SSM集成Shiro安全框架(三)

最新推荐文章于 2021-01-25 07:04:05 发布
原创 最新推荐文章于 2021-01-25 07:04:05 发布 · 290 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro  #SSM  #Demo #kaptcha #自定义shiro过滤器

本文档介绍了如何在SSM(Spring、SpringMVC、MyBatis)项目中集成Shiro安全框架,实现了角色OR关系的过滤,并详细讲述了Shiro与kaptcha验证码的整合步骤,包括配置文件、过滤器、认证令牌、登录页面以及控制器的修改。此外,还提供了完整的demo源码供下载参考。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

七、实现or关系的角色过滤

1.RoleOrFilterAuthorizationFilter.java

package com.yan.shiro.common;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;

public class RoleOrFilterAuthorizationFilter extends AuthorizationFilter{

	@Override
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
		Subject subject = getSubject(request, response);  
        String[] rolesArray = (String[]) mappedValue;  

        if (rolesArray == null || rolesArray.length == 0) 
        {  
            return true;  
        }  
        for(int i=0;i<rolesArray.length;i++)
        {
            if(subject.hasRole(rolesArray[i]))
            {  
                return true;  
            }  
        }  
        return false;
	}

}

2.applicationContext-shiro.xml

	<bean id="shiroFilter"
		class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<!-- 调用我们配置的权限管理器 -->
		<property name="securityManager" ref="securityManager" />
		<!-- 配置我们的登录请求地址 -->
		<property name="loginUrl" value="/login.jsp" />
		<!-- 配置我们在登录页登录成功后的跳转地址,如果你访问的是非/login地址,则跳到您访问的地址  -->
		<property name="successUrl" value="/index.jsp" />
		<!-- 如果您请求的资源不再您的权限范围,则跳转到/403请求地址 -->
		<property name="unauthorizedUrl" value="/unauthorized.jsp" />
		<property name="filters">
			<util:map>
				<!-- 自定义roleOrFilter -->
				<entry key="roleOrFilter" value-ref="roleOrFilter" />
				<entry key="logout" value-ref="logoutFilter" />
			</util:map>
		</property>
/index.jsp = roleOrFilter["admin","productManager"] <!--只需具有其中一个权限就可以,但需要自定义filter -->
<!--自定义的filter -->
	<bean id="roleOrFilter" class="com.yan.shiro.common.RoleOrFilterAuthorizationFilter"></bean>

八、shiro集成kaptcha验证码

1.pom.xml

		<!-- Shiro 集成验证码 -->
		<dependency>
			<groupId>com.github.penggle</groupId>
			<artifactId>kaptcha</artifactId>
			<version>2.3.2</version>
		</dependency>

2.spring-mvc.xml配置文件

    <!-- 配置kaptcha验证码 -->  
    <bean id="captchaProducer" class="com.google.code.kaptcha.impl.DefaultKaptcha">  
        <property name="config">  
            <bean class="com.google.code.kaptcha.util.Config">  
                <constructor-arg type="java.util.Properties">  
                    <props>  
                        <prop key="kaptcha.image.width">100</prop>  
                        <prop key="kaptcha.image.height">50</prop>  
                        <prop key="kaptcha.noise.impl">com.google.code.kaptcha.impl.NoNoise</prop>  
                        <prop key="kaptcha.textproducer.char.string">0123456789abcdefghijklmnopqrstuvwxyz</prop>  
                        <prop key="kaptcha.textproducer.char.length">4</prop>  
                    </props>  
                </constructor-arg>  
            </bean>  
        </property>  
    </bean>

3.applicationContext-shiro.xml

<!-- 配置我们的登录请求地址 -->
		<property name="loginUrl" value="/login.jsp" />
!-- 将自定义 的FormAuthenticationFilter注入shiroFilter中-->
				<entry key="authc" value-ref="myAuthenFilter" /> 
/login.jsp=authc
<bean id="myAuthenFilter" class="com.yan.shiro.common.CaptchaFormAuthenticationFilter"/>

4.CaptchaFormAuthenticationFilter.java

package com.yan.shiro.common;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.apache.shiro.web.util.WebUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import com.yan.shiro.exception.IncorrectCaptchaException;

public class CaptchaFormAuthenticationFilter extends FormAuthenticationFilter {
	private static final Logger LOG = LoggerFactory.getLogger(CaptchaFormAuthenticationFilter.class);

	private static void sysout() {
		System.out.println("CaptchaFormAuthenticationFilter");
	}

	public CaptchaFormAuthenticationFilter() {
	}

	@Override
	/**
	 * 登录验证
	 */
	protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
		System.out.println("executeLogin");
		CaptchaUsernamePasswordToken token = createToken(request, response);
		try {
			/* 图形验证码验证 */
			doCaptchaValidate((HttpServletRequest) request, token);
			Subject subject = getSubject(request, response);
			subject.login(token);// 正常验证
			LOG.info(token.getUsername() + "登录成功");
			return onLoginSuccess(token, subject, request, response);
		} catch (AuthenticationException e) {
			LOG.info(token.getUsername() + "登录失败--" + e);
			return onLoginFailure(token, e, request, response);
		}
	}

