Shiro 与 Spring框架整合

最新推荐文章于 2022-04-27 10:22:59 发布
转载 最新推荐文章于 2022-04-27 10:22:59 发布 · 922 阅读 · 0
文章标签:

#Shiro #Spring

本文详细介绍了如何在web.xml中配置ShiroFilter,包括核心组件securityManager的初始化和配置,以及如何通过spring的application.xml文件实现Realm、过滤器、缓存等组件的集成。同时,提供了ShiroRealm的基本代码实现,展示了如何通过UserService获取用户信息并进行权限验证。此外,还阐述了Shiro框架中常用的页面标签使用方法,以及如何在页面中实现用户认证、权限控制等功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

好吧,shiro是真正意义上,自己学的一个新的东西……

写个文档记录下下。(好吧,我承认这是别人一直逼着我写的,唉。)


一、在web.xml配制shiroFilter

[html]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <span style="white-space:pre">  </span><filter>  
  2.         <filter-name>shiroFilter</filter-name>  
  3.         <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
  4.     </filter>  
  5.     <filter-mapping>  
  6.         <filter-name>shiroFilter</filter-name>  
  7.         <url-pattern>*.do</url-pattern>  
  8.     </filter-mapping>  
二、在spring的application.xml中添加配制,缓存配制暂未使用
[html]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <span style="white-space:pre">  </span><!--securityManager是shiro的核心,初始化时协调各个模块运行-->  
  2.     <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
  3.         <!--单个realm使用realm,如果有多个realm,使用realms属性代替-->  
  4.         <property name="realm" ref="shiroRealm" />  
  5.         <!-- <property name="cacheManager" ref="shiroEhcacheManager" /> -->  
  6.     </bean>  
  7.   
  8.     <!--realm配置,realm是shiro的桥梁,它主要是用来判断subject是否可以登录及权限等-->  
  9.     <bean id="shiroRealm" class="com.shiro.realm.ShiroRealm">  
  10.         <property name="userService" ref="userService" />  
  11.     </bean>  
  12.     <bean id="userService" class="com.shiro.service.UserService" />  
  13.       
  14.     <!--shiro过滤器配置,bean的id值须与web中的filter-name的值相同-->  
  15.     <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
  16.         <property name="securityManager" ref="securityManager" />  
  17.         <!-- 没有权限或者失败后跳转的页面 -->  
  18.         <property name="loginUrl" value="/index.jsp" />  
  19.         <property name="successUrl" value="/loginSuccess.jsp" />  
  20.         <property name="unauthorizedUrl" value="" />  
  21.         <property name="filterChainDefinitions">  
  22.             <value>  
  23.                 /logout.do = logout  
  24.                 /user/** = authc  
  25.                 /admin/** = authc,roles[admin]  
  26.             </value>  
  27.         </property>  
  28.     </bean>  
  29.       
  30.     <!-- 用户授权/认证信息Cache, 采用EhCache 缓存 -->  
  31.     <!--   
  32.     <bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">  
  33.         <property name="cacheManagerConfigFile" value="/WEB-INF/ehcache-shiro.xml" />  
  34.     </bean>   
  35.     -->  
  36.       
  37.     <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->    
  38.     <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>    
  39.         
  40.     <!-- AOP式方法级权限检查  -->  
  41.     <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">    
  42.         <property name="proxyTargetClass" value="true" />    
  43.     </bean>    
  44.       
  45.     <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">    
  46.         <property name="securityManager" ref="securityManager"/>    
  47.     </bean>  

