项目中用到Shiro安全配置用于系统的登录和权限认证

最新推荐文章于 2023-10-19 13:35:43 发布
最新推荐文章于 2023-10-19 13:35:43 发布
阅读量2.1k 收藏
点赞数
分类专栏: shiro 文章标签: filter shiro 框架

自己的项目中很多都用到了Shiro的配置来管理验证登录和权限认证,所以自己简单的小结一下,这里暂时只解释登录验证这一块。

(1)首先在项目的WEB-INF目录下的web.xml配置中:
\

加上

 01 <!-- Shiro Security filter -->

02  <filter> 

03      <filter-name>shiroFilter</filter-name> 

04      <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> 

05  </filter> 

06  <filter-mapping> 

07      <filter-name>shiroFilter</filter-name> 

08      <url-pattern>*.htm</url-pattern> 

09      <dispatcher>REQUEST</dispatcher> 

10      <dispatcher>FORWARD</dispatcher> 

11  </filter-mapping> 

12  <filter-mapping> 

13      <filter-name>shiroFilter</filter-name> 

14      <url-pattern>*.json</url-pattern> 

15      <dispatcher>REQUEST</dispatcher> 

16      <dispatcher>FORWARD</dispatcher> 

17  </filter-mapping> 

18  <filter-mapping> 

19      <filter-name>shiroFilter</filter-name> 

20      <url-pattern>*.jsp</url-pattern> 

21      <dispatcher>REQUEST</dispatcher> 

22      <dispatcher>FORWARD</dispatcher> 

23  </filter-mapping> 

24  <!-- Shiro Security filter -->

上面的配置是对请求地址后缀的过滤和转发

这里我的欢迎页的配置直接配置login.jsp了。还是在web.xml中最后加上
 <welcome-file-list>
        <welcome-file>login.jsp</welcome-file>
    </welcome-file-list>

 


(2)在项目的上下文配置applicationContext.xml中加上:

 <import resource="security/applicationContext-shiro.xml" />

这样的话,就能引入applicationContext-shiro.xml的配置,在这个配置中

全文配置如下:

 01 <?xml version="1.0" encoding="UTF-8"?> 

02 <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

03        xmlns:util="http://www.springframework.org/schema/util"

04        xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.1.xsd http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-2.0.xsd"

05        default-lazy-init="true"> 

06   

07     <description>Shiro安全配置</description> 

08   

09     <!-- Shiro's main business-tier object for web-enabled applications -->

10     <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> 

11         <property name="realm" ref="shiroDbRealm" /> 

12         <property name="cacheManager" ref="shiroEhcacheManager" /> 

13     </bean> 

14   

15     <!-- 項目自定义的Realm -->

16     <bean id="shiroDbRealm" class="com.baishi.website.User.MyDbRealm"> 

17         <property name="userService" ref="userService"/> 

18         <!-- 可配置cache token<->认证信息的cache,用于REST等需要频繁认证的场景 -->

19         <!--<property name="authorizationCachingEnabled" value="true"/>-->

20     </bean> 

21   

22     <bean id="myAuthc" class="com.baishi.website.base.filter.MyFormAuthenticationFilter"/> 

23   

24     <!-- Shiro Filter -->

25     <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> 

26         <property name="securityManager" ref="securityManager" /> 

27         <property name="loginUrl" value="/login.htm" /> 

28         <property name="successUrl" value="/admin.htm" /> 

29         <property name="unauthorizedUrl" value="/unauthorized.htm"/> 

30         <property name="filters"> 

31             <util:map> 

32                 <entry key="myAuthc" value-ref="myAuthc"/> 

33             </util:map> 

34         </property> 

35         <property name="filterChainDefinitions"> 

36             <value> 

37                 /logout.htm = logout 

38                 /** = myAuthc 

39             </value> 

40         </property> 

41     </bean> 

42   

43     <!-- 用户授权信息Cache, 采用EhCache -->

44     <bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> 

45         <property name="cacheManagerConfigFile" value="classpath:security/ehcache-shiro.xml"/> 

46     </bean> 

47   

48     <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->

49     <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> 

50   

51     <!-- AOP式方法级权限检查  -->

52     <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"> 

53         <property name="proxyTargetClass" value="true" /> 

54     </bean> 

55     <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> 

56         <property name="securityManager" ref="securityManager"/> 

57     </bean> 

58 </beans>
这里面我们关注的是:項目自定义的Realm,在我的目录下com.baishi.website.User.MyDbRealm找到 MyDbRealm这个类
MyDbRealm类的代码如下:
\

 01 package com.baishi.website.User; 

02   

03 import com.baishi.website.entity.Users; 

04 import org.apache.shiro.authc.*; 

05 import org.apache.shiro.authz.AuthorizationInfo; 

06 import org.apache.shiro.authz.SimpleAuthorizationInfo; 

07 import org.apache.shiro.realm.AuthorizingRealm; 

08 import org.apache.shiro.subject.PrincipalCollection; 

09   

10 public class MyDbRealm extends AuthorizingRealm { 

11   

12     private UserService userService; 

13   

14     /** 

15      * 认证回调函数,登录时调用. 

