Shiro权限框架

最新推荐文章于 2025-05-01 16:37:28 发布
最新推荐文章于 2025-05-01 16:37:28 发布
阅读量92 收藏
点赞数
文章标签: web.xml java
本文详细介绍了如何在开发系统中利用Apache Shiro实现权限管理,包括添加过滤器、配置权限认证类、Spring配置文件设置及登录、注销、用户登录状态管理等关键步骤。与Spring Security相比,Shiro提供了更简洁易用的接口,适用于初学者快速上手。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

开发系统中,少不了权限,目前java里的权限框架有SpringSecurity和Shiro(以前叫做jsecurity),对于SpringSecurity:功能太过强大以至于功能比较分散,使用起来也比较复杂,跟Spring结合的比较好。对于初学SpringSecurity者来说,曲线还是较大,需要深入学习其源码和框架,配置起来也需要费比较大的力气,扩展性也不是特别强。

对于新秀Shiro来说,好评还是比较多的,使用起来比较简单,功能也足够强大,扩展性也较好。听说连Spring的官方都不用SpringSecurity,用的是Shiro,足见Shiro的优秀。网上找到两篇介绍:http://www.infoq.com/cn/articles/apache-shirohttp://www.ibm.com/developerworks/cn/opensource/os-cn-shiro/,官网http://shiro.apache.org/,使用和配置起来还是比较简单。下面只是简单介绍下我们是如何配置和使用Shiro的(暂时只用到了Shiro的一部分,没有配置shiro.ini文件)。

首先是添加过滤器,在web.xml中:

<filter>

<filter-name>shiroFilter</filter-name>

<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

<init-param>

<param-name>targetFilterLifecycle</param-name>

<param-value>true</param-value>

</init-param>

</filter>

<filter-mapping>

<filter-name>shiroFilter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

权限的认证类:

publicclassShiroDbRealmextendsAuthorizingRealm{

@Inject

privateUserServiceuserService;

/**

*认证回调函数,登录时调用.

*/

protectedAuthenticationInfodoGetAuthenticationInfo(AuthenticationTokenauthcToken)
throwsAuthenticationException{

UsernamePasswordTokentoken=(UsernamePasswordToken)authcToken;

Useruser=userService.getUserByUserId(token.getUsername());

if(user!=null){

returnnewSimpleAuthenticationInfo(user.getUserId(),user.getUserId(),getName());

}else{

returnnull;

}

}

/**

*授权查询回调函数,进行鉴权但缓存中无用户的授权信息时调用.

*/

protectedAuthorizationInfodoGetAuthorizationInfo(PrincipalCollectionprincipals){

StringloginName=(String)principals.fromRealm(getName()).iterator().next();

Useruser=userService.getUserByUserId(loginName);

if(user!=null){

SimpleAuthorizationInfoinfo=newSimpleAuthorizationInfo();

info.addStringPermission("common-user");

returninfo;

}else{

returnnull;

}

}

}

Spring的配置文件:

<?xmlversion="1.0"encoding="UTF-8"?>

<beans>

<description>ShiroConfiguration</description>

<beanclass="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>

<beanid="securityManager"class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

<propertyname="realm"ref="shiroDbRealm"/>

</bean>

<beanid="shiroDbRealm"class="com.company.service.common.shiro.ShiroDbRealm"/>

<beanid="shiroFilter"class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

<propertyname="securityManager"ref="securityManager"/>

<propertyname="loginUrl"value="/common/security/login"/>

<propertyname="successUrl"value="/common/security/welcome"/>

<propertyname="unauthorizedUrl"value="/common/security/unauthorized"/>

<propertyname="filterChainDefinitions">

<value>

/resources/**=anon

/manageUsers=perms[user:manage]

/**=authc

</value>

</property>

</bean>

<beanid="lifecycleBeanPostProcessor"class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

<beanclass="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"depends-on="lifecycleBeanPostProcessor"/>

<beanclass="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">

<propertyname="securityManager"ref="securityManager"/>

</bean>

</beans>

登录的Controller:

@Controller

@RequestMapping(value="/common/security/*")

publicclassSecurityController{

@Inject

privateUserServiceuserService;

@RequestMapping(value="/login")

publicStringlogin(StringloginName,Stringpassword,
HttpServletResponseresponse,HttpServletRequestrequest)throwsException{

Useruser=userService.getUserByLogin(loginName);

if(null!=user){

setLogin(loginInfoVO.getUserId(),loginInfoVO.getUserId());

return"redirect:/common/security/welcome";

}else{

return"redirect:/common/path?path=showLogin";

}

};

publicstaticfinalvoidsetLogin(StringuserId,Stringpassword){

SubjectcurrentUser=SecurityUtils.getSubject();

if(!currentUser.isAuthenticated()){

//collectuserprincipalsandcredentialsinaguispecificmanner

//suchasusername/passwordhtmlform,X509certificate,OpenID,etc.

