spring整合shiro框架

nullcy

2019-12-11

上一篇文章已经对shiro框架做了一定的介绍，这篇文章讲述使用spring整合shiro框架，实现用户认证已经权限控制

1.搭建环境

这里不在赘述spring环境的搭建，可以简单的搭建一个ssm框架，整合后进行简单的测试

1.1 添加依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.3.2</version>
</dependency>
<!--shiro核心包-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.3.2</version>
</dependency>

1.2 web.xml配置

在web.xml中添加如下过滤器，注意filter-name的值是shiroFilter

<!-- Shiro Security filter filter-name这个名字的值将来还会在spring中用到-->
 <filter>
   <filter-name>shiroFilter</filter-name>
   <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
   <init-param>
     <param-name>targetFilterLifecycle</param-name>
     <param-value>true</param-value>
   </init-param>
 </filter>
 <filter-mapping>
   <filter-name>shiroFilter</filter-name>
   <url-pattern>/*</url-pattern>
 </filter-mapping>

这个过滤器拦截所有的请求，根据filter-name也就是shiroFilter转发到shiro的配置文件中的一个名字也为shiroFilter的ShiroFilterFactoryBean，在下面的配置文件中有体现

1.3 Spring整合shiro

在export_manager_web的resources下的spring文件夹创建配置文件applicationContext-shiro.xml

这是我的项目下的配置，这个配置文件应该在resources下，在项目启动是被加载
spring整合shiro框架

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"                         xmlns:aop="http://www.springframework.org/schema/aop"
       xsi:schemaLocation="
        http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
        http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop.xsd">
    
<!-- filter-name这个名字的值来自于web.xml中filter的名字 -->
  <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <!--登录页面 如果没有登录 访问项目的方法或页面 直接跳转到这个页面 -->
    <property name="loginUrl" value="/login.jsp"></property>
    <!--登录后 在访问没有经过授权的方法或页面时 直接跳转到这个页面 -->
    <property name="unauthorizedUrl" value="/unauthorized.jsp"></property>
    <property name="filterChainDefinitions">
      <!-- /**代表下面的多级目录也过滤 -->
      <value>
        /login.jsp = anon
        /css/** = anon
        /img/** = anon
        /plugins/** = anon
        /make/** = anon
        /login.do = anon        
        /** = authc
      </value>
    </property>
  </bean> 

<!-- 引用自定义的realm -->
  <bean id="saasRealm" class="cn.test.realm.SaasRealm"/>

  <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="saasRealm"/>
  </bean>
  <!-- 安全管理器 -->
  <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
     <property name="securityManager" ref="securityManager"/>
  </bean>

  <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
  <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

  <!-- 生成代理，通过代理进行控制 -->
  <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
     depends-on="lifecycleBeanPostProcessor">
    <property name="proxyTargetClass" value="true"/>
  </bean>

  <aop:aspectj-autoproxy proxy-target-class="true"/>
</beans>

2.完成shiro认证操作

2.1 在LoginController编写login登录方法

@RequestMapping("/login")
   public String login(String email, String password) {
//     做非空判断
        if(StringUtils.isEmpty(email)||StringUtils.isEmpty(password)){
            request.setAttribute("error","邮箱或密码不能为空");
            return "forward:login.jsp";
        }
//        使用shiro的认证方式：1、创建令牌  2、获取主题  3、开始认证
//              Md5Hash也是shiro框架提供的加密方式     
        password = new Md5Hash(password, email, 2).toString();//把页面上输入的明文的密码转成密文的
        UsernamePasswordToken token = new UsernamePasswordToken(email,password);//创建令牌
        Subject subject = SecurityUtils.getSubject();//获取主题
        try {
          //开始认证，会进入用户自定义的realm中的认证方法完成认证，认证失败会抛出异常
            subject.login(token);
        } catch (AuthenticationException e) {
//            e.printStackTrace();
            request.setAttribute("error","邮箱或者密码有误");
            return "forward:login.jsp";
        }       
        User user = (User) subject.getPrincipal(); //从shiro中获取当前登录人
//        把当前登录人放入到session
        session.setAttribute("loginUser",user);
//              下面是对权限的管理     
        List<Module> moduleList = moduleService.findModuleListByUser(user);
        session.setAttribute("modules",moduleList);
        return "home/main";
  }

