shiro与spring配合

最新推荐文章于 2022-10-04 10:06:15 发布
最新推荐文章于 2022-10-04 10:06:15 发布
阅读量175 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: shiro 文章标签: shiro 从数据库读权限 密码加密 ajax处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iteye_9219/article/details/82554894
本文介绍如何使用Shiro进行权限管理,包括配置流程、自定义Realm及过滤器等关键步骤。通过具体实例展示了如何实现登录认证、角色权限验证等功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

之前一直使用spring security来做安全管理,感觉配置稍微有点复杂,于是尝试了下shiro,感觉的确简单不少。记录下配置和实现过程。

因为还是spring的底子,所以用的shiro-spring,首先用maven把相关包弄下来

dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-spring</artifactId>
	<version>${shiro.version}</version>
</dependency>

 我用的版本是1.2.2

然后开始增加shiro的配置文件,xml里增加了shiro的配置引入,同时增加相应的filter

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>
    	classpath*:/application-root.xml,
	classpath*:/application-shiro.xml
	</param-value>
  </context-param>
<!-- shiro security filter -->
	<filter>
	    <!-- 这里的filter-name要和spring的applicationContext-shiro.xml里的
	            org.apache.shiro.spring.web.ShiroFilterFactoryBean的bean name相同 -->
	    <filter-name>shiroFilter</filter-name>
	    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	    <init-param>
	        <param-name>targetFilterLifecycle</param-name>
	        <param-value>true</param-value>
	    </init-param>
	</filter>
	
	<filter-mapping>
	    <filter-name>shiroFilter</filter-name>
	    <url-pattern>/*</url-pattern>
	</filter-mapping>

 下面是shiro的配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd"
	default-lazy-init="true">

	<description>Shiro安全配置</description>

	<bean id="chainDefinitionSectionMetaSource" class="xxx.xxx.ChainDefinitionSectionMetaSource">
	    <property name="filterChainDefinitions">
	        <value>
	            /login = authc
	            /logout = logout
	            /admin/** = roles[admin]
	            /static/** = anon
	            /eventSurvey/** = anon
	            /notice/** = anon
	            /** = authc
	        </value>
	    </property>
	</bean>
	<!-- Shiro's main business-tier object for web-enabled applications -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="shiroDbRealm" />
	</bean>

	<!-- 項目自定义的Realm, 所有accountService依赖的dao都需要用depends-on声明 -->
	<bean id="shiroDbRealm" class="xxx.xxx.ShiroDbRealm">
		<property name="credentialsMatcher" ref="flameCredentialsMatcher" />
	</bean>
	<bean id="flameCredentialsMatcher" class="xxx.xxx.FlameCredentialsMatcher">
	</bean>
	<!-- Shiro Filter -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="/login" />
		<property name="successUrl" value="/" />
		<property name="unauthorizedUrl" value="/authError" />
		<property name="filters">
	        <map>
	            <entry key="authc">
	                <bean class="xxx.xxx.MyFormAuthenticationFilter"></bean>
	            </entry>
	             <entry key="roles">
	                <bean class="org.apache.shiro.web.filter.authz.RolesAuthorizationFilter"></bean>
	            </entry>
	        </map>
	    </property>
		<property name="filterChainDefinitionMap" ref="chainDefinitionSectionMetaSource" />
	</bean>
	
	<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
</beans>

 这里需要说明几个配置

1)shiro本身的过滤配置已经很好了,但我们要求可从数据库加载过滤配置,所以增加了chainDefinitionSectionMetaSource的实现,用来同时从配置文件和数据库加载过滤信息,实现如下

public class ChainDefinitionSectionMetaSource implements FactoryBean<Ini.Section>{
	@Autowired
    private ResourceDao resourceDao;

    private String filterChainDefinitions;

    public Section getObject() throws BeansException {
        //获取所有Resource
        List<Resource> list = resourceDao.findAll();

        Ini ini = new Ini();
        //加载默认的url
        ini.load(filterChainDefinitions);
        Ini.Section section = ini.getSection(Ini.DEFAULT_SECTION_NAME);
        //循环Resource的url,逐个添加到section中。section就是filterChainDefinitionMap,
        //里面的键就是链接URL,值就是存在什么条件才能访问该链接
        for (Resource resource : list) {
            //如果不为空值添加到section中
            if(StringUtils.hasText(resource.getUrl()) && StringUtils.hasText(resource.getPerms())) {
                section.put(resource.getUrl(),  resource.getPerms());
            }

