Shiro+Spring MVC整合

最新推荐文章于 2022-01-19 19:53:27 发布
最新推荐文章于 2022-01-19 19:53:27 发布
阅读量358 收藏 1
点赞数
分类专栏: java 文章标签: shiro springmvc

Shiro系列之Shiro+Spring MVC整合

第一步,Shiro Filter

在web.xml文件中增加以下代码,确保Web项目中需要权限管理的URL都可以被Shiro拦截过滤。

[xml]  view plain  copy
  1. <!-- Shiro Filter -->  
  2.     <filter>  
  3.         <filter-name>shiroFilter</filter-name>  
  4.         <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
  5.         <init-param>  
  6.             <param-name>targetFilterLifecycle</param-name>  
  7.             <param-value>true</param-value>  
  8.         </init-param>  
  9.     </filter>  
  10.     <filter-mapping>  
  11.         <filter-name>shiroFilter</filter-name>  
  12.         <url-pattern>/*</url-pattern>  
  13.     </filter-mapping>  

通常将这段代码中的filter-mapping放在所有filter-mapping之前,以达到shiro是第一个对web请求进行拦截过滤之目的。这里的fileter-name应该要和第二步中配置的java bean的id一致。

 

第二步,配置各种Java Bean

在root-context.xml文件中配置Shiro

[xml]  view plain  copy
  1. <?xml version="1.0" encoding="UTF-8"?>  
  2. <beans xmlns="http://www.springframework.org/schema/beans"  
  3.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  4.     xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">  
  5.   
  6.     <!-- Root Context: defines shared resources visible to all other web components -->  
  7.   
  8.     <!-- dataSource -->  
  9.     <bean id="dataSource"  
  10.         class="org.springframework.jdbc.datasource.DriverManagerDataSource">  
  11.         <property name="driverClassName" value="com.mysql.jdbc.Driver" />  
  12.         <property name="url" value="jdbc:mysql://127.0.0.1:3306/etao_java" />  
  13.         <property name="username" value="root" />  
  14.         <property name="password" value="cope9020" />  
  15.     </bean>  
  16.   
  17.     <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>  
  18.   
  19.     <!-- 数据库保存的密码是使用MD5算法加密的,所以这里需要配置一个密码匹配对象 -->  
  20.     <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.Md5CredentialsMatcher"></bean>  
  21.   
  22.     <!-- 缓存管理 -->  
  23.     <bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"></bean>  
  24.   
  25.     <!--   
  26.       使用Shiro自带的JdbcRealm类  
  27.       指定密码匹配所需要用到的加密对象  
  28.       指定存储用户、角色、权限许可的数据源及相关查询语句  
  29.      -->  
  30.     <bean id="jdbcRealm" class="org.apache.shiro.realm.jdbc.JdbcRealm">  
  31.         <property name="credentialsMatcher" ref="credentialsMatcher"></property>  
  32.         <property name="permissionsLookupEnabled" value="true"></property>  
  33.         <property name="dataSource" ref="dataSource"></property>  
  34.         <property name="authenticationQuery"  
  35.             value="SELECT password FROM sec_user WHERE user_name = ?"></property>  
  36.         <property name="userRolesQuery"  
  37.             value="SELECT role_name from sec_user_role left join sec_role using(role_id) left join sec_user using(user_id) WHERE user_name = ?"></property>  
  38.         <property name="permissionsQuery"  
  39.             value="SELECT permission_name FROM sec_role_permission left join sec_role using(role_id) left join sec_permission using(permission_id) WHERE role_name = ?"></property>  
  40.     </bean>  
  41.   
  42.     <!-- Shiro安全管理器 -->  
  43.     <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
  44.         <property name="realm" ref="jdbcRealm"></property>  
  45.         <property name="cacheManager" ref="cacheManager"></property>  
  46.     </bean>  
  47.   
  48.     <!--   
  49.        Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行  
  50.        Web应用中,Shiro可控制的Web请求必须经过Shiro主过滤器的拦截,Shiro对基于Spring的Web应用提供了完美的支持   
  51.     -->  
  52.     <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
  53.         <!-- Shiro的核心安全接口,这个属性是必须的 -->  
  54.         <property name="securityManager" ref="securityManager"></property>  
  55.         <!-- 要求登录时的链接(登录页面地址),非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 -->  
  56.         <property name="loginUrl" value="/security/login"></property>  
  57.         <!-- 登录成功后要跳转的连接(本例中此属性用不到,因为登录成功后的处理逻辑在LoginController里硬编码) -->  
  58.         <!-- <property name="successUrl" value="/" ></property> -->  
  59.         <!-- 用户访问未对其授权的资源时,所显示的连接 -->  
  60.         <property name="unauthorizedUrl" value="/"></property>  
  61.         <property name="filterChainDefinitions">  
  62.             <value>  
  63.                 /security/*=anon  
  64.                 /tag=authc  
  65.             </value>  
  66.         </property>  
  67.     </bean>  
  68.   
  69.     <!--   
  70.        开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,  
  71.        并在必要时进行安全逻辑验证  
  72.     -->  
  73.     <!--  
  74.     <bean  
  75.         class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"></bean>  
  76.     <bean  
  77.         class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">  
  78.         <property name="securityManager" ref="securityManager"></property>  
  79.     </bean>  
  80.     -->  
  81. </beans>  