2.2 自定义realm

创建一个类继承一个父类AuthorizingRealm，实现父类的两个方法，一个关于认证，一个关于授权的，这个类就是自定义的realm，下面是我自定义realm的内容

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import java.util.List;

public class SaasRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

//    认证 ，在方法中完成email和password的校验
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("+++++进入了认证方法AuthenticationInfo");
//          通过参数获取用户输入的用户名和密码
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String email = token.getUsername();
        String password_page = new String(token.getPassword());
        User user = userService.findByEmail(email); //从数据库中查询
        if(user!=null){
//            匹配密码
            String password_db = user.getPassword();
            if(password_db.equals(password_page)){
              //Object principal, Object credentials 密码, String realmName 当前realm的类名
                return new SimpleAuthenticationInfo(user,password_db,getName()); 
            }
        }
        return null; //没有用户
    }

//    授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

}

定义过realm之后将Realm交给IOC容器并且受securityManager的管理

<!-- 引用自定义的realm-->
    <bean id="saasRealm" class="com.itheima.controller.realm.SaasRealm"/>


    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
         <property name="realm" ref="saasRealm"/>
        <!--将缓存对象添加到管理者的属性中-->
        <property name="cacheManager" ref="cacheManager"/>
    </bean>

2.3 退出登录

在LoginController中的写logout方法

@RequestMapping(value="/logout",name="用户登出")
public String logout(){
  SecurityUtils.getSubject().logout();//登出
  return "forward:login.jsp";
}

到这里，使用shior框架完成用户的认证已经完成，下面来实现使用shiro框架进行授权管理

3.基于shiro的用户授权

控制权限主要有两种方式，xml配置和注解

3.1.xml配置

spring整合shiro框架

3.2注解配置

spring整合shiro框架

最后：

1.可以使用shiro的标签库实现细颗粒度的控制，使用的时候可以参考我上一篇文章中介绍的每一个标签的作用来实现，记得引入标签库

2.如果shiro自带的十个过滤器不能满足你的需求，你可以自定义过滤器，实现自己的功能

shiro spring框架框架

nullcy

0 关注 0 粉丝 0 动态

关注关注

不用 Spring Security 可否？试试这个小而美的安全框架

写在前面在一款应用的整个生命周期，我们都会谈及该应用的数据安全问题。用户的合法性与数据的可见性是数据安全中非常重要的一部分。但是，一方面，不同的应用对于数据的合法性和可见性要求的维度与粒度都有所区别；另一方面，以当前微服务、多服务的架构方式，如何共享Ses

MicroBoy 2020-08-02

Spring Security 从入门到实战

Spring Security 和 Apache Shiro 都是安全框架，为Java应用程序提供身份认证和授权。本片文章将讲述Security入门到项目实战使用。其中包括简单的登录和项目常用的权限管理，权限校验有两种方式、角色资源校验、URL校验，如果有

MicroBoy 2020-07-05

springboot windows10风格工作流整合项目框架源码 shiro 安全框架

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用，非桌面应用程序。

luckyxl0 2020-08-16

windows10风格 springboot mybatis 项目框架源码 shiro flowable工作流

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用，非桌面应用程序。

Dullonjiang 2020-08-09

springboot windows10风格工作流整合项目框架源码 shiro

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用，非桌面应用程序。

ganjing 2020-08-02

springboot windows10风格工作流整合项目框架源码 shiro 安全框架

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用，非桌面应用程序。

zmzmmf 2020-07-09

shiro配合druid使用下URL拦截权限设置为anno时遇到的问题

在使用shiro做权限控制的一个系统中，其中有一个页面需要配置为无需登录就能访问，配置方法如下。这里配置的意思就是所有人都能直接访问 /test 这个路径，但是实际访问时，却报如下错误：

