前言:

shiro因为其简单、可靠、实现方便而成为现在最常用的安全框架,那么这篇文章除了会用简洁明了的方式讲一下基于spring的shiro详细配置和登录注销功能使用之外,也会根据惯例在文章最后总结一下shiro的大致配置使用流程,希望本篇文章能够后能给大家一种原来shiro这么简单的错觉感觉。

注意:该篇文章的开始是建立在一个完备的spring+mybatis的开发环境中,除了shiro之外的配置基本不会涉及到。做好自己--eguid原创文章

一、依赖的jar包

本篇文章使用shiro-1.4.0版本

1、shiro官方下载地址:http://shiro.apache.org/download.html

2、maven依赖项:

[html] view plaincopy print?
  1. <dependency>
  2. <groupId>org.apache.shiro</groupId>
  3. <artifactId>shiro-spring</artifactId>
  4. <version>1.4.0</version>
  5. </dependency>

为什么maven只需要shiro-spring这个依赖项就行了,因为shiro-spring依赖shiro-core和shiro-web两个包,所以会自动继承shiro-core和shiro-web以及这两个包所依赖的项。

二、基于spring的配置方式

1、配置shiro过滤器

[html] view plaincopy print?
  1. <!-- shiro过滤器 -->
  2. <filter>
  3. <filter-name>shiroFilter</filter-name>
  4. <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  5. <init-param>
  6. <param-name>targetFilterLifecycle</param-name>
  7. <param-value>true</param-value>
  8. </init-param>
  9. </filter>
  10. <filter-mapping>
  11. <filter-name>shiroFilter</filter-name>
  12. <url-pattern>/*</url-pattern>
  13. </filter-mapping>

2、基于spring的shiro配置

注意事项:spring在加载上下文的时候,是没有扫描注解的,由于我们在自定义的realm中用到了spring的注解,所以需要在shiro的自定义realm之前进行注解扫描。

<context:component-scan base-package="cc.eguid" />

(1)spring下的shiro完整配置

[html] view plaincopy print?
  1. <!-- shiro的生命周期处理器 -->
  2. <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
  3. <!-- 使用shiro安全检查注解 -->
  4. <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor" />
  5. <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
  6. <property name="securityManager" ref="securityManager" />
  7. </bean>
  8. <!-- 自定义的安全数据源,用来实现自定义的登录验证、角色验证、权限验证 -->
  9. <bean id="myRealm" class="cc.eguid.shiro.MyRealm"/>
  10. <!-- 安全管理器 -->
  11. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
  12. <property name="realm" ref="myRealm" />
  13. </bean>
  14. <!-- shiro过滤器 -->
  15. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
  16. <!-- 配置安全管理器 -->
  17. <property name="securityManager" ref="securityManager" />
  18. <!-- 身份认证失败跳转的地址,没有登录当然就跳转到登录地址 -->
  19. <property name="loginUrl" value="/login/" />
  20. <!-- 身份认证成功跳转的地址,一般登录成功后会跳转到系统首页 -->
  21. <property name="successUrl" value="/" />
  22. <!-- 权限认证失败跳转的地址 ,用来提示当前用户没有操作权限,可以不需要-->
  23. <property name="unauthorizedUrl" value="/login/unauthorized" />
  24. <property name="filterChainDefinitions">
  25. <!--anon 表示匿名访问,不需要认证以及授权 -->
  26. <!--authc表示需要认证 没有进行身份认证是不能进行访问的 -->
  27. <!--authc,roles[admin]表示是admin角色的用户才能访问 -->
  28. <value>
  29. /* = authc
  30. /static/** =anon
  31. /login/** = anon
  32. /admin/** = authc,roles[admin]
  33. /camera/** = authc
  34. /** = authc
  35. </value>
  36. </property>
  37. </bean>