16      */ 

17     @Override 

18     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { 

19         UsernamePasswordToken upToken = (UsernamePasswordToken) token; 

20         Users user = userService.findUserByLoginName(upToken.getUsername()); 

21         if (user == null) { 

22             throw new UnknownAccountException("No account found for user [" + user.getUsername() + "]"); 

23         } 

24   

25         return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); 

26     } 

27   

28     /** 

29      * 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用. 

30      */ 

31     @Override 

32     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { 

33         Users user = (Users) principals.fromRealm(getName()).iterator().next(); 

34         //user = userService.findAuthDetails(user); 

35         if (user != null) { 

36             SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); 

37 //          for (Role role : user.getRoles()) { 

38 //              //基于Role的权限信息 

39 //              info.addRole(role.getName()); 

40 //          } 

41 //          info.addStringPermissions(user.getPermissions()); 

42             return info; 

43         } else { 

44             return null; 

45         } 

46     } 

47   

48     public void setUserService(UserService userService) { 

49         this.userService = userService; 

50     } 

51 }
其中你只要关注:认证回调函数,登录时调用这个方法,到时候断点到这里看一下验证。
继续解释applicationContext-shiro.xml的配置:其中MyFormAuthenticationFilter这个类是超时的类配置:

代码如下:

package com.baishi.website.base.filter;

import org.apache.ibatis.logging.LogFactory;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class MyFormAuthenticationFilter extends FormAuthenticationFilter {


static {
LogFactory.useStdOutLogging();
}


@Override
protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
HttpServletRequest request1 = (HttpServletRequest) request;
HttpServletResponse response1 = (HttpServletResponse) response;
String uri = request1.getRequestURI();
if (uri.endsWith(".json")) {
response1.setHeader("sessionstatus", "timeout");
} else {
saveRequest(request);
redirectToLogin(request, response);
}
}
}

 

 

继续解释配置中<property name="loginUrl" value="/login.htm" />

<property name="successUrl" value="/admin.htm" />

两个属性对应的是登录和成功登录后的两个页面,这里我是在webapp根目录的两个页面:

 

\

其中login,jsp的页面代码:


01 <%@ page language="java" contentType="text/html" pageEncoding="UTF-8"%> 

02 <%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %> 

03   

04 <% 

05     String path = request.getContextPath(); 

06     String basePath = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() + path + "/"; 

07 %> 

08 <html> 

09 <head> 

10   <base href="<%=basePath%>"> 

11   <title>博客后台登陆</title> 

12     <shiro:authenticated> 

13     <script type="text/javascript"> 

14         window.location.href = 'index.htm'; 

15     </script> 

16     </shiro:authenticated> 

17 </head> 

18   

19 <body> 

20 <p>用户登录</p> 

21   

22  <form id="form1" name="form1" method="post" action="login.htm"> 

23 <input type="hidden" name="method" value="login" /> 

24   <table width="335" height="84" border="0" cellpadding="1" cellspacing="1"> 

25     <tr> 

26       <td>用户名:</td> 

27       <td><label> 

28         <input type="text" name="username" id="username" /> 

29       </label></td> 

30     </tr> 

31     <tr> 

32       <td>密码:</td> 

33       <td><label> 

34         <input type="password" name="password" id="password" /> 

35       </label></td> 

36     </tr> 

37     <tr> 

38       <td><label> 

39         <input type="submit" name="button" id="button" value="登录" /> 

40       </label></td> 

41       <td><label></label></td> 

42     </tr> 

43   </table> 

44 </form> 

45 <p>&nbsp; </p> 

46 </body> 

47   

48 </html>
其中引入shiro的标签,并且
1 <shiro:authenticated> 

2     <script type="text/javascript"> 

3         window.location.href = 'index.htm'; 

