【Shiro】- springmvc 整合 shiro

阿新 • • 發佈：2019-03-02

shiro

shiro是apache開源的安全框架，可方便用來處理使用者資訊認證、使用者授權控制、資訊加密等功能。

springmvc整合shiro步驟：

servlet容器提供訪問的入口(web.xml)：DelegatingFilterProxy

<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class> 
   org.springframework.web.filter.DelegatingFilterProxy
   </filter-class>
    <init-param>
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

工作原理：web.xml中配置DelegatingFilterProxy的Servlet物件，其代理的目標Serlvet其實是org.apache.shiro.spring.web.ShiroFilterFactoryBean，為了建立兩個DelegatingFilterProxy和ShiroFilterFactoryBean關係，主要是通過Filter名稱進行繫結的，當客戶端傳送請求時，DelegatingFilterProxy進行攔截，然後根據獲取Filter名稱，最後呼叫IOC容器的getBean的方法獲取和Filter名稱匹配的Bean，因ShiroFilterFactoryBean是FactoryBean因實際上處理客戶端請求的是shiro在IOC容器Filter的實現類

配置shiro的ehcache快取管理器:快取認證等資訊:(可選)

<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <!--Ehcache快取配置檔案為空則使用預設配置-->
        <property name="cacheManagerConfigFile" value="classpath:ehcache-shiro.xml"/>
    </bean>

配置shiro的會話管理器(可選：預設ServletContainerSessionManager)

<bean id="shiroSessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
		<property name="globalSessionTimeout" value="600000"/>  <!-- session 有效時間為半小時 （毫秒單位）-->
		<property name="sessionListeners">
			<list>
				<bean class="com.zhiwei.shiro.listener.sessionLisenter"/>
			</list>
		</property>
	</bean>

配置shiro的realm物件：提供shiro認證/授權資料的資料域物件

<bean id="myRealm" class="com.zhiwei.shiro.realm.MyRealm"  init-method="setCredentialMatcher"/>

配置shiro的安全管理器

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="cacheManager" ref="cacheManager"/>
        <property name="sessionManager" ref="shiroSessionManager"/>
        <property name="realm" ref="myRealm"/>
        <!-- AuthenticationListener在認證器裡面維護 -->
        <property name="authenticator.authenticationListeners"> 
		    <set> 
		        <bean class="com.zhiwei.shiro.listener.DefineAuthenticationListener"/> 
		    </set> 
		</property> 
    </bean>

配置shiro的ShiroFilterFactoryBean(真正處理客戶端請求的類)

securityManager：安全管理器
loginUrl：登陸頁面
successUrl：登陸成功頁面
unauthorizedUrl：授權失敗跳轉的頁面
filterChainDefinitions：過濾器鏈

注意過濾器的工作順序：shiro採取第1次匹配優先，第一次匹配後後面的過濾器鏈不會匹配，順序不當可能出現"302 not found"錯誤

常用過濾器通俗解釋：(過濾路徑支援ant風格)

logout :退出登陸過濾器：預設跳轉專案根路徑訪問地址(可自定義)
anon：匿名過濾器：不需要認證就可以進行訪問：例如公司的首頁
authc：認證過濾器：客戶端只有認證通過之後才能訪問(例如個人資訊)
roles：許可權過濾器：客戶端訪問制定路徑，只有滿足指定的角色才能訪問

千萬注意:名稱必須與web.xml配置的Filter名稱一致，否則IOC找不到對應的Bean出現異常

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/> 
        <property name="loginUrl" value="/toLoginPage"/> 
        <property name="successUrl" value="/toSuccessfulPage"/> 
        <property name="unauthorizedUrl" value="/toUnauthorizedPage"/> 
        <property name="filterChainDefinitions">
            <value> 
                /shiroHandler/shiro-logout = logout 
                /shiroHandler/shiro-login = anon  
                /toUserPage = authc,roles[user] 
                /toAdminPage = authc,roles[admin]
                /** = authc  
            </value>
        </property>
    </bean>

