Shiro学习笔记——（6）SSM集成

最新推荐文章于 2024-07-24 23:34:03 发布

原创最新推荐文章于 2024-07-24 23:34:03 发布 · 219 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#Shiro #SSM Shiro

Shiro学习笔记专栏收录该内容

8 篇文章

订阅专栏

本文详细介绍了如何在SSM环境中搭建Shiro权限管理系统，包括在web.xml中配置Shiro过滤器，在Spring的applicationContext.xml中配置Shiro Filter及SecurityManager，以及自定义Realm实现认证和授权。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

一、搭建SSM环境

参照：SSM——搭建SSM环境

并使用MBG工程生成简单的CRUD代码：MyBatis逆向工程——MyBatis Generator (MBG)-简单介绍与运行步骤（1）

二、在web.xml中添加Shiro过滤器

shiro也通过filter进行拦截。filter拦截后将操作权交给spring中配置的filterChain（过虑链儿）shiro提供很多filter。

	<!-- shiro过虑器，DelegatingFilterProxy通过代理模式将spring容器中的bean和filter关联起来 -->
	<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
		<!-- 设置true由servlet容器控制filter的生命周期 -->
		<init-param>
			<param-name>targetFilterLifecycle</param-name>
			<param-value>true</param-value>
		</init-param>
		<!-- 设置spring容器filter的bean id，如果不设置则找与filter-name一致的bean -->
		<init-param>
			<param-name>targetBeanName</param-name>
			<param-value>shiroFilter</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

三、在Spring的applicationContext.xml中添加filter的bean

	<!-- Shiro 的Web过滤器  id 为web.xml中配置的filter名称-->
	<bean
		id="shiroFilter"
		class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property
			name="securityManager"
			ref="securityManager" />
		<!-- loginUrl认证提交地址，如果没有认证将会请求此地址进行认证，请求此地址将由formAuthenticationFilter进行表单认证 -->
		<property
			name="loginUrl"
			value="/index.jsp" />
		<!--unauthorizedUrl指定没有权限的跳转页面 -->
		<property
			name="unauthorizedUrl"
			value="/refuse.jsp" />
		<!-- 过虑器链定义，从上向下顺序执行，一般将/**放在最下边 -->
		<property name="filterChainDefinitions">
			<value>
				<!-- /**=anon所有url都可以匿名访问 -->
				/**=anon
			</value>
		</property>
	</bean>

	<!-- 安全管理器 -->
	<bean
		id="securityManager"
		class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property
			name="realm"
			ref="MyRealm" />
	</bean>

	<!-- 自定义 realm -->
	<bean
		id="MyRealm"
		class="com.shiro.realm.MyRealm">
	</bean>

注意：暂时使用上面章节的MyRealm，暂时模拟数据库查询。

附：

过滤器简称	对应的java类
anon	        org.apache.shiro.web.filter.authc.AnonymousFilter
authc	        org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic	org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
perms	        org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port	        org.apache.shiro.web.filter.authz.PortFilter
rest	        org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles	        org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl	        org.apache.shiro.web.filter.authz.SslFilter
user	        org.apache.shiro.web.filter.authc.UserFilter
logout	        org.apache.shiro.web.filter.authc.LogoutFilter

anon:例子/admins/**=anon 没有参数，表示可以匿名使用。
authc:例如/admins/user/**=authc表示需要认证(登录)才能使用，FormAuthenticationFilter是表单认证，没有参数
roles：例子/admins/user/**=roles[admin],参数可以写多个，多个时必须加上引号，并且参数之间用逗号分割，当有多个参数时，例如admins/user/**=roles["admin,guest"],每个参数通过才算通过，相当于hasAllRoles()方法。
perms：例子/admins/user/**=perms[user:add:*],参数可以写多个，多个时必须加上引号，并且参数之间用逗号分割，例如/admins/user/**=perms["user:add:*,user:modify:*"]，当有多个参数时必须每个参数都通过才通过，想当于isPermitedAll()方法。
rest：例子/admins/user/**=rest[user],根据请求的方法，相当于/admins/user/**=perms[user:method],其中method为post，get，delete等。
port：例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等，serverName是你访问的host,8081是url配置里port的端口，queryString
是你访问的url里的？后面的参数。
authcBasic：例如/admins/user/**=authcBasic没有参数表示httpBasic认证
ssl:例子/admins/user/**=ssl没有参数，表示安全的url请求，协议为https
user:例如/admins/user/**=user没有参数表示必须存在用户,身份认证通过或通过记住我认证通过的可以访问，当登入操作时不做检查

注：

anon，authcBasic，auchc，user是认证过滤器，

perms，roles，ssl，rest，port是授权过滤器