4     </script> 

5     </shiro:authenticated>

重定向到index.htm这个页面。

另外在applicationContext-shiro.xml的配置中引入

<!-- 用户授权信息Cache, 采用EhCache -->
<bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile" value="classpath:security/ehcache-shiro.xml"/>
</bean>

ehcache-shiro.xml的配置如下:

view sourceprint?01 <ehcache updateCheck="false" name="shiroCache"> 

02   

03     <defaultCache

04             maxElementsInMemory="10000"

05             eternal="false"

06             timeToIdleSeconds="120"

07             timeToLiveSeconds="120"

08             overflowToDisk="false"

09             diskPersistent="false"

10             diskExpiryThreadIntervalSeconds="120"

11             /> 

12 </ehcache>
到此 applicationContext-shiro.xml的配置就完成了。
现在实际操作的时候,在用户的Controller类中,我们写上简单代码:

 01 package com.baishi.website.User; 

02   

03 import com.alibaba.fastjson.JSON; 

04 import com.baishi.website.base.support.BaseControllerSupport; 

05 import com.baishi.website.entity.Users; 

06 import org.springframework.stereotype.Controller; 

07 import org.springframework.ui.Model; 

08 import org.springframework.web.bind.annotation.RequestMapping; 

09 import org.springframework.web.bind.annotation.RequestMethod; 

10 import javax.annotation.Resource; 

11 import javax.servlet.http.HttpServletRequest; 

12 import java.util.List; 

13 import java.util.Map; 

14   

15 @Controller 

16 @RequestMapping 

17 public class UserController extends BaseControllerSupport { 

18    /** 

19      * 用户登录后台 

20      */ 

21     @RequestMapping(value = "/login", method = RequestMethod.POST) 

22     public String home(){ 

23         return  "login"; 

24     } 

25   

26     @RequestMapping(value = "/login", method = RequestMethod.GET) 

27     public String login() { 

28         return "login"; 

29     } 

30   

31     @RequestMapping(value = {"admin","index"}) 

32     public String admin() { 

33         return "admin"; 

34     }
view sourceprint?1 }

最后还要说的是在MyDbRealm类中findUserByLoginName()这个方法,自己简单的在service层写一个根据用户名查询数据库的方法就行了,在xml 中的查询语句:

  <select id="findByLoginName" parameterType="String" resultType="Users">
SELECT
*
FROM users
WHERE
username=#{username}
LIMIT 1
</select>

到此就简单的介绍了,用shiro验证登录的配置。解释一下整个过程的流程吧,启动tomcat,首先进入web.xml中过滤→到Controller类中转到视图页面login.jsp→进入了登录的页面,填入信息提交→到MyDbRealm类中验证回调的方法→验证成功后重定向到主页admin.htm