这段配置需要修改的只有shiro过滤器和shiro安全数据源(realm)。

过滤器里可以配置注释里写的很清楚,anon表示匿名访问,authc表示需要进行登录验证、权限验证、角色验证

自定义realm实现请看下面。

(2)自定义的realm安全数据源

[java] view plaincopy print?
  1. public class MyRealm extends AuthorizingRealm{
  2. Logger log=Logger.getLogger(MyRealm.class);
  3. @Autowired
  4. private UserService userService;//这是自己实现的用户信息操作类,实现用户信息,用户角色信息、用户权限信息查询功能
  5. @Override
  6. protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
  7. log.info("从登录凭证中获取用户信息,由于我们在doGetAuthenticationInfo中直接在principals中存放的用户信息对象,所以我们可以获得当前用户信息");
  8. UserInfo user = (UserInfo) principals.getPrimaryPrincipal();
  9. SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
  10. // 查询角色信息
  11. Collection<String> roles = userService.findRoles(user);
  12. log.info("查询用户角色信息并添加到shiro权限验证器中,一个用户可以对应多个角色");
  13. info.addRoles(roles);
  14. // 查询权限信息
  15. Collection<String> permissions = userService.findPermissions(user);
  16. log.info("把用户权限信息添加到shiro权限过滤器中");
  17. info.addStringPermissions(permissions);
  18. return info;
  19. }
  20. @Override
  21. protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)throws AuthenticationException{
  22. log.info("shiro登录验证");
  23. // 在我们自己的登录流程中应该确保登录的用户信息已经插入AuthenticationToken中,这样才能通过shiro的认证流程
  24. String loginname= token.getPrincipal().toString();
  25. //虽然在登录流程中我们给的是String的面,但是shiro中已经写死了密码是个字符数组,所以老老实实的把密码转成char[]吧
  26. char[] password=(char[]) token.getCredentials();
  27. // 查询用户名对应的用户信息
  28. UserInfo user =userService.queryUserInfoByLoginName(loginname);
  29. log.info("验证用户信息:"+loginname+","+user+"密码:"+password);
  30. if (user != null&&user.getPassword()!=null) {
  31. //直接把用户信息对象和密码塞进shiro验证器,shiro会自动判断密码是否正确
  32. AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, password, getName());
  33. return authenticationInfo;
  34. }
  35. return null;
  36. }

三、shiro登录和注销流程实现

[java] view plaincopy print?
  1. /**
  2. * shiro注销,shiro会自动把session释放,所以不需要调用session.invalidate();方法
  3. */
  4. @Override
  5. public void logout(){
  6. Subject currentUser = SecurityUtils.getSubject();
  7. <span style="white-space:pre">  </span>currentUser.logout();
  8. }
  9. /**
  10. * shiro登录
  11. */
  12. @Override
  13. public boolean singin(UserInfo user){
  14. try{
  15. Subject subject = SecurityUtils.getSubject() ;
  16. <span style="white-space:pre">  </span>UsernamePasswordToken token = new UsernamePasswordToken(user.getLoginusername(),user.getPassword()) ;
  17. subject.login(token);
  18. log.info("shiro登录验证成功");
  19. return true;
  20. }catch(AuthenticationException e){
  21. log.error("shiro登录验证不通过",e);
  22. return false;
  23. }
  24. }
  25. /**
  26. * 判断用户是否登录(shiro方式)
  27. */
  28. @Override
  29. public boolean isSignon() {
  30. Subject subject = SecurityUtils.getSubject() ;
  31. return subject.isAuthenticated();
  32. }

四、shiro配置使用总结

1、在web.xml中配置shiro的过滤器

2、在spring应用上下文(例如:applicationContext.xml)中配置shiro过滤器及自定义realm等其他辅助配置,其中

shiro过滤器可以配置哪些接口需要进行登录验证、角色验证、权限验证,哪些不需要进行验证,自定义realm则是为shiro验证器提供了用户信息、用户角色信息和用户权限信息等数据源,进而让shiro进行三项验证。

3、shiro提供了完整的登录流程和注销流程,对原有登录和注销流程做一定修改是免不了的。

以上,希望对大家有所帮助。-- 做好自己--eguid

转载于:https://www.cnblogs.com/eguid/p/7376690.html

简单两步快速实现shiro的配置和使用,包含登录验证、角色验证、权限验证以及shiro登录注销流程(基于spring的方式,使用maven构建)...相关推荐

  1. 两步快速调用微信接口,活字格就是这么强

    众所周知,微信早已开放了公众平台开发者接口,第三方平台在获取公众号授权后,可调用该接口进行配置,为最终用户提供微信端的即时查询.自动回复.信息推送等功能,极大的提高用户体验和运营效率. 以往,要调用微 ...

  2. 只需两步快速获取微信小程序源码

    第一次在掘金这样高大上的社区写文章,忐忑地敲下我获取小程序源码过程中的经验分享. 最近在学习微信小程序开发,半个月学习下来,很想实战一下踩踩坑,于是就仿写了某个小程序的前端实现,过程一言难尽,差不多两 ...

  3. 怎么升级计算机内存容量,简单几步 快速确认电脑内存如何升级

    对于喜欢玩游戏的人来说,能在极致特效下畅玩自己喜欢的游戏,是一件再好不过的事情了.但对于不了解硬件的游戏玩家,往往会存在一个误区,认为显卡才是决定游戏流畅度的唯一标准.其实不然,显卡在游戏流畅度方面确 ...