上述代码中已经对每个java bean的用途做了详细的注释说明,这里仅对FilterChain过滤链的定义详细阐述一下:

  • 测试用例中对/security/*的访问是不需要认证控制的,这主要是用于用户登录和退出的
  • 测试用例中对/tag的访问是需要认证控制的,就是说只有通过认证的用户才可以访问该资源。如果用户直接在地址栏中访问http://localhost:8880/learning/tag,系统会自动跳转至登录页面,要求用户先进行身份认证。

完成这两步之后,我们可以Run一下程序,如果可以看到以下页面,就表明我们的配置文件没有错误,Shiro和Spring MVC的整合已经完成了。后继的步骤可以视为是对整合后的框进行的一个测试。



第三步,编写登录页面和后台代码

[html]  view plain  copy
  1. <%@ page language="java" contentType="text/html; charset=UTF-8"  
  2.     pageEncoding="UTF-8"%>  
  3. <%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c"%>  
  4.   
  5. <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">  
  6. <html>  
  7. <head>  
  8. <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">  
  9. <title>Login Page</title>  
  10. </head>  
  11. <body>  
  12.     <h1>login page</h1>  
  13.     <form id="" action="dologin" method="post">  
  14.         <label>User Name</label> <input tyep="text" name="userName"  
  15.             maxLength="40" /> <label>Password</label><input type="password"  
  16.             name="password" /> <input type="submit" value="login" />  
  17.     </form>  
  18.     <%--用于输入后台返回的验证错误信息 --%>  
  19.     <P><c:out value="${message }" /></P>  
  20. </body>  
  21. </html>  



 

后台登录代码

[java]  view plain  copy
  1. /** 
  2.  * 实际的登录代码 
  3.  * 如果登录成功,跳转至首页;登录失败,则将失败信息反馈对用户 
  4.  *  
  5.  * @param request 
  6.  * @param model 
  7.  * @return 
  8.  */  
  9. @RequestMapping(value = "/dologin")  
  10. public String doLogin(HttpServletRequest request, Model model) {  
  11.     String msg = "";  
  12.     String userName = request.getParameter("userName");  
  13.     String password = request.getParameter("password");  
  14.     System.out.println(userName);  
  15.     System.out.println(password);  
  16.     UsernamePasswordToken token = new UsernamePasswordToken(userName, password);  
  17.     token.setRememberMe(true);  
  18.     Subject subject = SecurityUtils.getSubject();  
  19.     try {  
  20.         subject.login(token);  
  21.         if (subject.isAuthenticated()) {  
  22.             return "redirect:/";  
  23.         } else {  
  24.             return "login";  
  25.         }  
  26.     } catch (IncorrectCredentialsException e) {  
  27.         msg = "登录密码错误. Password for account " + token.getPrincipal() + " was incorrect.";  
  28.         model.addAttribute("message", msg);  
  29.         System.out.println(msg);  
  30.     } catch (ExcessiveAttemptsException e) {  
  31.         msg = "登录失败次数过多";  
  32.         model.addAttribute("message", msg);  
  33.         System.out.println(msg);  
  34.     } catch (LockedAccountException e) {  
  35.         msg = "帐号已被锁定. The account for username " + token.getPrincipal() + " was locked.";  
  36.         model.addAttribute("message", msg);  
  37.         System.out.println(msg);  
  38.     } catch (DisabledAccountException e) {  
  39.         msg = "帐号已被禁用. The account for username " + token.getPrincipal() + " was disabled.";  
  40.         model.addAttribute("message", msg);  
  41.         System.out.println(msg);  
  42.     } catch (ExpiredCredentialsException e) {  
  43.         msg = "帐号已过期. the account for username " + token.getPrincipal() + "  was expired.";  
  44.         model.addAttribute("message", msg);  
  45.         System.out.println(msg);  
  46.     } catch (UnknownAccountException e) {  
  47.         msg = "帐号不存在. There is no user with username of " + token.getPrincipal();  
  48.         model.addAttribute("message", msg);  
  49.         System.out.println(msg);  
  50.     } catch (UnauthorizedException e) {  
  51.         msg = "您没有得到相应的授权!" + e.getMessage();  
  52.         model.addAttribute("message", msg);  
  53.         System.out.println(msg);  
  54.     }  
  55.     return "login";  
  56. }  

