shiro+springMVC整合文档及Demo
为什么80%的码农都做不了架构师?>>> 
1.web.xml
<!-- 配置Shiro过滤器,先让Shiro过滤系统接收到的请求 -->
<!-- 这里filter-name必须对应定义的<bean id="shiroFilter"/> -->
<!-- 使用[/*]匹配所有请求,保证所有的可控请求都经过Shiro的过滤 -->
<!-- 通常会将此filter-mapping放置到最前面(即其他filter-mapping前面),以保证它是过滤器链中第一个起作用的 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
<!-- 使用委派Bean的范围,其值必须从org.springframework.context.ApplicationContext.WebApplicationContext中取得,默认值是session;
<init-param>
<param-name>contextAttribute</param-name>
<param-value>session</param-value>
</init-param>
-->
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
2.spring配置文件
<!-- Shiro默认会使用Servlet容器的Session,可通过sessionMode属性来指定使用Shiro原生Session -->
<!-- 即<property name="sessionMode" value="native"/> -->
<!-- 这里主要是设置自定义的单Realm应用,若有多个Realm,可使用'realms'属性代替 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="myRealm"/>
<property name="cacheManager" ref="shiroEhcacheManager"/><!--指定缓存策略-->
</bean>
<!--Shiro缓存配置-->
<bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile">
<value>classpath:ehcache-shiro.xml</value>
</property>
</bean>
<!-- Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行 -->
<!-- Web应用中,Shiro可控制的Web请求必须经过Shiro主过滤器的拦截,Shiro对基于Spring的Web应用提供了完美的支持 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- Shiro的核心安全接口,这个属性是必须的 -->
<property name="securityManager" ref="securityManager"/>
<!-- 要求登录时的链接,非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 -->
<property name="loginUrl" value="/"/>
<!-- 登录成功后要跳转的连接 -->
<!-- <property name="successUrl" value="/system/main"/> -->
<!-- 用户访问未对其授权的资源时,所显示的连接 -->
<property name="unauthorizedUrl" value="/"/>
<!--自定义过滤器,对应的过滤器要继承Shiro的Filter-->
<property name="filters">
<util:map>
<entry key="authc" value-ref="authcFilter" />
<entry key="user" value-ref="userFilter" />
<entry key="logout" value-ref="logoutFilter" />
</util:map>
</property>
<!-- Shiro连接约束配置,即过滤链的定义 -->
<!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 -->
<!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 -->
<!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter -->
<property name="filterChainDefinitions">
<value>
/mydemo/login=anon
/mydemo/getVerifyCodeImage=anon
/main**=authc
/user/info**=authc
/admin/listUser**=authc,perms[admin:manage]
</value>
</property>
</bean>
<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<!-- 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证 -->
<!-- 配置以下两个bean即可实现此功能 -->
<!-- Enable Shiro Annotations for Spring-configured beans. Only run after the lifecycleBeanProcessor has run -->
<!-- 由于本例中并未使用Shiro注解,故注释掉这两个bean(个人觉得将权限通过注解的方式硬编码在程序中,查看起来不是很方便,没必要使用) -->
<!--
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"/>
</bean>
-->
3. Shiro-1.2.2内置的FilterChain
/**
* =============================================================================================================================
* 1)Shiro验证URL时,URL匹配成功便不再继续匹配查找(所以要注意配置文件中的URL顺序,尤其在使用通配符时)
* 故filterChainDefinitions的配置顺序为自上而下,以最上面的为准
* 2)当运行一个Web应用程序时,Shiro将会创建一些有用的默认Filter实例,并自动地在[main]项中将它们置为可用
* 自动地可用的默认的Filter实例是被DefaultFilter枚举类定义的,枚举的名称字段就是可供配置的名称
* anon---------------org.apache.shiro.web.filter.authc.AnonymousFilter
* authc--------------org.apache.shiro.web.filter.authc.FormAuthenticationFilter
* authcBasic---------org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
* logout-------------org.apache.shiro.web.filter.authc.LogoutFilter
* noSessionCreation--org.apache.shiro.web.filter.session.NoSessionCreationFilter
* perms--------------org.apache.shiro.web.filter.authz.PermissionAuthorizationFilter
* port---------------org.apache.shiro.web.filter.authz.PortFilter
* rest---------------org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
