2. 程式人生 > >Shiro入門-shiro與spring整合

Shiro入門-shiro與spring整合

阿新 發佈:2019-02-06

引入jar

<!-- shiro核心jar -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.3.2</version>
</dependency>

<!-- shiro對web的支援 -->
<dependency>
    <groupId>org.apache.shiro</groupId
 
>
    <artifactId>shiro-web</artifactId>
    <version>1.3.2</version>
</dependency>

<!-- shiro與spring整合jar -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.3.2</version
 
>
</dependency>

配置web.xml

<!-- shiro的filter -->
<!-- shiro過濾器,DelegatingFilterProxy通過代理模式將spring容器中的bean和filter關聯起來 -->
<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class
 
>
    <!-- 設定true由servlet容器控制filter的生命週期 -->
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
    <!-- 設定spring容器filter的bean id,如果不設定則找與filter-name一致的bean-->
    <init-param>
        <param-name>targetBeanName</param-name>
        <param-value>shiroFilter</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

配置spring-shiro.xml
注意:Shiro 整合 Spring 應該新增到父上下文中去,而不能新增到 Spring MVC 的子上下文中。

<!-- web.xml中shiro的filter對應的bean -->
<!-- Shiro 的Web過濾器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager" />
    <!-- loginUrl認證提交地址,如果沒有認證將會請求此地址進行認證,請求此地址將由formAuthenticationFilter進行表單認證 -->
    <property name="loginUrl" value="/login.action" />
    <!-- 認證成功統一跳轉到first.action,建議不配置,shiro認證成功自動到上一個請求路徑 -->
    <property name="successUrl" value="/first.action"/>
    <!-- 通過unauthorizedUrl指定沒有許可權操作時跳轉頁面-->
    <property name="unauthorizedUrl" value="/refuse.jsp" />
    <!-- 自定義filter配置 -->
    <property name="filters">
        <map>
            <!-- 將自定義 的FormAuthenticationFilter注入shiroFilter中-->
            <entry key="authc" value-ref="formAuthenticationFilter" />
        </map>
    </property>

    <!-- 過慮器鏈定義,從上向下順序執行,一般將/**放在最下邊 -->
    <property name="filterChainDefinitions">
        <value>
            <!-- 對靜態資源設定匿名訪問 -->
            /images/** = anon
            /js/** = anon
            /styles/** = anon
            <!-- 驗證碼,可匿名訪問 -->
            /validatecode.jsp = anon

            <!-- 請求 logout.action地址,shiro去清除session-->
            /logout.action = logout
            <!--商品查詢需要商品查詢許可權 ,取消url攔截配置,使用註解授權方式 -->
            <!-- /items/queryItems.action = perms[item:query]
            /items/editItems.action = perms[item:edit] -->
            <!-- 配置記住我或認證通過可以訪問的地址 -->
            /index.jsp  = user
            /first.action = user
            /welcome.jsp = user
            <!-- /** = authc 所有url都必須認證通過才可以訪問-->
            /** = authc
            <!-- /** = anon所有url都可以匿名訪問 -->

        </value>
    </property>
</bean>

<!-- securityManager安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="customRealm" />
    <!-- 注入快取管理器 -->
    <property name="cacheManager" ref="cacheManager"/>
    <!-- 注入session管理器 -->
    <property name="sessionManager" ref="sessionManager" />
    <!-- 記住我 -->
    <property name="rememberMeManager" ref="rememberMeManager"/>    
</bean>

<!-- realm -->
<bean id="customRealm" class="cn.itcast.ssm.shiro.CustomRealm">
    <!-- 將憑證匹配器設定到realm中,realm按照憑證匹配器的要求進行雜湊 -->
    <property name="credentialsMatcher" ref="credentialsMatcher"/>
</bean>

<!-- 憑證匹配器 -->
<bean id="credentialsMatcher"
    class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
    <property name="hashAlgorithmName" value="md5" />
    <property name="hashIterations" value="1" />
</bean>

<!-- 快取管理器 -->
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
    <property name="cacheManagerConfigFile" value="classpath:shiro-ehcache.xml"/>
</bean>

<!-- 會話管理器 -->
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
     <!-- session的失效時長,單位毫秒 -->
     <property name="globalSessionTimeout" value="600000"/>
     <!-- 刪除失效的session -->
     <property name="deleteInvalidSessions" value="true"/>
</bean>

<!-- 自定義form認證過慮器 -->
<!-- 基於Form表單的身份驗證過濾器,不配置將也會註冊此過慮器,表單中的使用者賬號、密碼及loginurl將採用預設值,建議配置 -->
<bean id="formAuthenticationFilter" 
    class="cn.itcast.ssm.shiro.CustomFormAuthenticationFilter ">
    <!-- 表單中賬號的input名稱 -->
    <property name="usernameParam" value="username" />
    <!-- 表單中密碼的input名稱 -->
    <property name="passwordParam" value="password" />
    <!-- 記住我input的名稱 -->
    <property name="rememberMeParam" value="rememberMe"/>
</bean>

