spring集成shiro

最新推荐文章于 2022-08-25 04:49:48 发布
最新推荐文章于 2022-08-25 04:49:48 发布
阅读量199 收藏 3
点赞数
分类专栏: L01-基础 文章标签: spring集成shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangbeizhen18/article/details/88776336
版权

场景: 
   本例实现用户/口令正常登入,并且实现@RequiresPermissions("sys:user:query")权限验证
1.本例环境
   1>.本例源码下载地址: https://github.com/zhangbeizhen/spring-shiro
   2>.本例环境 shiro + spring + mybatis + eclipse Mars + 基于maven的web项目
   3.1>. spring集成mybatis的源码下载地址: https://github.com/zhangbeizhen/spring-mybatis
   3.2>. spring集成mybatis参考博客地址:  https://blog.csdn.net/zhangbeizhen18/article/details/88575287   

2.本例说明
  本例是在spring集成mybatis的基础上进行集成shiro,本例是本人学习过程中为了适合更好理解shiro改造的domo
  参考了几个开源开源代码,感谢.
3.集成shiro配置文件分成3部分
3.1>在web.xml中配置

<!-- Apache Shiro start-->
<filter>
	<filter-name>shiroFilter</filter-name>
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	<init-param>
		<param-name>targetFilterLifecycle</param-name>
		<param-value>true</param-value>
	</init-param>
</filter>
<filter-mapping>
	<filter-name>shiroFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- Apache Shiro end-->

3.2>在spring-mvc.xml中配置  

<!-- 支持Shiro对Controller的方法级AOP安全控制 2019-3-21 start -->
<bean
	class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
	depends-on="lifecycleBeanPostProcessor">
	<property name="proxyTargetClass" value="true" />
</bean>
<bean
	class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
	<property name="exceptionMappings">
		<props>
			<prop key="org.apache.shiro.authz.UnauthorizedException">error/403</prop>
			<prop key="java.lang.Throwable">error/500</prop>
		</props>
	</property>
</bean>
<!-- 支持Shiro对Controller的方法级AOP安全控制 end -->

3.3>在spring-context-shiro.xml中配置    

<!-- Shiro权限过滤过滤器定义 -->
<bean name="shiroFilterChainDefinitions" class="java.lang.String">
	<constructor-arg>
		<value>
			/static/** = anon
			/login = authc
			/sys/login/**=anon
			/logout = logout
			/** = authc
		</value>
	</constructor-arg>
</bean>
<!-- 安全认证过滤器 shiroFilter-->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
	<property name="securityManager" ref="securityManager" />
	<property name="filterChainDefinitions">
		<ref bean="shiroFilterChainDefinitions"/>
	</property> 
</bean>
<!-- 定义Shiro安全管理配置 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
	<property name="realm" ref="myShiroRealm" />
</bean>
<!-- 注入盐属性2019-3-21 -->
<bean id="myShiroRealm" class="com.zbz.realm.MyShiroRealm">
	<property name="credentialsMatcher" ref="credentialsMatcher" />	 
</bean>
<bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
	<!-- 加密方式 -->
	<property name="hashAlgorithmName" value="MD5" />
	<!-- 加密次数 -->
	<property name="hashIterations" value="3" />
	<!-- 存储散列后的密码是否为16进制 -->
	<!-- <property name="storedCredentialsHexEncoded" value="true" /> -->
</bean>
<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<!-- AOP式方法级权限检查  -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
	<property name="proxyTargetClass" value="true" />
</bean>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
	<property name="securityManager" ref="securityManager"/>
</bean>

4.集成shiro的java代码
4.1自定义类继承实现抽象类org.apache.shiro.realm.AuthorizingRealm两个方法
<1>.protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
    此方法在登入时候调用进行登入认证,从数据库中获用户/口令等进行认证,认证成功后即登入了.