	// 验证码校验
	protected void doCaptchaValidate(HttpServletRequest request, CaptchaUsernamePasswordToken token) {
		System.out.println("doCaptchaValidate");
		// session中的图形码字符串
		String captcha = (String) request.getSession().getAttribute(com.google.code.kaptcha.Constants.KAPTCHA_SESSION_KEY);
		// 比对
		if (captcha != null && !captcha.equalsIgnoreCase(token.getCaptcha())) {
			throw new IncorrectCaptchaException("验证码错误!");
		}
	}

	@Override
	protected CaptchaUsernamePasswordToken createToken(ServletRequest request, ServletResponse response) {
		String username = getUsername(request);
		String password = getPassword(request);
		String captcha = getCaptcha(request);
		boolean rememberMe = isRememberMe(request);
		String host = getHost(request);
		return new CaptchaUsernamePasswordToken(username, password.toCharArray(), rememberMe, host, captcha);
	}

	public static final String DEFAULT_CAPTCHA_PARAM = "captcha";

	private String captchaParam = DEFAULT_CAPTCHA_PARAM;

	public String getCaptchaParam() {
		return captchaParam;
	}

	public void setCaptchaParam(String captchaParam) {
		this.captchaParam = captchaParam;
	}

	protected String getCaptcha(ServletRequest request) {
		return WebUtils.getCleanParam(request, getCaptchaParam());
	}

	// 保存异常对象到request
	@Override
	protected void setFailureAttribute(ServletRequest request, AuthenticationException ae) {
		request.setAttribute(getFailureKeyAttribute(), ae);
	}
}

5.CaptchaUsernamePasswordToken.java

package com.yan.shiro.common;

import org.apache.shiro.authc.UsernamePasswordToken;

public class CaptchaUsernamePasswordToken extends UsernamePasswordToken{
	//验证码字符串
	private String captcha;
 
	public CaptchaUsernamePasswordToken(String username, char[] password,
			boolean rememberMe, String host, String captcha) {
		super(username, password, rememberMe, host);
		this.captcha = captcha;
	}
 
	public String getCaptcha() {
		return captcha;
	}
 
	public void setCaptcha(String captcha) {
		this.captcha = captcha;
	}
}

6.login.jsp

<%@page import="org.apache.shiro.web.filter.authc.FormAuthenticationFilter"%>
<%@page import="com.yan.shiro.exception.IncorrectCaptchaException"%>
<%@page import="org.apache.shiro.authc.AuthenticationException"%>
<%@ page language="java" contentType="text/html; charset=UTF-8"
	pageEncoding="UTF-8"%>
<%
	String path = request.getContextPath();
	String basePath = request.getScheme() + "://"
			+ request.getServerName() + ":" + request.getServerPort()
			+ path + "/";
%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<base href="<%=basePath%>">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
<style type="text/css">
.error {
	color: red;
}
</style>
<script type="text/javascript">
function refreshCaptcha(){
	document.getElementById("img_captcha").src="http://localhost:8081/ShiroDemo/kaptcha?t=" + Math.random();
}
</script>
</head>
<body>
 
	<%
		Object obj = request
				.getAttribute(FormAuthenticationFilter.DEFAULT_ERROR_KEY_ATTRIBUTE_NAME);
		String msg = "";
		if (obj != null) {
			if (obj instanceof IncorrectCaptchaException)
				msg = "验证码错误!";
			else 
				msg = "账号或密码错误!";
		}
		
		out.println("<div class='error'>" + msg + "</div>");
	%>
 
	<form action="login.jsp" method="post">
		<input type="hidden" name="rememberMe" value="0" /> <br />
		<table>
 
			<tr>
				<td>用户帐号:</td>
				<td><input type="text" name="username" id="username" value="" /></td>
			</tr>
			<tr>
				<td>登录密码:</td>
				<td><input type="password" name="password" id="password"
					value="" /></td>
			</tr>
			<tr>
				<td>验证码:</td>
				<td><input type="text" name="captcha" /></td>
			</tr>
			<tr>
				<td> </td>
				<td><img alt="验证码" src="http://localhost:8081/ShiroDemo/kaptcha" title="点击更换"
					id="img_captcha" onclick="javascript:refreshCaptcha();">(看不清<a href="javascript:void(0)" onclick="javascript:refreshCaptcha()">换一张</a>)</td>
			</tr>
			<tr>
				<td colspan="2"><input value="登录" type="submit"></td>
			</tr>
		</table>
 