        }

        return section;
    }

    /**
     * 通过filterChainDefinitions对默认的url过滤定义
     * 
     * @param filterChainDefinitions 默认的url过滤定义
     */
    public void setFilterChainDefinitions(String filterChainDefinitions) {
        this.filterChainDefinitions = filterChainDefinitions;
    }

    public Class<?> getObjectType() {
        return this.getClass();
    }

    public boolean isSingleton() {
        return false;
    }
}

 这里的Resource是从数据库得到的数据,其他跟xml配置差不多,就是key-value一样的。

2)shiroDbRealm,负责根据自己的业务抓取用户信息,主要是为了安全认证用

public class ShiroDbRealm extends AuthorizingRealm{
	@Autowired
	private UserService userService;

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		UserInfo user = (UserInfo) principals.getPrimaryPrincipal();
		List<String> userAuths = user.getAuthList();
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		info.addRoles(userAuths);
		return info;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken authcToken) throws AuthenticationException {
		UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
		UserInfo user = userService.findUserById(token.getUsername());
		if (user != null) {
			String authPassword = user.getPassword();
			return new SimpleAuthenticationInfo(user,
					authPassword,getName());
		} else {
			return null;
		}
	}

}

 3)credentialsMatcher,这里是处理密码匹配用的,通常密码都是加密的,用户前台输入的密码需要自己加密算法来匹配

/**
 * 处理密码加密
 * @author lee
 *
 */
public class FlameCredentialsMatcher extends SimpleCredentialsMatcher{
	@Override  
    public boolean doCredentialsMatch(AuthenticationToken token,  
            AuthenticationInfo info) {
		String userId = token.getPrincipal().toString();
		char[] ps = (char[]) token.getCredentials();
		StringBuffer sb = new StringBuffer();
		for(char p : ps){
			sb.append(p);
		}
		String tokenMd5Pw = Encryption.encrypt(userId,sb.toString());
        return equals(tokenMd5Pw, info.getCredentials());
    }  
}

 上面的Encryption.encrypt(userId,sb.toString())是一个加密算法处理,这个可以使用shiro的加密API,也可以自己实现。info是shiroDbRealm取回的用户信息,token是前台传过来的信息。

4)对于shiro的过滤链我使用了两个简单的,一个是处理登录和权限校验的authc,一个是处理角色校验的roles,这里需要说下的是如果在filter中不增加roles,那么配置/admin/** = roles[admin]这种就不会生效。对于authc因为要做是否是ajax的验证,所以做了自己的实现封装

public class MyFormAuthenticationFilter extends FormAuthenticationFilter{
	private static final Logger log = LoggerFactory.getLogger(MyFormAuthenticationFilter.class);

	/*
	 *  主要是针对登入成功的处理方法。对于请求头是AJAX的之间返回JSON字符串。
	 */
	@Override
	protected boolean onLoginSuccess(AuthenticationToken token,
	        Subject subject, ServletRequest request, ServletResponse response)
	        throws Exception {

	    if (!isAjax(request)) {// 不是ajax请求
	        issueSuccessRedirect(request, response);
	    } else {
	    	response.setCharacterEncoding("UTF-8");
	    	response.setContentType("text/plain;charset=utf-8");
	        PrintWriter out = response.getWriter();
	        out.println("{\"success\":true,\"message\":\"登入成功\"}");
	        out.flush();
	        out.close();
	    }
	    return false;
	}

	/**
	 * 主要是处理登入失败的方法
	 */
	@Override
	protected boolean onLoginFailure(AuthenticationToken token,
	        AuthenticationException e, ServletRequest request,
	        ServletResponse response) {
	    if (!isAjax(request)) {// 不是ajax请求
	        setFailureAttribute(request, e);
	        return true;
	    }
	    try {
	        response.setCharacterEncoding("UTF-8");
	        response.setContentType("text/plain;charset=utf-8");
	        PrintWriter out = response.getWriter();
	        String message = e.getClass().getSimpleName();
	        if ("IncorrectCredentialsException".equals(message)) {
	        	out.println("{\"success\":false,\"message\":\"密码错误\"}");
	        } else if ("UnknownAccountException".equals(message)) {
	        	out.println("{\"success\":false,\"message\":\"账号不存在\"}");
	        } else if ("LockedAccountException".equals(message)) {
	        	out.println("{\"success\":false,\"message\":\"账号被锁定\"}");
	        } else {
	        	out.println("{\"success\":false,message:\"未知错误\"}");
	        }
	        out.flush();
	        out.close();
	    } catch (IOException e1) {
	        // TODO Auto-generated catch block
	        e1.printStackTrace();
	    }
	    return false;
	}