如果输入不存在的用户名或是错误的密码界面上会有相应的提示信息。

 



 登录成功后,会转至首页,并显示出当前用户名。


yxl_num
关注
专栏目录
Shiro系列之Shiro+Spring MVC整合(Integration)
Chris Mao的专栏
10-21 11万+
Shiro系列之Shiro+Spring MVC整合第一步,Shiro Filter在web.xml文件中增加以下代码,确保Web项目中需要权限管理的URL都可以被Shiro拦截过滤。 shiroFilter org.springframework.web.filter.DelegatingFilterProxy
shiro+spring的Demo
11-03
- **Filter配置**:Shiro通过Filter实现Web层的拦截,Spring可以帮助管理这些Filter并整合Spring MVC的过滤器链中。 3. **数据库设计**: - 用户表:通常包含用户名、密码、角色等信息,用于认证和授权。 - ...
springmvc集成shiro
08-29
springmvc集成shiro安全框架,实现用户身份认证、权限管理
shiro详细配置
艾虎的专栏
01-15 1681
这里用的是SpringMVC-3.2.4和Shiro-1.2.2,示例代码如下 首先是web.xml [html] view plaincopyprint? xml version="1.0" encoding="UTF-8"?>  web-app version="2.5"      xmlns="http://java.sun.com/xml/ns/javae
SpringMVC整合Shiro
weixin_34246551的博客
06-24 133
为什么80%的码农都做不了架构师?>>> ...
shiro+spring+data+session+redis实现单点登录
08-03
在SSO中,Spring可以帮助整合各种组件,如ShiroSpring Data,同时管理会话状态。 **Spring Data** Spring Data是Spring的一个模块,它简化了数据访问层的开发,支持多种数据存储技术,如JPA、MongoDB、Redis等。...
shiro+spring mvc集成的实例源码
09-17
Apache ShiroSpring MVC 是两个在 Java Web 开发中广泛使用的框架。Shiro 主要负责应用程序的安全管理,如身份认证、授权(权限控制)、会话管理和加密等,而 Spring MVC 则是 Spring 框架的一部分,用于构建 ...
springMVC+mybatis+shiro+redis 项目整合demo
10-19
首先,`SpringMVC` 是 Spring 框架的一部分,它是一个模型-视图-控制器(MVC)架构的实现。SpringMVC 提供了强大的依赖注入(DI)和面向切面编程(AOP)功能,使得开发者可以轻松地构建松耦合、易于测试的Web应用。...
springMVC整合shiro框架
02-12
springMVC整合shiro框架,下载后直接可以运行,包含全部jar包,只需要springmvcshiro jar包的也可以下载
shiro+springmvc整合
03-25
1、shiro整合springmvc的一个简单的用户权限管理
Spring+SpringMVC+Hibernate+Shiro
08-23
Spring+SpringMVC+Hibernate+Shiro代码整合
springspringmvcshiro集成空框架
06-12
springspringmvcshiro集成空框架,包括jar包、配置文件。
Shiro(一)——简介、Spring + MVC + shiro 整合
qq_41824825的博客
01-19 479
Shiro 一、Shiro 1、Shiro的简介和由来 a、简介 b、由来 2、Shiro 有哪些功能 二、Spring + MVC + shiro 跟前面一样,可以整合 Spring + MVC + shiro。 从 Spring + MVC 开始整合 shiroSpring + MVC 整合部分就不放出来了。 通过使用 shiro 验证登录的例子,来学习怎么使用 shiro。 1、依赖导入 MVC 配置文件: 创建一个 User 实体类: 2、前端实现 jsp 页面: 3、登录逻辑 a
springmvc集成shiro(java安全框架)
UserGuan的博客
09-05 1388
什么是shiro pom.xml文件 jdbc.properties配置文件 spring-context.xml配置文件 spring-mybatis.xml配置文件 spring-shiro.xml配置文件 web.xml配置文件 userMapper.xml文件 Md5Util加密工具类 MyRealm工具类 User实体 UserDao层 UserService接口......
Shiro集成SpringMVC
海客森
06-27 1008
一个非凡的网站 http://www.hikson.com,RJ海客森 视频录制 git地址:https://gitee.com/hikseason/demo-spring-boot-all.git 视频地址:https://pan.baidu.com/s/19mrxCE9Y5R5ntSEg_EReOg 1.Shiro集成SpringMVC 就是定了了个过滤器shiroF...
Spring MVCShiro整合详解
"Spring MVC与Apache Shiro整合的相关学习资料" Spring MVC和Apache Shiro整合是Web应用中实现用户认证和授权的一种常见方法。Apache Shiro是一个强大且易用的Java安全框架,提供了身份验证(Authentication)、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值