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
  logger.info("权限认证开始......");
  UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
  String username = usernamePasswordToken.getUsername();
  UserService userService = SpringUtil.getBean(UserService.class);
  User user = userService.getUser(username);
  if (user == null) {
  	throw new UnknownAccountException("用户名不存在");
  }
  if (!user.getPassword()
  		.equals(userService.passwordEncoder(new String(usernamePasswordToken.getPassword()), user.getSalt()))) {
  	throw new IncorrectCredentialsException("密码错误");
  }
  SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, user.getPassword(),
  		ByteSource.Util.bytes(user.getSalt()), getName());
  UserUtil.setUserSession(user);
  logger.info("权限认证结束......");
	return authenticationInfo;
}

<2>.protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals)
    此方法在登入成功后,再次进行访问后调用,进行授权,是否可以访问某个特定方法。

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
  logger.info("授权开始......");
  SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
  User user = UserUtil.getCurrentUser();
  List<Role> roles = SpringUtil.getBean(RoleDao.class).listByUserId(user.getId());
  Set<String> roleNames = new HashSet<String>();
  if (roles != null && roles.size() > 0) {
  	for (int i = 0; i < roles.size(); i++) {
  		Role role = roles.get(i);
  		if (!StringUtils.isEmpty(role.getName())) {
  			roleNames.add(role.getName());
  		}
  
  	}
  }
  authorizationInfo.setRoles(roleNames);
  List<Permission> permissionList = SpringUtil.getBean(PermissionDao.class).listByUserId(user.getId());
  UserUtil.setPermissionSession(permissionList);
  Set<String> permissions = new HashSet<String>();
  if (permissionList != null && permissionList.size() > 0) {
  	for (int i = 0; i < permissionList.size(); i++) {
  		Permission permission = permissionList.get(i);
  		if (!StringUtils.isEmpty(permission.getPermission())) {
  			permissions.add(permission.getPermission());
  		}
  	}
  }
  authorizationInfo.setStringPermissions(permissions);
  logger.info("授权结束......");
  return authorizationInfo;
}

4.2登入代码,即调用起点

@GetMapping("/sys/login")
public void login(String username, String password) {
  logger.info("登入开始....");
  UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, password);
  SecurityUtils.getSubject().login(usernamePasswordToken);
  // 设置shiro的session过期时间
  SecurityUtils.getSubject().getSession().setTimeout(30 * 60 * 60 * 1000);
  logger.info("登入完成....");
}

4.3测试权限方法
   本例测试是否有@RequiresPermissions("sys:user:query")权限,
   其中sys:user:query是shiro内部可解析的字符串,同时在数据库权限表中有配置好

@GetMapping("/{id}")
@RequiresPermissions("sys:user:query")
public User user(@PathVariable Long id) {
  logger.info("根据用户id获取用户开始");
  User user = userDao.getById(id);
  logger.info("根据用户id获取用户 结束");
  return user;
}

5.本例共计5张表
  sys_user用户表,sys_role角色表,sys_role_user用户与角色关系表,
  sys_permission权限表,sys_role_permission角色与权限关系表
6.测试url  
    登入: 
    http://127.0.0.1:8080/spring-shiro/sys/login?username=admin&password=admin
    测试权限:
    http://127.0.0.1:8080/spring-shiro/users/1

以上,TKS.