	/**
	 * 所有请求都会经过的方法。
	 */
	@Override
	protected boolean onAccessDenied(ServletRequest request,
	        ServletResponse response) throws Exception {
		log.info("权限验证");
		if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                if (log.isTraceEnabled()) {
                    log.trace("Login submission detected.  Attempting to execute login.");
                }
                return executeLogin(request, response);
            } else {
                if (log.isTraceEnabled()) {
                    log.trace("Login page view.");
                }
                //allow them to see the login page ;)
                return true;
            }
        } else {
            if (log.isTraceEnabled()) {
                log.trace("Attempting to access a path which requires authentication.  Forwarding to the " +
                        "Authentication url [" + getLoginUrl() + "]");
            }
            if (!isAjax(request)) {// 不是ajax请求
	            saveRequestAndRedirectToLogin(request, response);
	        } else {
	            response.setCharacterEncoding("UTF-8");
	            response.setContentType("text/plain;charset=utf-8");
	            PrintWriter out = response.getWriter();
	            out.println("{\"success\":false,\"message\":\"login\"}");
	            out.flush();
	            out.close();
	        }
            return false;
        }
	}
	private boolean isAjax(ServletRequest request){
		HttpServletRequest httpServletRequest = (HttpServletRequest) request;
		return "XMLHttpRequest".equalsIgnoreCase(httpServletRequest.getHeader("X-Requested-With"));
	}
}

 

都配置完成,shiro就跑起来了

 