配置shiro元件在具備IOC Bean的生命週期活動 (傳統的Filter的生命週期是由servlet容器進行統一管理，因為DelegatingFilterProxy的緣故，實際處理客戶端請求是IOC容器裡面的Filter，因此shiro的實際處理客戶端請求的過濾器需要屬於IOC的Bean元件，因此最好將其生命週期活動交給IOC容器同一管理)

<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

補充： 配置檔案AuthenticationListener/SessionListener配置

AuthenticationListener：認證監聽器：會負責監聽整個shiro認證過程的情況，對於一些專案想統計使用者登陸的請求，可以使用該介面，該介面在AuthenticatingSecurityManager的Authenticator中的authenticationListeners維護，DefaultWebSecurityManager因繼承了AuthenticatingSecurityManager：使用級聯屬性配置authenticator.authenticationListeners即可：

AuthenticationListener介面：

public interface AuthenticationListener {

    void onSuccess(AuthenticationToken token, AuthenticationInfo info);
    void onLogout(PrincipalCollection principals);
}

spring配置AuthenticationListener：authenticator.authenticationListeners

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="authenticator.authenticationListeners"> 
		    <set> 
		        <bean class="com.zhiwei.shiro.listener.DefineAuthenticationListener"/> 
		    </set> 
		</property> 
    </bean>

SessionListener:會話監聽器：顧名思義就是監聽整個會話的操作過程在SessionManager中的sessionListeners維護：

SessionListener 介面：

public interface SessionListener {
    void onStart(Session session);
    void onStop(Session session);
    void onExpiration(Session session);
}

spring配置SessionListener ：sessionListeners

<bean id="shiroSessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
    <property name="sessionListeners">
        <list>
            <bean class="com.zhiwei.shiro.listener.sessionLisenter"/>
        </list>
    </property>
&l

 
 
              
           
              
              
            
            相關推薦
			   
            
            
            
 

    

    
    【Shiro】- springmvc 整合 shiro
      
                                                        浪費了“黃金五年”的Java程式設計師，還有救嗎？
>>>   
                                        
      

  
 

    

    
    【Java】SpringMVC整合mybatis   連線池c3p0和druid分別實驗
      
                1.pom.xmlSpring框架包 mybatis包 AOP包 aspectj包 aopalliance包<!-- mysql start -->
<dependency>  
    <groupId>mysql</groupId 

  
 

    

    
    【Java】SpringMVC整合poi實現excel的匯入匯出
      
                2.特點：結構： HSSF － 提供讀寫Microsoft Excel格式檔案的功能。 XSSF － 提供讀寫Microsoft Excel OOXML格式檔案的功能。 HWPF － 提供讀寫Microsoft Word格式檔案的功能。 HSLF － 提供讀寫Microsof 

  
 

    

    
    【spring系列】- Springmvc整合apache shiro安全框架
      
							
							
							shiro：

shiro是apache開源的安全框架，可以方便用來處理使用者資訊認證、使用者授權控制、資訊加密等功能，因為其小巧而功能強大在很多SSM架構的web應用系統中被廣泛採用，shiro的架構設計個人覺得結構很清晰，對於想向更高層次發展的開發人員來說， 

  
 

    

    
    【Shiro】SpringMVC+Shiro許可權管理
      <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"    xsi:schemaLocation="http://maven.apache.org/ 

  
 

    

    
    springmvc整合shiro許可權控制
       
 
 一、什麼是Shiro
  
 
 Apache Shiro是一個強大易用的Java安全框架，提供了認證、授權、加密和會話管理等功能： 
 
 
  認證 - 使用者身份識別，常被稱為使用者“登入”；
  授權 - 訪問控制；
  密碼加密 - 保護或隱藏資料防止被偷窺；
  會話 

  
 

    

    
    【原創】安全框架shiro
      Shiro 是當下常見的安全框架，主要用於使用者驗證和授權操作。 
入門 
1、shiro.ini 在src目錄下新建 shiro.ini，這裡面定義了和安全相關的資料：使用者，角色和許可權 
# 定義使用者
[users]
# 使用者名稱 = 密碼, 角色
zhang3 = 12345, admin
li4 

  
 

    