zhangbeizhen18
关注
专栏目录
Shiro(一):Shiro集成Spring(xml配置方式)
12程序猿的博客
10-10 1235
根据尚硅谷Shiro视频学习Shiro集成Spring、授权、认证、密码比对、多Realms、会话管理、缓存、记住我相关功能实现。 这边文章主要讲的是Shiro集成Spring。实现过程如下: 一、创建 spring+spring mvc 项目 在使用Myeclipse创建 spring+spring mvc 项目 文里已经详细介绍了,这里不再累赘。 二、shiro集成spring ### 1.引入 shiro的jar 包 下载地址: ...
spring-boot集成shiro
ltx1143181624的博客
09-15 664
spring-boot集成shiro
SpringMVC整合Shiro
weixin_30654583的博客
03-08 101
首先是web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instanc...
shiro整合applicationContext.xml
Ledis的博客
04-19 2173
shiro整合applicationContext.xml
spring-shiro.xml
北京Java青年
06-13 728
&lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="
详解Spring Boot 集成Shiro和CAS
08-30
Spring Boot 集成 Shiro 和 CAS 本文将详细介绍 Spring Boot 集成 Shiro 和 CAS 的知识点,帮助读者了解 Shiro 和 CAS 的概念、使用方法,以及它们在 Spring Boot 中的集成方式。 Shiro 介绍 Shiro 是一个开源的 ...
spring cloud + shiro集成方案
01-15
手把手教你集成spring cloud + shiro微服务框架;用最少的工作量,改造基于shiro安全框架的微服务项目,实现spring cloud + shiro 框架集成。博客地址:...
详解springshiro集成
08-29
在本文中,我们将深入探讨如何将Spring框架与Apache Shiro安全框架集成,以便在Java应用程序中实现用户认证和授权。Apache Shiro是一个轻量级的安全框架,它提供了一种简单的方式来处理身份验证、授权和会话管理。而...
springmvc 整合shiro 例子(一)
hins
08-26 1280
Shiro的maven依赖配置 pom.xml org.apache.shiro shiro-core ${shiro.version} org.apache.shiro shiro-web ${shiro.version} org.apache.shiro shiro-cas ${shiro.versio
spring+shiro 整合之自己注册会话和自写realm
爬虫 的博客
07-08 6369
Apache Shirojava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比SPRing Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。   因为我总结的是使用SpringMVC和Apache Shiro整合,注重的是整合和使用,至于基础,我
shiro 的 web.xml 和 spring-context.xml 配置过滤器名称与 bean ID相同
weixin_30278311的博客
09-27 317
shiro 源码 , 启动会去加载这个授权过滤器代理类的 filter name 的 bean,如果没有则报错。至于为什么要去加载这个 bean ,因为用到这个类,至于在哪里用到,未完待续。 转载于:https://www.cnblogs.com/yangzihong/p/11595917.html...
SpringMVC+Shiro整合配置文件详解
热门推荐
空城旧事的博客
11-03 2万+
在项目中xml文件的配置是必不可少的,特别是SpringMVC框架。但是几乎所有项目的配置都是大同小异,很多人都是直接复制黏贴了事,不少人对其具体含义及用途都不甚全知。本片文章将正对项目中常用的框架SpringMVC+Shiro进行整合,并对其中关键和部分常识性问题进行注释讲解,方便在以后的项目编写中查阅和熟悉。 1、web.xml文件的配置 所有javaweb项目第一步要做的就是对web
Spring整合Shiro进行权限控制!
mister_Wei的博客
09-30 456
在项目中xml文件的配置是必不可少的,特别是SpringMVC框架。但是几乎所有项目的配置都是大同小异,很多人都是直接复制黏贴了事,不少人对其具体含义及用途都不甚全知。本片文章将正对项目中常用的框架SpringMVC+Shiro进行整合,并对其中关键和部分常识性问题进行注释讲解,方便在以后的项目编写中查阅和熟悉。 1、web.xml文件的配置 所有javaweb项目第一步要做的就是对web.xm...
shiro整合springboot
qq_36387550的博客
07-14 144
shiro介绍 shiro是apache的一款开源安全管理框架,帮助开发者进行身份验证,授权等安全管理。 优点:1、shiro提供一整套security对象身份信息验证,授权方法,且提供内部验证机制,使身份信息保密验证,更具有安全性。 2、shiro提供一套资源控制机制,开发者可自定义资源访问权限和访问条件。 一、步骤 1、导包 <!-- shiro --> <dependency> <groupId>org.apache.shi
SpringMVC整合ShirofilterChainDefinitions过滤器配置
m0_67401270的博客
08-25 1454
port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString。* @see 根据请求的方法,相当于/admins/user/**=perms[user:method],其中method为post,get,delete等。
shiro使用注解式和jsp标签的方式进行开发
oppoppoppo的专栏
02-15 8014
原先的时候可以使用url的shiro配置方式进行拦截,但是发现url地址过多会配置繁琐,解决的方式就是使用aop注解式和jsp标签进行开发 原来的方式 ${adminPath}/sysindex.html = anon /static/** = anon <!-- 对应某个链接需要某个权限 取消这种url使用AOP注解 ${admi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值