三、ShiroRealm文件基本代码

ShiroRealm extends AuthorizingRealm

[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. /**  
  2.   * 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用.  
  3.   */    
  4.  @SuppressWarnings("unused")  
  5.  @Override  
  6.  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection p) {  
  7.   
  8.      logger.info("授权认证:" + p.getRealmNames());    
  9.          
  10.      ShiroUser shiroUser = (ShiroUser)p.getPrimaryPrincipal();    
  11.      User user = userService.getUserByName(shiroUser.loginName);    
  12.   
  13.      SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();  
  14.      for (Role role : user.getRoles()) {  
  15.          //基于用户名的角色信息    
  16.          info.addRole(role.getName());    
  17.          //基于角色的权限信息    
  18.          info.setStringPermissions(role.getPermissions());    
  19.      }    
  20.      return info;    
  21.          
  22.  }  
[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1.   
[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1.    /**  
  2.      * 认证回调函数,登录时调用.  
  3.      */    
  4.     @Override    
  5.     protected AuthenticationInfo doGetAuthenticationInfo(    
  6.             AuthenticationToken authcToken) throws AuthenticationException {    
  7.         logger.info("authc pass:");    
  8.         UsernamePasswordToken token = (UsernamePasswordToken) authcToken;    
  9.         logger.info("authc name:" + token.getUsername());    
  10.         User user = userService.getUserByName(token.getUsername());    
  11.         if (user != null) {  
  12.     
  13.             logger.info("authc name:" + token.getUsername() + " user:"    
  14.                     + user.getName() + " pwd:" + user.getPwd()   
  15.                     + "getname:" + getName());    
  16.     
  17.             return new SimpleAuthenticationInfo(new ShiroUser(user.getName(), user.getName()),                     
  18.                     user.getPwd(), getName());    
  19.         }    
  20.         return null;    
  21.     }  
四、User与Role实体(用户关联角色,角色关联权限的关系,个人习惯,可自行配制其他方式)
[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. User  
  2.     private String name;  
  3.     private String pwd;  
  4.     private List<Role> roles;  
  5.   
  6. Role  
  7.     private String name;  
  8.     private Set<String> permissions;  

