开发新手来说, 应该经常会遇到这个问题,而且还不好意思询问周围同事,不要怕,今天就让我们解决掉它。 问题及解决方案 问题1 包扫描不正确或未扫描 默认情况下,如果使用了springboot,他会默认扫描启动类(
springboot 修改默认端口及application.properties常用配置
蜀道难,难于上青天。
12-12 3万+
Spring boot 默认端口是8080,如果想要进行更改的话,只需要修改applicatoin.properties文件,在配置文件中加入: server.port=9090 其他常用配置: (一)、server配置 server.address #指定server绑定的地址 server.compression.enabled #是否开启压缩,默认为false. server.com
spring配置mybatis自动扫描*mapper.java和*mapper.xml配置文件
蜀道难,难于上青天。
12-06 2万+
spring配置mybatis自动扫描*mapper.java和*mapper.xml.
springboot + mybatis plus + mysql 树形结构查询
蜀道难,难于上青天。
07-21 4347
springboot + mybatis plus + mysql 树形结构查询 背景 实际开发过程中经常需要查询节点树,根据指定节点获取子节点列表,以下记录了获取节点树的操作,以备不时之需。 使用场景 可以用于系统部门组织机构、商品分类、城市关系等带有层级关系的数据结构; 设计思路 递归模型 即根节点、枝干节点、叶子节点,数据模型如下: id code name parent_code 1 10000 电脑 0 2 20000 手机 0 3 10001 联想笔记本 10000
springboot application.properties详解
蜀道难,难于上青天。
12-12 2857
# =================================================================== # COMMON SPRING BOOT PROPERTIES # # This sample file is provided as a guideline. Do NOT copy it in its # entirety to your own appl
HttpServletRequest 重复读取及设置自定义header
蜀道难,难于上青天。
04-13 2502
前言 最近在开发中遇到了一个需求,需要重复读取HttpServletRequest请求内容及设置自定义header向下传递,但是会出现Required request body is missing ,原因是ServletInputStream的流只能读取一次,那么我们只需要让请求内容可以重复读取即可,可以通过HttpServletRequestWrapper来实现。 实现步骤 1.自定义MutableHttpServletRequest public class MutableHttpServletReq
使用@PropertySource动态加载不同环境的配置文件
蜀道难,难于上青天。
07-26 2081
前言 自定义配置文件是我们日常开发中经常会使用的资源,而spring只提供了类似application-* 的这中匹配方式,并不支持我们自定义的配置文件名称,例如:customize-dev.properties,但是spring提供了一个注解可以方便加载我们的自定义配置文件,它就是@PropertySource。 自定义配置文件 customize-dev.properties customize.name=dev 使用@PropertySource加载配置文件 import lombok.Data;
Springboot 基于CXF构建WebService服务
蜀道难,难于上青天。
04-13 1872
前言 最近因为系统需要接入了一个新的支付通道,一般来说都是使用RestApi 来接入,但是本次接入的支付通道为境外支付,使用的WebService,对于WS我们在实际业务中基本上不会用到,所以查阅了一些资料,记录一下自己项目中使用的WS。 WebService概述 什么是WebService Web Service技术,能使得运行在不同机器上的不同应用无须借助附加的、专门的第三方软件或硬件, 就可相互交换数据或集成。依据Web Service规范实施的应用之间,无论它们所使用的语言、平台或内部协议是什么,
spring Spel 在aop中的应用
蜀道难,难于上青天。
08-10 1617
项目中时常用到aop切面做一些功能,但是获取切面中方法的参数有多样的方法,我列出我在项目中运用spel的方式: 定义注解: @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface RecordAnnotation { InterfaceTyp...
Spring RestTemplate错误处理
蜀道难,难于上青天。
04-13 1606
前言 在实际开发中使用RestTemplate 经常会出现返回非200状态码报异常,这是源于RestTemplate 默认响应状态码处理机制,默认情况下RestTemplate如果发生HTTP错误将会抛出以下异常: HttpClientErrorException – in case of HTTP status 4xx HttpServerErrorException – in case of HTTP status 5xx UnknownHttpStatusCodeException – in cas
ssm整合shiro
10-07
SSM整合Shiro是指在使用Spring+SpringMVC+MyBatis框架的基础上,将Apache Shiro安全框架集成到项目中。下面是整合Shiro的步骤: 1. 引入Shiro的依赖,可以在pom.xml文件中添加如下代码: ```xml <!-- Shiro --> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值