* roles--------------org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
* ssl----------------org.apache.shiro.web.filter.authz.SslFilter
* user---------------org.apache.shiro.web.filter.authz.UserFilter
* =============================================================================================================================
* 3)通常可将这些过滤器分为两组
* anon,authc,authcBasic,user是第一组认证过滤器
* perms,port,rest,roles,ssl是第二组授权过滤器
* 注意user和authc不同:当应用开启了rememberMe时,用户下次访问时可以是一个user,但绝不会是authc,因为authc是需要重新认证的
* user表示用户不一定已通过认证,只要曾被Shiro记住过登录状态的用户就可以正常发起请求,比如rememberMe
* 说白了,以前的一个用户登录时开启了rememberMe,然后他关闭浏览器,下次再访问时他就是一个user,而不会authc
* =============================================================================================================================
* 4)举几个例子
* /admin=authc,roles[admin] 表示用户必需已通过认证,并拥有admin角色才可以正常发起'/admin'请求
* /edit=authc,perms[admin:edit] 表示用户必需已通过认证,并拥有admin:edit权限才可以正常发起'/edit'请求
* /home=user 表示用户不一定需要已经通过认证,只需要曾经被Shiro记住过登录状态就可以正常发起'/home'请求
* =============================================================================================================================
* 5)各默认过滤器常用如下(注意URL Pattern里用到的是两颗星,这样才能实现任意层次的全匹配)
* /admins/**=anon 无参,表示可匿名使用,可以理解为匿名用户或游客
* /admins/user/**=authc 无参,表示需认证才能使用
* /admins/user/**=authcBasic 无参,表示httpBasic认证
* /admins/user/**=user 无参,表示必须存在用户,当登入操作时不做检查
* /admins/user/**=ssl 无参,表示安全的URL请求,协议为https
* /admins/user/**=perms[user:add:*]
* 参数可写多个,多参时必须加上引号,且参数之间用逗号分割,如/admins/user/**=perms["user:add:*,user:modify:*"]
* 当有多个参数时必须每个参数都通过才算通过,相当于isPermitedAll()方法
* /admins/user/**=port[8081]
* 当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString
* 其中schmal是协议http或https等,serverName是你访问的Host,8081是Port端口,queryString是你访问的URL里的?后面的参数
* /admins/user/**=rest[user]
* 根据请求的方法,相当于/admins/user/**=perms[user:method],其中method为post,get,delete等
* /admins/user/**=roles[admin]
* 参数可写多个,多个时必须加上引号,且参数之间用逗号分割,如/admins/user/**=roles["admin,guest"]
* 当有多个参数时必须每个参数都通过才算通过,相当于hasAllRoles()方法
* =============================================================================================================================
*/
4. shiro 密码加密和解密
对于登录的密码信息加密,增加密码破解难度。在密码使用Shiro的hash加密方法和自定义方法加密算法。
步骤
1.告诉shiro密码使用何种加密方法
2.告诉shiro如何验证加密密码是否正确
4.1.告诉shiro密码使用何种加密方法
通过Credentials 和 CredentialsMatcher告诉shiro什么加密和密码校验
在配置文件上使用如何使用它们俩告诉shiro如何加密和校验
INI 文件的main 增加如下,可以参考shiro 使用 InI 验证
myRealm = com.demo.MyRealm
customMatcher = com.demo.CustomCredentialsMatcher
myRealm.credentialsMatcher = $customMatcher
与spring集成告诉shiro
<bean id="authorizingRealm" class="com.jeecms.core.security.CmsAuthorizingRealm">
<!--验证方式-->
<property name="credentialsMatcher">
<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<property name="hashAlgorithmName" value="MD5"/>
<!-- true means hex encoded, false means base64 encoded -->
<property name="storedCredentialsHexEncoded" value="true"/>
<!-- 迭代次数 -->
<property name="hashIterations" value="1" />
</bean>
</property>
</bean>
4.2.告诉shiro如何验证加密密码是否正确
告诉shiro如何验证加密密码,通过SimpleCredentialsMatcher或HashedCredentialsMatcher
SimpleCredentialsMatcher(简单证明匹配): SimpleCredentialsMatcher对存储的用户凭证和从AuthenticationToken提交的用户凭证直接执行相等的检查。
HashedCredentialsMatcher:取代将凭证按它们原始形式存储并执行原始数据的对比,存储终端用户的凭证(如密码)更安全的办法是在存储数据之前,先进行hash运算。
自定义的密码校验方法需要继承SimpleCredentialsMatcher或HashedCredentialsMatcher类,实现doCredentialsMatch方法
Demo 中包含用户-角色-权限管理,XSS安全过滤,基于注解的日志管理,文件上传处理,特殊字符过滤,敏感词过滤等等。360云盘地址:https://yunpan.cn/cuVTkA3Wpsh5Q 访问密码 6387
转载于:https://my.oschina.net/momei/blog/512353
shiro+springMVC整合文档及Demo相关推荐
- Nagios安装部署与Cacti整合文档超精细版本
Nagios安装部署与Cacti整合文档超精细版本 (2011-06-01 01:28) 分类: nagios监控 Nagios安装部署与Cacti整合文档 系统环境:CentOS5.4 文档版本:V ...