	</form>
</body>
</html>

7.Controller.java

    @Autowired
    private Producer captchaProducer;

    @RequestMapping(value = "/kaptcha")
    public void getKaptchaImage(HttpServletRequest request, HttpServletResponse response) throws Exception {
        HttpSession session = request.getSession();
        response.setDateHeader("Expires", 0);
        response.setHeader("Cache-Control", "no-store, no-cache, must-revalidate");
        response.addHeader("Cache-Control", "post-check=0, pre-check=0");
        response.setHeader("Pragma", "no-cache");
        response.setContentType("image/jpeg");
        //生成验证码
        String capText = captchaProducer.createText();
        session.setAttribute(Constants.KAPTCHA_SESSION_KEY, capText);
        //向客户端写出
        BufferedImage bi = captchaProducer.createImage(capText);
        ServletOutputStream out = response.getOutputStream();
        ImageIO.write(bi, "jpg", out);
        try {
            out.flush();
        } finally {
            out.close();
        }
    }
     /**
     * 获取验证码
     * 
     * @author atd681
     * @since 2018年8月13日
     */
	@RequestMapping("/kaptcha/get")
    @ResponseBody
    public String getKaptcha(HttpSession session) {
        // Kaptcha生成验证后保存SESSION中的KEY为KAPTCHA_SESSION_KEY
        return (String) session.getAttribute("KAPTCHA_SESSION_KEY");
    }