zheng963
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot Shiro实战
11-14
在Spring Boot集成Shiro,可以了解到如何使用Spring MVC,;如何使用Spring Data JPA进行数据的持久化;如何使用Shiro安全框架;如何使用Thymeleaf模板引擎;如何使用ehcache缓存管理!
Shrio安全框架简介
青藤的博客
08-20 1147
②从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro配置多个Realm是可以的,但是至少需要一个。也就是说,当对用户执行认证登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm查找用户及其权限信息。Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话;Caching:缓存,比如用户登录后,其用户信息、拥有的角色 / 权限不必每次去查,这样可以提高效率;
Shiro介绍以及各功能的使用
weixin_43967582的博客
12-18 999
Shiro学习 官方文档 什么是shiro Apache Shiro 是一个强大而灵活的开源安全框架,可是实现身份验证、授权、企业会话管理和加密。 整体框架 Subject:当前与软件交互的实体(用户、第 3 方服务、cron 作业等)的特定于安全的“视图”。 SecurityManager: 是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行拦截并控制;它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理 Authenticator:认证
Shiro基础概念和使用场景
小安安
08-25 764
概述 Shiro是Apache旗下的一个开源项目,它是一个非常易用的安全框架,提供了包括认证、授权、加密、会话管理等功能,与Spring Security一样属基于权限安全框架,但是与Spring Security 相比,Shiro使用了比较简单易懂易于使用的授权方式。Shiro属于轻量级框架,相对于Spring Security简单很多,并没有security那么复杂。 优势特点 它是一个功能强大、灵活的、优秀的、开源的安全框架。 它可以胜任身份验证、授权、企业会话管理和加密等工作。 它易于使
什么是shiroShiro能干嘛?
drnrrwfs的博客
08-27 399
Apache Shiro 是Java 的一个安全框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。...
springboot与shiro整合—登录认证权限管理实例项目
04-16
在本文,我们将深入探讨如何将Spring Boot与Apache Shiro整合,实现登录认证权限管理的实例项目。这个项目对于初学者来说是一个很好的实践平台,它可以帮助开发者将理论知识转化为实际应用。 首先,Spring Boot...
Shiro安全登录认证权限授权封装模块代码
01-23
在这个项目,你得到了一个基于 Shiro安全登录认证权限授权的封装模块代码。这个模块可能已经被集成到 SpringBoot 和 MyBatis 框架,使得在 SpringBoot 应用轻松实现用户的身份验证权限控制。 1. **...
shiro+SSM实现安全登录项目
06-19
项目"shiro+SSM实现安全登录"旨在演示如何结合Spring、SpringMVC和MyBatis(SSM)框架与Apache Shiro库来构建一个安全登录系统。下面我们将深入探讨这一主题。 **一、Shiro简介** Apache Shiro是一款强大且易用...
基于Springboot和Shiro权限管理系统设计源码
04-09
项目提供了一个基于Springboot和Shiro权限管理系统,通过界面交互和功能模块,为用户提供了一个高效、易用的权限管理解决方案。该系统流程详细、代码干净、配置简单,非常适合初学者上手学习。
基于Java和Shiro权限管理系统设计源码
最新发布
04-18
项目是基于Java和Shiro权限管理系统设计源码,包含1343个文件,其主要包含462个js脚本,267个html页面,148个java文件,129个css样式表等。系统后端采用jboot框架,前端使用layui进行界面设计,集成了Shiro来...
shiro 框架使用实例
m0_66557301的博客
08-24 280
用户角色表:tom是admin和normal角色,jack是manager和normal角色,rose是normal角色。权限表:admin角色可以删除,manager角色可以添加和更新,normal角色可以查看。一个用户可以有多种角色(normal,manager,admin等等)我有一个论坛,注册的用户分为normal用户,manager用户。添加,删除,更新等对应的是权限(permission)normal,manager对应的是角色(role)添加,删除,更新,查看,回复。角色表:设置3个角色。
Shiro安全框架登录验证实例解析,打造可信赖的应用系统
Reische的博客
10-19 381
2)当运行一个Web应用程序时,Shiro将会创建一些有用的默认Filter实例,并自动地在[main]项将它们置为可用自动地可用的默认的Filter实例是被DefaultFilter枚举类定义的,枚举的名称字段就是可供配置的名称。1)Shiro验证URL时,URL匹配成功便不再继续匹配查找(所以要注意配置文件的URL顺序,尤其在使用通配符时),故filterChainDefinitions的配置顺序为自上而下,以最上面的为准。(2)授权,即权限验证验证某个已认证的用户是否拥有某个权限
shiro实战案例
ITzhongzi的博客
03-07 1108
结构 概念介绍 Subject 我们把用户或者程序称为主体(如用户,第三方服务,cron作业),主体去访问系统或者资源 SecurityManager 安全管理器,Subject的认证和授权都要在安全管理器下进行 Authenticator 认证器,主要负责Subject的认证 Realm 数据域,Shiro安全数据的连接器,好比jdbc连接数据库; 通过realm获取认证授权相关信息 Authorizer 授权器,主要负责Subject的授权, 控制subject拥有的角色或者权限
shiro 权限框架
qq_45939159的博客
03-01 4372
shiro 是什么 shiro 是一个功能强大和易于使用的Java安全框架,为开发人员提供一个直观而全面的解决方案的认证,授权,加密,会话管理。 二 shiro 能干什么 shiro 四个主要的功能 Authentication:身份认证/登录验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,判断某个已经认证过的用户是否拥有某些权限访问某些资源,一般授权会有角色授权和权限授权; SessionManager:会话管理,即用户登录后就是一次..
Shiro简单小案例
baidu_41936920的博客
07-08 490
shiro
Unsupported major.minor version 52.0报错问题解决方案
u012131610的博客
10-17 1079
52.0 对应的就是java1.8 这应该是编译时的版本是1.8,但是运行时的版本比1.8低(没试过如果比1.8高的话会不会报错,本人是因为运行环境是java 1.6) 通过java -version 看到的版本也是1.6 但是我装过java 1.8啊,而且cat /etc/profile 版本也是export JAVA_HOME=/usr/local/java/jdk1...
写一个shiro权限认证登录代码java
05-10
好的,以下是一个基本的 shiro 权限认证登录代码示例: ```java import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.subject.Subject; ......

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值