Spring3与安全框架apache shiro的整合

最新推荐文章于 2025-11-24 18:02:47 发布
原创 最新推荐文章于 2025-11-24 18:02:47 发布 · 159 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache shiro #Spring3 #安全 #权限

本文介绍了如何将Apache Shiro安全框架与Spring框架整合,包括配置步骤、自定义Realm类及登录、登出代码示例。

 shiro是一个很不错的安全框架,相对Spring security 来说要简单易用的多,使用shiro来做web的权限子系统是不错的选择。

 

下面记录一下shiro和Spring整合的过程:

 

 

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:util="http://www.springframework.org/schema/util"
       xsi:schemaLocation="
       http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
       http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-3.0.xsd">

	<description>Shiro 配置</description>
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="/login.jsp" />
		<property name="successUrl" value="/index.jsp" />
		<property name="unauthorizedUrl" value="/login.do" />
		<property name="filterChainDefinitions">
			<value>
				/login.jsp = anon
				/login.do = anon
				/** = authc
               </value>
		</property>
	</bean>

	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<!--设置自定义realm-->
		<property name="realm" ref="monitorRealm" />
	</bean>

	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
	
	<!--自定义Realm 继承自AuthorizingRealm-->
	<bean id="monitorRealm" class="***module.system.security.MonitorRealm"></bean>
	<!-- securityManager -->
	<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
		<property name="staticMethod"
			value="org.apache.shiro.SecurityUtils.setSecurityManager" />
		<property name="arguments" ref="securityManager" />
	</bean>
	
	<!-- Enable Shiro Annotations for Spring-configured beans.  Only run after -->
	<!-- the lifecycleBeanProcessor has run: -->
	<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
    
</bean>
</beans>

 

 

将shiro的配置文件引入到web.xml中:

 

 

 

并在web.xml中加入如下代码:

 

 

 

 

<!-- Shiro Security filter -->
	<filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>

    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>*.do</url-pattern>
    </filter-mapping>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>*.jsp</url-pattern>
    </filter-mapping>

 

实现自己的Realm

 

@Service("monitorRealm")
public class MonitorRealm extends AuthorizingRealm {
	
	@Autowired UserService userService;
	@Autowired RoleService roleService;
	@Autowired LoginLogService loginLogService;
	
	public MonitorRealm(){
		super();

	}
	
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		/*这里编写授权代码*/
		
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken authcToken) throws AuthenticationException {
	/*这里编写认证代码*/
	}
	
	public void clearCachedAuthorizationInfo(String principal) {
		SimplePrincipalCollection principals = new SimplePrincipalCollection(principal, getName());
		clearCachedAuthorizationInfo(principals);
	}

}

 

登录时的代码示例:

 

Subject currentUser = SecurityUtils.getSubject();
        if(!currentUser.isAuthenticated()){
        	UsernamePasswordToken token;
            if(null == rememberMe)
            	token = new UsernamePasswordToken(user.getUsername(), EncryptUtils.encodeMD5String(user.getPassword()),false,request.getRemoteAddr());
            else token = new UsernamePasswordToken(user.getUsername(), EncryptUtils.encodeMD5String(user.getPassword()), true, request.getRemoteAddr());
            try {
            	currentUser.login(token);
            } catch ( AuthenticationException ae ) {
            	request.setAttribute("message", "用户名或密码错误!");
            	return "login";
            }
        }

 执行currentUser.login(token);这句代码时,shiro会自动调用用户实现的Realm的doGetAuthenticationInfo进行身份认证。

登出时的代码示例:

 

Subject currentUser = SecurityUtils.getSubject();
        if (currentUser != null) {
        	currentUser.logout();
        }
        HttpSession session = request.getSession(false);
        if( session != null ) {
            session.invalidate();
        }
		return "login";

 在对用户(角色)进行授权时会执行Realm里的doGetAuthorizationInfo方法。

 

OK简单的集成完成了,如果用cas或者Springsecurity恐怕没这么简单利索 哈哈。

 

还有其他的细节,注解、授权、安全标签等等 以后再贴吧。

 