- Java基于springmvc实现文档预览(openoffice+swftools+flexpaper)(排坑记录)
Java基于springmvc实现文档预览(openoffice+swftools+flexpaper)(排坑记录) 本文代码来源已在末尾标注,写本文的目的在于记录自己在实践过程中遇到的问题及解决方案 ...
- 微博明星事件421整合文档
书籍介绍 最近微博上出现了一个421页的PDF,据说这是一位大学生的毕业论文,这篇长达421页的论文讲的全是娱乐圈的八卦,很多网友都凑到一起要吃瓜,论文中几乎都是娱乐圈的黑历史,这让不少网友都怀疑那些 ...
- 违章查询源码 php,全国车辆违章查询API接口文档及demo
简介 聚合数据全国车辆违章数据接口,目前已经支持300个左右的城市违章查询,已连接上万个APP.方便有车一族随时了解自己是否有过交通违章,避免因遗忘或逾期处理违章罚单而造成的不必要损失. 基于PHP的 ...
- 全国车辆违章查询API文档及demo
简介 聚合数据全国车辆违章API,目前已经支持300个左右的城市违章查询,已连接上万个APP.方便有车一族随时了解自己是否有过交通违章,避免因遗忘或逾期处理违章罚单而造成的不必要损失. API参考文档 ...
- 全国车辆违章查询数据接口文档及demo
简介 聚合数据全国车辆违章数据接口,目前已经支持300个左右的城市违章查询,已连接上万个APP.方便有车一族随时了解自己是否有过交通违章,避免因遗忘或逾期处理违章罚单而造成的不必要损失. API参考文 ...
- Phpcms:整合文档
phpcms整合discuz 首先进入网站后台 打开系统设置-->基本配置-->通行证 是否启用通行证:选"是" 整合文件:选"discuz" 接口 ...
- mpdf中文开发使用文档附demo实例
官网URL:http://www.mpdf1.com/mpdf/index.php github:https://github.com/mpdf/mpdf 官方开发手册,英文的:http://www. ...
- 忽然觉得照着技术文档一个demo一个demo的写是一个十分好的学习方式
这恰恰是我认知和实践的gap填补上去的特别好的方法 在这个过程中 编译,我们可以走Google colab 文章,和反思的点,我们可以放到csdn上面 至于csdn上面和我说有一些时候一天只能发20个 ...
- python批量生成,用python批量生成简单的xml文档
最近生成训练数据时,给一批无效的背景图片生成对应的xml文档,我用python写了一个简单的批量生成xml文档的demo,遇见了意外的小问题,记录一下. 报错问题为:ImportError: No m ...
最新文章
- mac版python3.7怎么使用_【Mac环境】Mac使用python3.7环境
- 1-1-2 交叉编译工具链
- 欧加自贸协定“难产” 物联网安全受关注
- VTK:相互作用之TrackballActor
- python主从_python—mariadb自动部署主从
- Linux使用笔记: 设置Samba服务器中新建文件/目录的权限
- sql server分页_SQL Server中的分页
- Selenium2+python自动化35-获取元素属性
- python wechatpay微信支付回调_python服务器 实现app微信支付:支付异步通知
- boost安装_Boost编译与使用
- Java程序开发过程
- Java多线程电影院_java 多线程-快乐订座电影院
- -1073740791 (0xC0000409)错误,附加内容:qt布局、页面跳转
- 2021-5-11 atcoder C - Replacing Integer
- 【NOIP2014】生活大爆炸版石头剪刀布
- 恶意.NET安全攻防(一):使用ETW隐藏你的.NET
- 神经网络优化(1)之梯度截断
- 读 Dov M. Gabbay 之 Handbook of the History of Logic. Volume 1: Greek, Indian and Arabic Logic
- mysql5.7版本怎么修改密码,mysql 5.7版本修改密码的简单方法
- 涂鸦智能季报图解:营收7500万美元同比增19% 增速明显放缓