//We'llusetheusername/passwordexampleheresinceitisthemostcommon.

//(doyouknowwhatmoviethisisfrom?;)

UsernamePasswordTokentoken=newUsernamePasswordToken(userId,password);

//thisisallyouhavetodotosupport'rememberme'(noconfig-builtin!):

token.setRememberMe(true);

currentUser.login(token);

}

};

@RequestMapping(value="/logout")

@ResponseBody

publicvoidlogout(HttpServletRequestrequest){

Subjectsubject=SecurityUtils.getSubject();

if(subject!=null){

subject.logout();

}

request.getSession().invalidate();

};

}

注册和获取当前登录用户:

publicstaticfinalvoidsetCurrentUser(Useruser){

SubjectcurrentUser=SecurityUtils.getSubject();

if(null!=currentUser){

Sessionsession=currentUser.getSession();

if(null!=session){

session.setAttribute(Constants.CURRENT_USER,user);

}

}

};

publicstaticfinalUsergetCurrentUser(){

SubjectcurrentUser=SecurityUtils.getSubject();

if(null!=currentUser){

Sessionsession=currentUser.getSession();

if(null!=session){

Useruser=(User)session.getAttribute(Constants.CURRENT_USER);

if(null!=user){

returnuser;

}

}

}

};

需要的jar包有3个:shiro-core.jar,shiro-spring.jar,shiro-web.jar。感觉shiro用起来比SpringSecurity简单很多