    
    SpringMVC整合Shiro和Swagger產生的路徑過濾問題
      SSM整合Swagger和Shiro時出現的問題： 
一：啟動swagger報錯Unable to infer base url. This is common when using dynamic servlet解決方法 
 
 在shiro配置檔案的自定義的過濾鏈中加上一下程式碼： <!-- swa 

  
 

    

    
    springMvc整合shiro  xml配置
      
                <?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3 

  
 

    

    
    shiro與springmvc整合
      
							
							
							飛哥路徑
1.1shiro與springweb專案的整合
shiro 與 springweb 基於 url攔截，整合注意兩點 ：
1、shiro 與 spring整合
2、加入shiro對web應用的支援
1.2 加入shiro的jar包
shiro-sprin 

  
 

    

    
    SpringMVC整合shiro許可權（附原始碼）
      
							
							
							springMVC框架這裡就不多說了，下面是在springMVC框架上面直接整合shiro程式碼步驟

下面是我專案結構： 




1、web.xml新增Shiro Filter



<filter>
        <filter-nam 

  
 

    

    
    springmvc整合shiro後，session、request姓汪還是姓蔣？
      
                
1. 疑問
我們在專案中使用了spring mvc作為MVC框架，shiro作為許可權控制框架，在使用過程中慢慢地產生了下面幾個疑惑，本篇文章將會帶著疑問慢慢地解析shiro原始碼，從而解開心裡面的那點小糾糾。
（1）在spring controller中，request有 

  
 

    

    
    SpringMVC整合Shiro
      
                

這裡用的是SpringMVC-3.2.4和Shiro-1.2.2，示例程式碼如下


首先是web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5"
	xmlns="htt 

  
 

    

    
    springMVC整合shiro與cas實現SSO單點登入
      
                
一、前言
Apache Shiro與Spring Security一樣是Java的一個安全框架。那為什麼與Spring整合卻用Shiro？其實我個人是認為Spring Security太過於笨重，要寫太多的過濾器，Shiro的配置簡單這就是我選擇的理由，何況Spring官方 

  
 

    

    
    SpringBoot/SpringMVC整合Shiro：實現登入與註冊（MD5加鹽加密）
       
 
 本文轉載於：https://blog.csdn.net/Colton_Null/article/details/78992836 
 ----------------------------------超級囂張的分割線--------------------------------------- 
 

  
 

    

    
    springMVC 整合shiro
      
                
本人小白一枚，初次接觸shiro,花了兩天時間搞了一下可算能用了，當然雖然spring security功能更強大，但是太繁瑣了，不容易入門，並且shiro功能感覺也完全夠用了；各位童鞋可以參考別人的文章：http://jinnianshilongnian.iteye.co 

  
 

    

    
    Springmvc整合Shiro實現許可權管理
      package com.authc.utils;

import java.awt.Color;
import java.awt.Font;
import java.awt.Graphics;
import java.awt.image.BufferedImage;
import java.util.Rand 

  
 

    

    
    SpringMVC整合Shiro許可權框架
      
                
最近在學習Shiro，首先非常感謝開濤大神的《跟我學Shiro》系列，在我學習的過程中發揮了很大的指導作用。學習一個新的東西首先就是做一個demo，多看不如多敲，只有在實踐中才能發現自己的欠缺，下面記錄下來我整合shiro的過程。如果有不足之處，還望各位看官多多指出。
一、 

  
 

    

    
    【Spring】SpringMVC之異常處理
      存儲   targe   存在   cnblogs   del   file   處理機制   href   click   java中的異常分為兩類，一種是運行時異常，一種是非運行時異常。在JavaSE中，運行時異常都是通過try{}catch{}捕獲的，這種只能捕獲顯示的異常，通常項目上拋出的異常都是不可 

  
 

    

    
    【Spring】SpringMVC之攔截器
      https   javax   request   orm   bin   支持   exceptio   賬號   intern   Spring的HandlerMapping處理器支持攔截器應用。當需要為某些請求提供特殊功能時，例如實現對用戶進行身份認證、登錄檢查等功能。
攔截器必須實現HandlerI