九、demo下载

GitHub:https://github.com/709248556/shiroDemo

shiro整合ssm框架
10-17
使用shiro权限验证整合ssm的框架,包含配置文件以及测试类。
SSM框架+shiro+ecache整合
12-13
完整可用的SSM框架,整合了shiro,ecache等工具,oracle数据库 修改后即可使用
SSM+shiro框架整合
qq_40509841的博客
05-31 163
在一个纯净的SSM框架的基础上搭建shiro框架 第一步在web.xml中添加shiro过滤器的支持,以及对shiro配置文件的加载 <!-- shiro过滤器定义 --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframewor...
spring整合shiro系列(一) SSM框架整合shiro
m0_37723564的博客
01-06 506
前言 之前在开发中听到有关权限管理的字眼,由于是第一次听到,所以上百度搜了一下,发现出现频率比较高的就是Shiro框架。碰巧,在实际开发中也遇到了使用Shrio框架的场景。所以想着自己也有必要去学习一下这个Shiro框架。这里就先梳理一下什么是Shiro框架。 什么是安全框架 安全框架顾名思义一定是和安全有关的,它应该是在软甲系统开发中对于软件整体和系统能够提高其安全...
Shiro整合SSM框架详细步骤
飞起来的小猪的博客
03-08 6655
最近开始学习Shiro,记录一下Shiro整合SSM的步骤,期间也碰到许多小问题,和大家分享一下。 开发工具:IDEA Demo框架:Spring+SpringMVC+Mybatis+Maven 1.添加Shiro相关jar包,Demo是使用Maven管理,在pom.xml添加以下配置。 &lt;properties&gt; &lt;shiro.version&gt;1.3.2...
SSM+Shiro安全框架代码
07-06
10. **实战演练**:通过实际运行提供的代码,可以模拟用户登录、权限控制、会话管理等操作,加深对SSM+Shiro框架的理解。 这个"shiro-ssm"项目为开发者提供了一个实践平台,通过深入学习和调试这些代码,可以帮助你...
经典ssm+shiro 完整框架
12-21
SSM+Shiro框架是Java开发中常用的Web应用...综合运用SSM+Shiro框架,开发者可以快速构建出一个具有完整权限控制的安全系统,实现用户登录、角色分配、权限校验、代码生成等功能,大大提高开发效率和系统的可维护性。
Java SSM+Shiro权限框架
09-25
Java SSM+Shiro权限框架是企业级Web应用开发中常用的一种组合,它结合了Spring、Spring MVC、MyBatis大框架以及Apache Shiro安全框架,用于构建...通过研究这些源码,开发者可以深入理解SSM+Shiro框架的集成和应用。
ssm+shiro权限框架
04-21
SSM+Shiro框架中,Spring负责管理各个组件的生命周期,如Shiro的安全管理器,以及数据库操作的DAO和Service层。 2. **Spring MVC**:作为Spring框架的一部分,Spring MVC用于构建Web应用程序的模型-视图-控制器...
ssm+shiro框架整合完整jar包
11-15
SSM+Shiro框架整合是Java Web开发中常见的技术栈,它将Spring MVC、MyBatis、Spring和Apache Shiro四个强大的组件结合在一起,提供了一种高效、灵活的权限管理和应用构建解决方案。以下是对这些框架及其整合的详细...
ssm:基于RESTful风格的前合并分离的SSM框架,集成shiro和swagger等框架
02-05
基本框架 基础的SSM框架,集成shiro作为登陆验证和权限管理和swagger作为开接口文档,让开发商专注于业务的开发 1,前一级分离思想 其实前一次分离并不只是只是开发模式,而是网络应用的一种架构模式,之前先使用HTTP或其他协议进行交互请求。进行负责的业务/数据接口,前端负责展现/交互逻辑,前逐步开发对于同时份数数据接口,我们可以自定义开发多个客户端,可以选择web和app就可以使用同一个接口,多个前端展示。 2,如何实现前阶段分离 简单来说,前端使用AJAX请求后台接口,后台都数据进行处理后返回给前端,这个过程我们多半使用json格式来传递数据(也可以使用XML等),而对于前端使用V
使用Maven整合SSM框架集和Shiro安全框架实现的医院管理系统
12-29
必须配有maven,使用mysql,Myeclipse,jdk1.7,账号:admin,密码:123456,里面实现了医院的基本业务,数据表大概为50章,有基本数据,这是大学时期的毕业设计,登录管理员帐号就能使用。
dubbo+shiro+ssm框架+zookeeper简单的demo
11-13
dubbo+shiro+ssm框架+zookeeper简单的demo,有问题请联系QQ1406423298
ssm框架集成shiro管理用户登录------简单点
老狼的博客
04-12 525
ssm框架集成shiro管理用户登录------简单点 一. 首先你得有个ssm框架能够实现最简单的用户登录验证. 简单的maven构建ssm框架实现用户登录验证源码地址(maven3.5+jdk1.8) 二.将shiro集成ssm框架中 在pom.xml文件中添加shiro依赖 <!-- shiro start --> <dependency> <group...
SSM框架整合shiro安全框架时出现no ContextLoaderListener registered的问题
Stamina_Boy的博客
06-02 974
今天在整合SSMshiro时一直出现No WebApplicationContext found: no ContextLoaderListener registered?的错误,检查代码并没有发现哪里不妥,因为以前写过shiro框架的项目,于是认真对照了后,发现我的SSM框架整合时Spring的包全部用的4.1.7的版本,而以前我的shiro框架整合Spring包版本为4.2.4,然后将SSM...
Shiro -- () 集成SSM框架
qq_39863541的博客
03-07 105
1.配置web.xml <!-- Shiro框架入口 --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterPro...
SSM + Shiro 整合 (6)- Shiro 集成 Spring
李威威的博客
09-26 3958
这一节将 Shiro 整合进 Spring。前面一节我们仅仅只是加入了 Shiro,并没有使用 Spring 来管理 Shiro。所以我们在自定义的 Realm 中并不能使用 Spring 的依赖注入特性。步骤 1:加入 Shiro 集成 Spring 的依赖<dependency> <groupId>org.apache.shiro</groupId> <artifactId>sh
Maven+ssm+Shiro集成
记录,记录,记录
10-17 660
ok!!!首先要集成一个Maven+ssm 假设我么已经集成好了。 Shiro在这套体系中所需要的组件有: web.xml中需要配置Shiro过滤器 Spring-shiro.xml中需要进行配置过滤器,SecurityManager,Realm Springmvc.xml中配置Shiro注解的启用,Shiro的异常统一处理/SpringMVC的异常处理Bean 一:导入Shiroja...
ssm整合shiro_ShiroSSM框架的整合
weixin_34608787的博客
01-25 165
Spring整合Shiro实现登录认证实现步骤:1.导入rbac项目2.导入shiro相关jar包(shiro-all 以及shiro-spring)3.在web.xml中添加DelegatingFilterProxy配置4.编写spring-shiro.xml5.编写mapper接口及mapper.xml6.编写service接口及实现类7.编写controller8.编写Realm实现注册并密...
SSMShiro框架集成实现安全代码
资源摘要信息:"SSM+Shiro安全框架代码" 知识点: 1.Shiro概述: Shiro是一个全面的、功能强大且易于使用的Java安全框架,提供身份验证、授权、会话管理等安全功能。Shiro支持多种安全机制,包括但不限于Java EE, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值