<!-- rememberMeManager管理器,寫cookie,取出cookie生成使用者資訊 -->
<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
    <property name="cookie" ref="rememberMeCookie" />
</bean>

<!-- 記住我cookie -->
<bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
    <!-- rememberMe是cookie的名字 -->
    <constructor-arg value="rememberMe" />
    <!-- 記住我cookie生效時間30天 -->
    <property name="maxAge" value="2592000" />
</bean>

配置springmvc.xml

<!-- 開啟aop,對類代理 -->
<aop:config proxy-target-class="true"></aop:config>
<!-- 開啟shiro註解支援 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager" />
</bean>

對靜態資源設定逆名訪問

<!-- 對靜態資源設定匿名訪問 -->
/images/** = anon
/js/** = anon
/styles/** = anon

登陸原理
使用FormAuthenticationFilter過慮器實現 ,原理如下:

將使用者沒有認證時,請求loginurl進行認證,使用者身份和使用者密碼提交資料到loginurl
FormAuthenticationFilter攔截住取出request中的username和password(兩個引數名稱是可以配置的
FormAuthenticationFilter呼叫realm傳入一個token(username和password)
realm認證時根據username查詢使用者資訊(在Activeuser中儲存,包括 userid、usercode、username、menus)。
如果查詢不到,realm返回null,FormAuthenticationFilter向request域中填充一個引數(記錄了異常資訊)
登陸頁面
由於FormAuthenticationFilter的使用者身份和密碼的input的預設值(username和password),修改頁面的賬號和密碼 的input的名稱為username和password
也可以配置:

<!-- 自定義form認證過慮器 -->
<!-- 基於Form表單的身份驗證過濾器,不配置將也會註冊此過慮器,表單中的使用者賬號、密碼及loginurl將採用預設值,建議配置 -->
<bean id="formAuthenticationFilter" 
    class="cn.itcast.ssm.shiro.CustomFormAuthenticationFilter ">
    <!-- 表單中賬號的input名稱 -->
    <property name="usernameParam" value="username" />
    <!-- 表單中密碼的input名稱 -->
    <property name="passwordParam" value="password" />
    <!-- 記住我input的名稱 -->
    <property name="rememberMeParam" value="rememberMe"/>
</bean>

登入程式碼實現

//登陸提交地址,和spring-shiro.xml中配置的loginurl一致
@RequestMapping("login")
public String login(HttpServletRequest request)throws Exception{

    //如果登陸失敗從request中獲取認證異常資訊,shiroLoginFailure就是shiro異常類的全限定名
    String exceptionClassName = (String) 
            request.getAttribute("shiroLoginFailure");
    //根據shiro返回的異常類路徑判斷,丟擲指定異常資訊
    if(exceptionClassName!=null){
        if (UnknownAccountException.class.getName()
            .equals(exceptionClassName)) {
            //最終會拋給異常處理器
            throw new CustomException("賬號不存在");
        } else if (IncorrectCredentialsException.class.getName()
            .equals(exceptionClassName)) {
                throw new CustomException("使用者名稱/密碼錯誤");
        } else if("randomCodeError".equals(exceptionClassName)){
                throw new CustomException("驗證碼錯誤 ");
        }else {
                throw new Exception();//最終在異常處理器生成未知錯誤      
        }
    }
    //此方法不處理登陸成功(認證成功),shiro認證成功會自動跳轉到上一個請求路徑
    //登陸失敗還到login頁面
    return "login";
}

退出使用LogoutFilter
不用我們去實現退出,只要去訪問一個退出的url(該 url是可以不存在),由LogoutFilter攔截住,清除session。

在spring-shiro.xml配置LogoutFilter:

<!-- 請求 logout.action地址,shiro去清除session-->
/logout.action = logout

問題總結

  1. 在spring-shiro.xml中配置過濾器連結,需要將全部的url和許可權對應起來進行配置,比較發麻不方便使用。
  2. 每次授權都需要呼叫realm查詢資料庫,對於系統性能有很大影響,可以通過shiro快取來解決。

shiro的過慮器

過濾器簡稱 對應的java類:
anon org.apache.shiro.web.filter.authc.AnonymousFilter
authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
perms org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port org.apache.shiro.web.filter.authz.PortFilter
rest org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl org.apache.shiro.web.filter.authz.SslFilter
user org.apache.shiro.web.filter.authc.UserFilter
logout org.apache.shiro.web.filter.authc.LogoutFilter

anon:例子/admins/**=anon 沒有引數,表示可以匿名使用。
authc:例如/admins/user/**=authc表示需要認證(登入)才能使用,FormAuthenticationFilter是表單認證,沒有引數
perms:例子/admins/user/=perms[user:add:],引數可以寫多個,多個時必須加上引號,並且引數之間用逗號分割,例如/admins/user/=perms[“user:add:,user:modify:*”],當有多個引數時必須每個引數都通過才通過,想當於isPermitedAll()方法。
user:例如/admins/user/**=user沒有引數表示必須存在使用者, 身份認證通過或通過記住我認證通過的可以訪問,當登入操作時不做檢查