杜鲁门 2020-11-05

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager，对rememberMe的cookie做了加密处理，在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

xclxcl 2020-08-03

Apache Shiro 反序列化(CVE-2016-4437)复现

zmzmmf 2020-08-03

【Shiro】05 自定义Realm认证实现

Shiro默认使用自带的IniRealm，IniRealm从ini配置文件中读取用户的信息，大部分情况下需要从系统的数据库中读取用户信息，所以需要自定义realm。public abstract class CachingRealm implements

likesyour 2020-08-01

springcloud vue.js 微服务分布式 flowable 工作流前后分离 shiro权限

三：系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理：点开二级菜单进入三级菜单

zzhao 2020-06-26

springcloud vue.js 微服务分布式 activiti工作流前后分离集成代码生成器 shiro权限

三：系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理：点开二级菜单进入三级菜单

子云 2020-06-18

shiro java 反序列漏洞复现

返回值中能在set-cookie很明显看到rememberme=deleteme 这个的字段，那么很有可能存在shiro漏洞。运行shiro.py根据域名生成payload,后面的网址就是上一步生成的域名，前面自己加上http://头。复制payload，

visionzheng 2020-06-07

Spring Security

Spring家族的安全管理框架，竞品是Shiro。虽然Security功能比Shiro强大，但Spring Boot出现之前，Security的整合比较麻烦，使得大部分项目选择使用Shiro。Spring Boot对于Spring Security提供了自

neweastsun 2020-06-04

SpringBoot11：集成Shiro

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Cryptography：加密，使用密码学

ErixHao 2020-06-03

Shiro+JWT 实现权限管理(一)--Shiro

再后来的工作过程中,发现了shiro的一些不足之处--对于多端登录支持不是很友好,需要自己去实现具体功能.在大致研究了JWT功能后,决定对之前写的权限管理做一些优化--使用JWT做认证,配合Shrio强大的授权功能,实现更加全面、轻量化的权限管理.之前那篇

GDreams0 2020-06-01

springboot整合shiro

Shiro是Apache下的一个开源项目。shiro属于轻量级框架，相对于SpringSecurity简单的多，也没有SpringSecurity那么复杂。

ganjing 2020-05-29

Java项目源码考试系统 springboot mybaits vue.js 前后分离跨域 shiro 权限

34. 成绩管理：可以根据条件检索考生成绩，分值排序逆序，查看排名，查看考生试卷信息，查看试题统计图。列表动态滑动放大展示。

zmzmmf 2020-05-28

shiro配置登录验证（前后端分离项目）

本次只是记录一下启用shiro配置过程遗忘掉的几个关键点，首先项目是前后端分离的后台，提供json格式的接口数据，但又是一个web项目，现在要控制登录之后才能使用1、ShiroFilterFactoryBean我这里是一个自定义的，继承ShiroFilte

nullcy 2020-05-26

30分钟学会如何使用Shiro

要学习如何使用Shiro必须先从它的架构谈起，作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何容器，它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。下面以用户登录为例：。token可以理解为用户令牌，登录的过程被抽象为S

ganjing 2020-05-22

安科网

spring整合shiro框架

nullcy

1.搭建环境

1.1 添加依赖

1.2 web.xml配置

1.3 Spring整合shiro

2.完成shiro认证操作

2.1 在LoginController编写login登录方法

2.2 自定义realm

2.3 退出登录

3.基于shiro的用户授权

3.1.xml配置

3.2注解配置

最后：

nullcy

相关推荐

不用 Spring Security 可否？试试这个小而美的安全框架

Spring Security 从入门到实战

springboot windows10风格工作流整合项目框架源码 shiro 安全框架

windows10风格 springboot mybatis 项目框架源码 shiro flowable工作流

springboot windows10风格工作流整合项目框架源码 shiro

springboot windows10风格工作流整合项目框架源码 shiro 安全框架

shiro配合druid使用下URL拦截权限设置为anno时遇到的问题

Apache Shiro 反序列化(CVE-2016-4437)复现

Apache Shiro 反序列化(CVE-2016-4437)复现

【Shiro】05 自定义Realm认证实现

springcloud vue.js 微服务分布式 flowable 工作流前后分离 shiro权限

springcloud vue.js 微服务分布式 activiti工作流前后分离集成代码生成器 shiro权限

shiro java 反序列漏洞复现

Spring Security

SpringBoot11：集成Shiro

Shiro+JWT 实现权限管理(一)--Shiro

springboot整合shiro

Java项目源码考试系统 springboot mybaits vue.js 前后分离跨域 shiro 权限

shiro配置登录验证（前后端分离项目）

30分钟学会如何使用Shiro

nullcy