  4. 计算机删除的文件怎么查找,怎么找回电脑回收站删除的文文件?简单几步快速搞定...

    怎么找回电脑回收站删除的文文件?简单几步快速搞定 2020年06月28日 15:30作者:黄页编辑:黄页 分享 怎么找回电脑回收站删除的文件?回收站是每个电脑所特有的功能之一,不管是笔记本还是台式电脑 ...

  5. 简单两步解决Microsfot Edge浏览器打开PDF卡住的问题 - 【大鼓的电脑百科】

    Hi,我是大鼓,欢迎来到[大鼓的电脑百科],这是我们的第一篇文章,希望这篇文章可以帮到你! 前言 在日常使用中,有时候会遇到使用Microsoft Edge打开PDF时,Microsoft Edge会 ...

  6. 简单两步彻底根除系统多余输入法

    简单两步彻底根除系统多余输入法 大家想必都曾有过这样的遭遇:在Windows系统中不停地按下"Ctrl+Shift"组合键,以切换到你喜欢的输入法.每次都是这么切换来切换去的,是不 ...

  7. 两步快速解决浏览器上传本地文件失败问题

    两步快速解决浏览器上传本地文件失败问题 学校教学平台上传作业总是没法弹出本地目录,经过查资料和试验,我总结了解决方法,只需两步. 使用到的浏览器 ie浏览器 目录 两步快速解决浏览器上传本地文件失败问 ...

  8. 怎么把照片做成电子相册?照片制作视频,简单3步快速拥有炫酷特效!

    照片做成电子相册,是以制作一个照片视频的方式呈现给大家,现在非常流行这种做法.火爆抖音的图片视频,刷爆朋友圈的微信相册,都是这种形式.用数码大师,就能简单3步快速拥有大神一般的酷炫特效.从新手小白到大 ...

  9. 机关办事必备!简单两步掌握一键卡复印技巧

    相信许多朋友都有过在机关单位办事的经历,在大多数机关单位,甚至是银行等场所,时常会有证件复印的需求.使用传统的复印设备进行证件/卡复印,操作过程往往相对繁琐,需要多次扫描以及多次手动送纸,在一些人流量 ...

  10. 简单两步,去除网站首页后缀index.html

    你们的网站还带着一个小尾巴,好low啊.太没技术含量了吧.这个公司正规吗? 公司网站的小尾巴,真的是又难看,又没技术含量.今天简单两步轻松去除. 一.修改默认主页设置 这这里我使用的是虚拟主机.登录阿 ...

最新文章

  1. 光热发电未来或成长为南非电力供应市场的主力军
  2. 根据功率计算用电量和电费
  3. Lync Server 2010 安装部署系列三:添加DNS记录
  4. 小程序_小程序开发,小程序定制开发,小程序搭建,小程序系统开发
  5. linux下 环境搭建教程,Linux环境下搭建pNFS使用环境教程
  6. poj 2352 Stars 树状数组
  7. 线性规划问题的目标函数灵敏度分析
  8. word2013 打开一个新文档,之前打开的最小化的文档也会弹出来?
  9. 如何使用Arduino和R305制作指纹考勤系统
  10. python不定积分教学_python 求定积分和不定积分示例
  11. css骨架图,【CSS】骨架屏 Skeleton 效果
  12. 十年互联网 十个风云人物
  13. 判断是不是数字 Java_java如何判断是不是数字
  14. 黑白棋的设计说明(一)
  15. 2017第八届蓝桥杯决赛(大学B组)java试题 瓷砖样式
  16. SQL:简单查询语句操作实例
  17. 华为天才少年:武大94年博士!江山代有才人出,不拘一格降人才!
  18. 2022-2028年中国数位板行业发展现状调查及市场分析预测报告
  19. Keras(三十四)Transformer模型代码实现
  20. PB12.6INI配置文件乱码问题(ansi|utf8)

热门文章

  1. 你真的要收下这份大礼包!!
  2. 视频描述(Video Captioning)调研
  3. Hibernate:Hibernate缓存策略详解
  4. js代码错误监控代码
  5. 冲刺第二阶段工作总结01
  6. 学习jQuery.Deferred
  7. iOS开发规范篇:清晰的初始化方法
  8. oracle 导入DMP数据 imp 10g
  9. 关于mysql数据库行级锁的使用(一)
  10. Discuz!客户端api开发(一)