补贴个图吧,公司安全做的太恶心,代码考不出来。



 

 

servlet3.0全注解spring整合shiro
weixin_30904593的博客
09-19 219
基本说明 基于Servlet3.0全注解配置的Spring整合Shiro 目录 配置文件 pom.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://mav...
安全框架Apache Shiro
码农的艺术
01-02 1383
Apache Shiro™ 是一个功能强大且易于使用的 Java 安全框架,可执行身份验证、授权、加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序 - 从最小的移动应用程序到最大的Web和企业应用程序。
Apache shirospring整合使用
qq_33271461的博客
07-22 355
apache shiro框架简介   Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。现在,使用Apache Shiro的人越来越多,因为它相当简单,相比比Spring Security,Shiro可能没有Spring Security那么多强大的功能,但是在实际工作时可能并不需要那么复杂的东西,所以使用简单...
spring boot 整合 shiro 框架
weixin_49107940的博客
11-02 1573
springboot 整合shiro
Spring Boot整合Apache Shiro权限认证框架(基础篇)
2501_92713943的博客
10-07 1313
Sa-Token、Apache ShiroSpring Security是我们常用的3权限认证框架,这篇文章教大家怎么在Spring Boot中整合Apache Shiro实现简单的认证和授权功能。如无其他说明,文字中涉及类的包都是在项目根包cn.edu.sgu.www.shiro下创建的。
Apache shiro学习笔记+ spring整合shiro (一)
iijik55的博客
09-01 345
换言之,使用 Shiro 的 API 编写的代码让您可以构建连接到 LDAP 服务器的命令行应用程序并且 web 应用程序内用来访问 LDAP 服务器的代码相同。由于 Shiro 提供具有诸多不同数据源的身份验证,以及 Enterprise Session Management,所以是实现单点登录(SSO)的理想之选 — 大型企业内的一个理想特性,因为在大型企业内,用户需要在一天内经常登录到并使用不同系统。或者,如果您更愿意自己添加这些项并进行配置,您也可以编写您自己的插件。此时,这个文件是空白的;...
shiro框架简介以及spring整合搭建
qq_41644069的博客
10-26 1154
1.shiro框架简介 1.1.shiro是什么? Apache Shiro是Java的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以完成:认证、授权、加密、会话管理、Web 集成、缓存等。 1.2.shiro基本功能 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用
Spring Boot整合Apache Shiro权限认证框架(应用篇)
2501_92713943的博客
10-07 956
权限访问控制通常会使用RBAC(Role-Based Access Control,基于角色的访问控制)模型。用户表角色表权限表用户-角色表角色-权限权限是分配给角色的,通过用户-角色表关联到用户,从而实现用户权限的访问控制。权限对应的就是项目中的接口资源信息,包括资源名称、资源URL等信息。
Apache Shiro“​​全栈式安全框架​​”简述
魏波
08-04 749
摘要: Apache Shiro是一款轻量级全栈Java安全框架,提供身份认证、授权、会话管理和加密等核心安全功能。其模块化设计支持灵活扩展,可对接多种数据源,适用于Web应用、微服务等场景。通过简洁API实现RBAC/PBAC权限控制,支持分布式会话和多种加密算法。相比Spring Security,Shiro具有无依赖、低学习成本、容器无关等优势,能快速集成到各类Java系统中,是企业级应用安全控制的理想选择。(150字)
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
1、本教程适用所有开发人员简单易懂,结合文章教程demo示例。 2、技术选型(全部目前最新版本) springboot、shiro、mybatis、mybatis plus、mysql、thymeleaf、 3、实现功能:登陆认证、密码加密、权限授权等 4、...