shiro框架简介以及spring的整合搭建
qq_41644069的博客
10-26 1136
1.shiro框架简介 1.1.shiro是什么? Apache Shiro是Java的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以完成:认证、授权、加密、会话管理、Web 集成、缓存等。 1.2.shiro基本功能 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用
ShiroSpringSecurity
温室的侠客的博客
09-04 1361
Shiro有很多地方都比Spring Security方便简单直接,比起Spring Security的庞大模式更容易理解切入一些,而Spring Security比Shiro功能上要多一点,再就是spring框架的无缝对接,比如支持spel等,有时候比Shiro更方便灵活。2.Spring Security 基于Spring开发,项目若使用Spring作为基础,配合Spring Security 做权限更便捷,而Shiro需要Spring 进行整合开发;Shiro则是一个轻量级的安全管理框架。
Apache shirospring整合使用
qq_33271461的博客
07-22 344
apache shiro框架简介   Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理加密。现在,使用Apache Shiro的人越来越多,因为它相当简单,相比比Spring Security,Shiro可能没有Spring Security那么多强大的功能,但是在实际工作时可能并不需要那么复杂的东西,所以使用简单...
shirospring框架中集成shiro
imxlw00的专栏
01-15 507
spring版本5.0.12 shiro版本 1.3.2 1、web.xml &lt;!--配置shiro--&gt; &lt;filter&gt; &lt;filter-name&gt;shiroFilter&lt;/filter-name&gt; &lt;filter-class&gt;org.springframework.web.filter.D...
shirospringboot整合配置
qq_42001135的博客
08-05 176
ShiroConfig @Configuration public class ShiroConfig { //shirospring整合 @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager")DefaultWebSecurityManager defaultWebSecurityManager ){ ShiroFilte
Shiro整合Spring的配置及解释
↓ ↓ ↓ ↓
03-13 1879
Shiro整合Spring的配置详解1.首先加入ShiroSpring对应的jar包,我是使用的maven添加.附上pom文件:&lt;properties&gt; &lt;!-- spring版本 --&gt; &lt;spring.version&gt;4.1.7.RELEASE&lt;/spring.version&gt; &lt;!-- Shiro版本 --&gt...
shiro整合spring项目实例
11-04
通过集成Spring,我们可以使用Shiro的SessionManagerSessionDAO,配合Spring Session,实现分布式会话存储。 8. **登录登出** Shiro 提供了简单的登录登出API。在Controller中,我们可以调用`Subject.login...
ShiroSpring整合实践教程
7. 会话管理:如果需要自定义会话的管理方式,可以配置Shiro提供的SessionManager、SessionDAO等组件,以配合Spring容器内的会话机制。 总结而言,shiro测试代码实际上指的是如何通过代码示例来演示ShiroSpring...
安全框架ShiroSpring Security比较
blanceage的博客
09-05 911
目前的网站都是依靠用户名密码来登录认证,这就意味着大家在每个网站都需要注册用户名密码,即便你使用的是同样的密码。如果使用 OpenID ,你的网站地址(URI)就是你的用户名,而你的密码安全的存储在一个 OpenID 服务网站上(你可以自己建立一个 OpenID 服务网站,也可以选择一个可信任的 OpenID 服务网站来完成注册)。"客户端"登录授权层所用的令牌(token),用户的密码不同。"客户端"登录授权层以后,"服务提供商"根据令牌的权限范围有效期,向"客户端"开放用户储存的资料。
Spring Boot+Apache Shiro+Spring MVC+MyBatis+Quartz+Druid DEMO
03-30
- Shiro是一个强大的Java安全框架,提供认证、授权、加密会话管理功能,可Spring及其他框架无缝集成。 - 认证:处理用户身份验证,确认用户身份是否合法。 - 授权:控制已认证的用户能访问哪些资源。 - ...
Shiro安全框架【SpringBoot版】
mmklo的博客
10-04 2696
Apache Shiro 是一款功能强大的且易于使用的Java的安全框架。Shiro可以完成:认证、加密、会话管理、web集集成等。借助SHiro可以帮助我们快速轻松的保护任何应用程序。shiro官网:Apache Shiro | Simple. Java. Security.Shiro的特性密不可分:SpringSecurity基于Spring开发,项目若使用Spring 可以SpringSecurity作权限更加方便,而Shiro需要Spring进行整合Spring Security功能更加丰富
springboot整合shiro基础版本
weixin_44740485的博客
01-05 932
springboot整合shiro基础版本一、项目依赖二、application.properties配置文件的编写三、准备一个index.jsp一个login.jsp页面四、创建shiro的配置类五、创建一个自定义的realm六创建controller类 一、项目依赖 <!--shiro的相关依赖--> <dependency> <groupId>org.apache.shiro</groupId>
Apache shiro配置使用(Spring整合)
热门推荐
走在设计的道路上的博客
04-23 1万+
1、权限概述(正确理解认证、授权的基本概念) 2、常见的shiro框架权限控制的方式(URL拦截的方式、方法注解的方式) 3、shiro框架涉及到的数据表以及模型关系 4、Apache shiro框架 5、shrio框架整合Spring,Struts到项目中
Shiro-Spring整合
BtWangZhi的博客
06-02 492
anon:不需要认证即可访问 authBasic: authc:需要认证即可访问 user:需要存在用户才可访问 logout:退出 perms授权 roles ssl安全协议 port端口号
springboot整合shiro完整配置
rightkk的博客
01-13 1280
springboot整合shiro完整配置 springboot整合shiro的maven依赖: springboot版本为2.1.7,shiro版本为1.5.3 <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>${shiro_v
Shirospring整合
积跬步,至千里。
08-04 510
Apache Shiro 快速入门教程之(三)添加依赖web.xml配置shiroFilter自定义realm添加spring-shiro.xml配置文件编写登录方法使用Shiro注解授权一、授权方式1.编程式:2.注解式:3.JSP/GSP 标签:二、配置权限注解支持三、配置无权限异常信息统一处理方式使用Shiro缓存添加依赖spring-shiro.xml添加缓存管理器添加缓存配置文件 ehcache.xmlsecurityManager安全管理器引用缓存管理器清空缓存使用Shiro加密1.添加凭证匹配
切面编程(三):AspectJShiro不兼容Spring二次代理错误分析
02-02 774
切面编程(三):AspectJShiro不兼容Spring二次代理错误分析 ShiroAspectJ的配置 Shiro的配置 根据 我的BLOG文章官方文档我们可以得知Shiro在使用注解的时的配置是 ShiroAspectJ的配置 Shiro的配置 根据我的BLOG...
SpringBoot整合SpringSecurityShiro
390396010
08-29 3286
ShiroSpringSecurity
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值