iteye_19737
关注
shiro 权限框架
qq_45939159的博客
03-01 4440
shiro 是什么 shiro 是一个功能强大和易于使用的Java安全框架,为开发人员提供一个直观而全面的解决方案的认证,授权,加密,会话管理。 二 shiro 能干什么 shiro 四个主要的功能 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,判断某个已经认证过的用户是否拥有某些权限访问某些资源,一般授权会有角色授权和权限授权; SessionManager:会话管理,即用户登录后就是一次..
在前后端分离的SpringBoot项目中集成Shiro权限框架_springboot shiro 权限管理系统
2401_87555420的博客
10-27 763
传统结构项目中,shiro从cookie中读取sessionId以此来维持会话,在前后端分离的项目中(也可在移动APP项目使用),我们选择在ajax的请求头中传递sessionId,因此需要重写shiro获取sessionId的方式。当在某个项目中引入spring-boot-shiro模块时,只需要在配置文件中加入shiro数据源及redis的相关配置,并在DataSourceConfig加入shiro数据源Bean即可。在项目中,权限相关表可能不在业务库中,因此有必要单独配置权限相关表的数据源。
X509证书信任管理器类的实现及应用
legend_x的专栏
05-20 3362
X509证书信任管理器类的实现及应用   (2011-09-20 10:27:18) 转载▼ 标签:  杂谈   在JSSE中,证书信任管理器类就是实现了接口X509TrustManager的类。我们可以自己实现该接口,让它信任我们指定的证书。   接口X509TrustManager有下述三个公有的方法需要我们实现:
shiro权限框架
欢迎来到编程小栈
04-20 2681
文章目录Shiro架构与功能介绍1.认证与授权相关基本概念2.Shiro四大核心功能3.Shiro三个核心组件spring security和shiro的区别相同点:不同点:第一章 权限概述1、什么是权限2、认证概念【1】什么是认证【2】认证流程【3】关键对象3、授权概念【1】什么是授权【2】授权流程【3】关键对象第二章 Shiro概述1、Shiro简介【1】什么是Shiro?【2】Shiro 的特点2、核心组件第三章 Shiro入门1.1什么是shiro1.2shiro功能简介2.1外部来看Shiro2
简单易上手- Shiro 权限框架
oyang的博客
08-24 1038
shiro是apache的一个开源框架,是一个权限控制器框架,在应用程序角度来观察如何使用Shiro, securityManager:安全管理器,域:Realm(与开发相关的)-> 主要负责安全数据,安全管理器:securityManager -> 管理系统中的所有用户,主体:subject -> 当前用户,认证 -> 接管了用户登录操作,授权 -> 接管管理系统资源的分配,Spring web 集成 监听器ContextLoadListener
SpringBoot教程(三十) | SpringBoot集成Shiro权限框架
qq_20236937的博客
09-20 999
SpringBoot集成Shiro权限框架
Shiro权限框架数据库表设计
心之所向博客
11-26 2004
表设计 权限管理需要的基本表有5个 如下: sys_users用户表 sys_roles角色表 sys_permissions权限表(或资源表) sys_users_roles用户-角色关联表 sys_roles_permissions角色-权限关联表(或角色-资源关联表) 用户表: 角色表: 权限表: 用户角色表: 角色权限表: 最后上完整代码: ...
Shiro权限框架认证和授权原理介绍
m0_67393827的博客
04-07 1010
1、简介 shiro是一个安全框架,是Apache的一个子项目。shiro提供了:认证、授权、加密、会话管理、与web集成、缓存等模块。 1.1、模块介绍 Authentication:用户身份识别,可以认为是登录; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限。 Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的
Java】一文带你快速入门Shiro权限框架
当下的快乐永远最简单!
11-04 1825
与案例相结合,细致讲解Java中火热的权限框架之一[Shiro框架]
Apache Shiro权限框架
fwdwqdwq的博客
09-01 444
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。...
Apache Shiro权限框架实战+项目案例视频课程
06-09
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能。本课程旨在通过实战演练和项目案例,帮助学习者深入理解...
Shiro权限框架由浅入深讲解教程课件
01-07
Apache Shiro 是一个轻量级的 Java 安全框架,主要负责身份验证、授权、加密以及会话管理。它的设计目标是简化应用安全的实现,让开发者能够快速地为各种类型的程序添加安全特性,从简单的命令行应用到复杂的 web ...
由浅入深掌握Shiro权限框架资料.zip
07-31
2、shiro权限框架的核心组件;3、springboot下shiro的使用; 4、shiro认证鉴权的缓存机制;5、分布式下使用shrio处理统一会话;6、密码重试次数,并发登录控制;7、前后端分离的鉴权方式;8、建立分布式统一鉴权系统...
由浅入深掌握Shiro权限框架视频教程
08-12
​ 2、shiro权限框架的核心组件 ​ 3、springboot下shiro的使用 ​ 4、shiro认证鉴权的缓存机制 ​ 5、分布式下使用shrio处理统一会话 ​ 6、密码重试次数,并发登录控制 ​ 7、前后端分离的鉴权方式 ​ 8、...
Spring MVC 基础 - 从零构建企业级Web应用
weixin_46619605的博客
04-28 1286
Spring MVC 基础 - 从零构建企业级Web应用
一些系统运维、漏洞扫描、服务器配置等相关记录
baikunlong的博客
04-29 319
ANALYZE TABLE 是 MySQL 中用于更新表的统计信息的命令,目的是帮助查询优化器生成更有效的查询计划,从而提高查询性能。
Spring MVC 与 FreeMarker 整合
最新发布
yuren_xia的博客
05-01 858
通过以上步骤,即可完成 Spring MVC 与 FreeMarker 的无缝整合,实现动态模板渲染。
基于ssm的校园外卖配送系统(源码+文档)
luoluoal的博客
04-30 1656
校园外卖配送系统的主要使用者分为:1、用户的功能及权限用户登录注册后,进入系统对个人中心,订单信息管理,订单取消管理,配送接单管理,取消配送管理,送达通知管理等功能进行操作管理。2、配送员的功能及权限用户登录注册后,进入系统对个人中心,订单信息管理,配送接单管理,取消配送管理,送达通知管理等功能进行操作管理。3、管理员的功能及权限用户信息的添加和管理,校园外卖配送详细信息添加和管理和文档信息添加和管理以及网站信息管理,这些都是管理员的功能💕💕作者:落落。
Shiro权限框架整合教程
"本文主要介绍如何在项目中集成Apache Shiro权限框架,以及Shiro的基本概念和权限系统设计。Shiro是一个轻量级且易于使用的权限管理框架,与Spring Security等相比,它提供了更为简洁的API。Shiro的核心功能包括认证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值