Apache shiro的简单介绍使用教程(spring整合使用)
01-11
 Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。现在,使用Apache Shiro的人越来越多,因为它相当简单,相比比Spring Security,Shiro可能没有Spring ...
Apache Shiro权限框架实战+项目案例视频课程
06-09
7. **Shiro其他框架整合**:如Spring框架的集成,使Shiro更好地融入现有的Java应用中。 在“Shiro项目案例”部分,你将接触到: 1. **简单登录注册系统**:通过一个实际的登录注册系统,展示Shiro的身份验证和...
Rust高性能Web后端服务开发Actix-Web实战分享:零成本抽象、高并发处理内存安全实践
2501_94181083的博客
11-23 753
数据序列化使用bincode替代 JSON:节省 30% CPU对热点代码进行#[inline]展开Netty 式 Reactor 模型减少线程调度开销批量 DB 提交减少 IO 压力缓存热点业务路径到 Redis最终整个平台达成:单机 QPS:18 万P99 延迟 < 30msCPU 占用在可控范围内资源释放完全可预期,无内存泄漏风险高性能,无 GC 停顿编译期保证内存安全,避免线上事故Actix-Web 性能强劲,适合高并发系统适合对性能和稳定性要求极高的互联网生产环境。
人工智能时代:以备案制度筑牢安全防线
qq_58995858的博客
11-24 377
人工智能技术快速发展带来安全隐患,如自动驾驶事故、算法歧视等问题凸显。国家出台备案制度,要求AI产品提交技术资料和数据样本,增强透明度。该制度通过算法可解释性、公平性评估等机制,有效降低技术风险,提升用户信任。备案不仅是合规要求,更是构建数字时代信任基石的关键举措,将推动AI行业健康有序发展。
详解Linux系统配置 rm 命令安全删除文件(Linux Mint, CentOS, RHEL, OpenEuler等系统服务器配置)
最新发布
Mr.L-OAM的博客
11-24 81
在Linux Mint,CentOS, RHEL,OpenEuler系统中,可以通过多种方式将rm -rf命令改为将文件移动到回收站而非永久删除:安装trash-cli工具并使用trash-put替代rm命令;创建bash别名将rm重定向到trash-put;使用图形化文件管理器(Nemo)的删除功能;创建自定义安全删除脚本;使用系统自带的gvfs-trash命令。此外,还提供了完整的回收站管理方案,包括文件列表查看、恢复、定期清理等功能,通过trash-manager脚本实现自动化回收站管理,防止误删。
安全配置类
weixin_55282974的博客
11-24 79
本文摘要:文章系统介绍了Web应用安全检测的关键要点,包括SSL证书有效性验证、HTTPS协议使用规范、认证方式选择以及Cookie安全属性设置等内容。
亚马逊云渠道商:如何利用AWS工具进行日常安全运维?
TG_yilong_cloud的博客
11-24 771
AWS云安全运维体系构建指南 摘要:针对云环境安全运维挑战,AWS通过深度集成的安全工具链提供高效解决方案。核心优势包括:1)服务集成,通过统一控制台实现集中管理;2)智能自动化,利用ML算法检测威胁并自动响应;3)成本优化,按需付费降低安全投入。实战流程涵盖持续监控、权限管理、漏洞修复和事件响应,典型场景包括新账户安全基线建设(2小时完成)和应急响应处理。该体系可减少60%运维工作量,将威胁响应时间从数周缩短至小时级,同时满足合规审计要求。
筑牢大模型安全防线:京东JoySafety和Meta LlamaFirewall两款主流开源安全框架解析
围炉漫谈间,一起深聊人工智能、大数据这类前沿科技领域的新动态,在这里为你拆解前沿技术百货的多样精彩。
11-23 1273
聚焦当前最流行的两款开源框架——京东JoySafety、Meta LlamaFirewall,从技术架构、核心能力到落地实践进行解析。
【2025-11-23】软件供应链安全日报:最新漏洞预警投毒预警情报汇总
jenchoi413的博客
11-24 526
2025年11月23日共发布14条漏洞预警,包括11条CVE漏洞和3条供应链投毒预警。CVE漏洞涉及Ashraf Kabir旅行社系统(5.3-5.1中危)、D-Link路由器(7.4高危)和Campcodes管理系统(6.9中危),主要风险为SQL注入和缓冲区溢出。供应链投毒预警包括PyPI的nspacercesolve组件窃取敏感信息、NPM的ddos-hunter组件勒索行为以及session-keeper等组件内嵌后门,影响多个版本。建议用户及时排查相关组件,高危漏洞需优先修复。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值