五、页面shiro常用标签的使用

[html]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>  
  2.   
  3. <shiro:guest>//未登录</shiro:guest>  
  4.   
  5. <shiro:user>//当前有用户登录  
  6.     <shiro:principal />//当前登录用户名  
  7. </shiro:user>  
  8.   
  9. <shiro:hasRole name="admin">//角色为admin</shiro:hasRole>  
  10.   
  11. <shiro:hasPermission name="insert">//具有insert权限</shiro:hasPermission>  
[html]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <pre code_snippet_id="105013" snippet_file_name="blog_20131209_9_6571876"></pre>  
  2. <pre></pre>  
  3. <pre></pre>  
  4.       
  5.         <div style="padding-top:20px">           
  6.             <p style="font-size:12px;">版权声明:本文为博主原创文章,未经博主允许不得转载。</p>  
  7.         </div> 
SpringBoot整合Shiro全面指南:从入门到精通(亲测可用)
专注Java开发与国产数据库技术分享,涵盖达梦DM8/OceanBase/GaussDB核心原理与实战,兼及DeepSeek大模型部署、YOLOv11训练等AI技术,为开发者提供从基础到进阶的技术干货。
06-10 1101
Apache Shiro是一个强大的Java安全框架,提供认证、授权、加密和会话管理功能。其核心组件包括Subject(当前用户)、SecurityManager(安全管理器)、Realm(安全数据源)等。Shiro认证流程通过获取用户、创建令牌、执行登录实现。在SpringBoot中整合Shiro需配置拦截规则、创建安全管理器和自定义Realm,并可通过注解和Thymeleaf标签扩展功能。自定义Realm需实现认证和授权逻辑,查询用户角色权限信息。整个架构类比小区门禁系统,简单易用且功能完善。
Spring_shiro介绍
weixin_67695384的博客
06-23 3721
shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于springshiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。应用场景:shiro 解决应用安全的四要素:Shiro的体系结构具有3个主要概念:Subject(主题)
spring shiro
龙慧空羽
02-14 357
shiro是一款java安全框架、简单而且可以满足实际的工作需要 第一步、导入maven依赖   Java代码           org.apache.shiro      shiro-core      ${org.apache.shiro.version}          org.apache.shiro      shiro-web      ${org.apa
Shiro-Spring
qinheJ的博客
08-01 457
Shiro总结 一、配置 1、Shiro框架的搭建 &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-core&lt;/artifactId&gt; &lt;version...
Spring中配置Shiro
Kaybee - 练级之路
09-29 1372
适时的总结和做笔记真的很重要啊,不然过一段时间不用就忘了 - -||| 之前做过一个权限管理的功能,用到了shiro,也是现学现用,总结一下在springshiro如何配置。 总的来说配置有这几点: 在 web.xml 中配置 Shiro 的 Filter 在 Spring 的配置文件中配置 Shiro : 配置自定义 Realm:实现自定义认证和授权 配置 ...
Spring shiroSpringShiro整合
每一名出色的架构师,必定是一位优秀程序员
04-02 819
Apache Shiro是一个强大易用的Java安全框架。它可以帮助我们完成:认证、授权、加密、会话管理、Web集成、缓存、单点登录等等,而且它的API也十分简洁易用,所以现在有很多人都在使用它。它的基本能功能点如图所示:    从图上我们可以看出Shiro的四大核心功能:  Authentication(身份验证):简称为“登录”,即证明用户是谁。  Authorization(授
ShiroSpring框架整合实践教程
标题中提到的“shirospring整合”是一个涉及Shiro安全框架Spring框架整合的应用场景。Shiro是Apache下的一个开源项目,它为构建安全应用程序提供了全面的功能。Shiro可以处理身份验证(Authentication)、授权...
shiro框架简介以及spring整合搭建
qq_41644069的博客
10-26 1136
1.shiro框架简介 1.1.shiro是什么? Apache Shiro是Java的一个安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以完成:认证、授权、加密、会话管理、Web 集成、缓存等。 1.2.shiro基本功能 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用
spring cloud + shiro集成方案
01-15
手把手教你集成spring cloud + shiro微服务框架;用最少的工作量,改造基于shiro安全框架的微服务项目,实现spring cloud + shiro 框架集成。博客地址:...
Shiro Spring Boot 整合项目,含权限管理等功能示例、配置相关实现细节.zip
最新发布
11-14
Spring Boot则是一个用于简化Spring应用开发的工具,它可以帮助开发者快速搭建并运行独立的、生产级别的基于Spring框架的应用程序。 整合ShiroSpring Boot可以带来许多优点,比如简化权限管理的配置和编码工作,...
spring boot整合shiro安全框架过程解析
08-25
"spring boot整合shiro安全框架过程解析" spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 ...
Springshiro的简单使用
bortherLiang的博客
05-14 547
Spring项目整合shiro 先将一下shiro工作的一个流程,代码示例在后面,想要直接看代码的朋友可以直接下滑。 shrio认证流程 1、通过配置文件创建 SecurityManager类。 2、用户登录时 创建 UsernamePasswordToken 类的一个对象(token)。 3、通过SecurityUtils.getSubject().login(token) 方法 提交认证。 4、SecurityManager 由 RealmAuthentication 进行认证。 5、RealmAuth
Spring集成Shiro
m0_55613022的博客
04-27 445
准备好Spring+SpringMVC的开发环境。 1、添加Shiro的依赖 <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.4.0-RC2</v
Shiro 基础教程
weixin_30715523的博客
12-27 297
原文地址:Shiro 基础教程 博客地址:http://www.extlight.com 一、前言 Apache Shiro 是 Java 的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 二、介绍 2.1 功能特点 Shiro 包含 10 个内容,如下图: 1) Authentication:身份认证/登录,验证...
spring整合shiro
qq_36412077的博客
09-21 143
学到shiro了,把关键点记录下来,方便以后需要使用的时候回顾。 Shiro shiro含义 shiro是一个安全框架,属于apache 基金会提供的认证、授权、加密、会话管理、缓存实现权限的一系列操作. 核心组件: 身份认证:登录验证 授权:权限认证,判断用户是否存在某些权限 session会话管理 密码加密功能 使用步骤...
spring集成shiro
轻松qinsong
07-05 206
spring集成shiro 1.搭建spring环境 不在累赘 2.集成shiro 3.代码实现 1.web,xml中配置shiro拦截器 &amp;lt;!-- Shiro Filter is defined in the spring application context: --&amp;gt; &amp;lt;!-- 1. 配置 ShiroshiroFilter...
Spring Boot Shiro 入门
weixin_42073629的博客
05-04 800
1. 概述 艿艿:本文是《芋道 Spring Boot 安全框架 Spring Security 入门》的姊妹篇,所以开头就“重复”再来一遍,嘿嘿。 基本上,在所有的开发的系统中,都必须做认证(authentication)和授权(authorization),以保证系统的安全性。???? 考虑到很多胖友对认证和授权有点分不清楚,艿艿这里引用一个网上有趣的例子: FROM《认证 (aut...
Spring Shiro使用教程
especialjie的博客
09-21 623
使用Shiro的时候我们要考虑在什么样的环境下使用:     1.登录的验证  2.对指定角色的验证  3.对URL的验证 基于这三个需求,我们有三个方法: 1. findUserByUserName(String username)根据username查询用户,之后Shiro会根据查询出来的User的密码来和提交上来的密码进行比对。  2. findRoles(String
Spring-Shiro介绍及其使用
FD_YOLO的博客
06-29 1157
Spring-Shiro介绍及其使用 What is Apache Shiro? Apache Shiro是一个功能强大、灵活的,开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。 Apache Shiro的首要目标是易于使用和理解。安全通常很复杂,甚至让人感到很痛苦,但是Shiro却不是这样子的。一个好的安全框架应该屏蔽复杂性,向外暴露简单、直观的API,来简化开发人员实现应用程序安全所花费的时间和精力。 Shiro能做什么呢? 验证用户身份 用户访问权限控制,比如:1、判断用户
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值