相關推薦

WebService入門 - CXFSpring整合 (maven專案)

可參考CXF官網-使用Spring編寫服務文件:http://cxf.apache.org/docs/writing-a-service-with-spring.html 1.新增依賴 <!-- spring與cxf 整合webservice 所需 -->

Shiro入門-shirospring整合

引入jar <!-- shiro核心jar --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shi

Apache shiro的簡單介紹使用(spring整合使用)

簡單介紹 ace .cn album spring 整合 amp 介紹 pri http://pic.cnhubei.com/space.php?uid=1774&do=album&id=1343605http://pic.cnhubei.com/space

shirospring整合的配置(第一種)

web.xml的配置 <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://j

apache shirospring整合、動態filterChainDefinitions、以及認證、授權

apache shiro是一個安全認證框架,和spring security相比,在於他使用了比較簡潔易懂的認證和授權方式。其提供的native-session(即把使用者認證後的授權資訊儲存在其自身提供Session中)機制,這樣就可以和HttpSession、EJB

web專案shirospring整合 maven依賴及web配置詳解

依賴shiro的maven座標: <dependency> <groupId>org.apache.shiro</groupId> <artifa

shirospring整合中shiroFilter配置引數loginUrl及unauthorizedUrl含義小記

     shiro與spring整合的時候一般會使用shiro的Filter來代理網站的Filter。網上有很多關於配置shiroFilter的例子,但是感覺都沒有給出引數的具體含義。在此小小的記錄一下。 shiroFilter的xml配置如下: &l

Mybatis中Mapper代理形式開發spring整合

can sna 修改 jar xid oca pac user cal 1.導入jar包 2.分包 cogfig:存放配置文件 mapper:存放映射與接口 pojo:存放實體類 test:測試代碼 3.編寫配置文件 SqlMapConfig.xml <?

mybatisspring整合

fig bsp 切面 業務 開啟 per cep ret ever 1.Spring同mybatis的整合步驟? DataSource(主要提供的數據源) 整合SqlSe

SpringMVC系列(十五)Spring MVCSpring整合時實例被創建兩次的解決方案以及Spring 的 IOC 容器和 SpringMVC 的 IOC 容器的關系

問題 nbsp frame ota 展示 not als pri exc 一、Spring MVC與Spring整合時實例被創建兩次的解決方案 1.問題產生的原因 Spring MVC的配置文件和Spring的配置文件裏面都使用了掃描註解<context:compon

Mybatis(使用)Spring整合

密碼 spring整合 com span 代碼 使用 pos ron log 1.總結 https://pan.baidu.com/s/1kWpz7ZD 密碼:tsvr 2.代碼 https://pan.baidu.com/s/1mjgAeak 密碼:h9j8 3.

redisspring整合·

odi pro classpath sch isp stack exception tst 阻塞 配置spring配置文件applicationContext.xml <?xml version="1.0" encoding="UTF-8"?> <bea

quartz任務調度框架spring整合

ActiveMQspring整合

arc 整合 schema emp jar dep mqc and cti 第一步:引用相關的jar包 <dependency> <groupId>org.springframework</groupId

CXFSpring整合

      WebService的主要目標是跨平臺的可互操作性。為了達到這一目標,WebService完全基於XML(可擴充套件標記語言)、XSD(XMLSchema)等獨立於平臺、獨立於軟體供應商的標準,是建立可互操作的、分散式應用程式的新平臺。簡單的說WebSe

使用CXFSpring整合實現RESTFul WebService

以下引用與網路中!!!     一種軟體架構風格,設計風格而不是標準,只是提供了一組設計原則和約束條件。它主要用於客戶端和伺服器互動類的軟體。基於這個風格設計的軟體可以更簡潔,更有層次,更易於實現快取等機制。   &nbs

Mybatis(3、延遲載入、查詢快取、ehcache整合、逆向工程、spring整合)

版權宣告:本文為博主原創文章,未經博主允許不得轉載。    https://blog.csdn.net/www1056481167/article/details/70597788 延遲載入 延遲載入:先從單表查詢、需要時再從關聯表去關聯查詢,大大提高 資料庫效能,因為

小白入門 Shrio SSM 整合使用

目錄 一、Shrio 簡介 1、什麼是 shiro ? 2、shiro 整體框架  3、shiro 認證和授權的過程 二、SSM 整合 Shiro 1、前提 2、shiro 的相關 jar 包和使用註解需要用到的 aspectj 包 3、自定義 Realm

mybatisspring整合後,#方式查詢速度特別慢解決

首先看下#{},${}區別 這裡引用別人總結的 在這次專案開發中,sql語句非常長,傳入引數雖然才有一個日期,但是在語句中#{date}的佔位多達20多個,這樣就造成解析過慢,引數生成再到語句就差不多要2分鐘,查詢出來耗時3分鐘,後來實在沒辦法,在捨棄了防止sql注入的安全下。使

一種古老的技術:axis1.4操作WebService,實現Spring整合

這是pom檔案中需要的axis需要的依賴 <dependency> <groupId>org.springframework</groupId> <artifactId>spr