`

spring 集成shiro 之 自定义过滤器shiroFilter

 
阅读更多

转:http://blog.csdn.net/shuishouhcd/article/details/9077379

 

最近一段时间,我一直在将shiro集成到我的一个项目中,用作认证和授权处理。

 

            shiro对我来说是个新东西,以下是我学习过的内容:

 

            http://shiro.apache.org/authorization.html

            http://www.cnblogs.com/skyme/archive/2011/09/11/2173760.html  系列

            http://www.infoq.com/cn/articles/apache-shiro

            http://kdboy.iteye.com/blog/1103794

http://www.ibm.com/developerworks/cn/java/j-lo-shiro/

 

如果我那个地方没说明白,可以看这些。

 集成shiro,需要配置web.xml文件,spring的applicationContext.xml配置文件(当然,独立配置一个shiro.xml文件交给spring容器处理也是可以的)。

web.xml文件中的配置:

[html] view plaincopy
 
  1. <!-- shiro filter的名字是shiroFilter,那么在spring的配置文件中要有一个名字为shiroFilter的bean-->  
  2.    <filter>  
  3.         <filter-name>shiroFilter</filter-name>  
  4.         <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
  5.         <init-param>  
  6.              <param-name>targetFilterLifecycle</param-name>  
  7.              <param-value>true</param-value>  
  8.         </init-param>  
  9.    </filter>  
  10.     
  11.    <filter-mapping>  
  12.         <filter-name>shiroFilter</filter-name>  
  13.         <url-pattern>/*</url-pattern>  
  14.    </filter-mapping>  


applicationContext.xml文件中的配置:

 

[html] view plaincopy
 
  1. <!-- 自定义的Shiro Filter-->  
  2.    <bean id="simplePermFilter" class="frame.security.PermissionsAuthorizationFilter"></bean>  
  3. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
  4.     <property name="securityManager" ref="securityManager" />  
  5.     <property name="loginUrl" value="/login" />  
  6.     <property name="successUrl" value="/user/list" />  
  7.     <property name="unauthorizedUrl" value="/login" />  
  8.     <property name="filters">    
  9.            <map>    
  10.                <entry key="sperm" value-ref="simplePermFilter"/>  
  11.            </map>    
  12.        </property>    
  13.     <property name="filterChainDefinitions">  
  14.         <value>  
  15.             /Flat-UI-master/**=anon  
  16.             /index.jsp* = anon  
  17.             /test.jsp*=anon  
  18.             /jsp/** = authc  
  19.             /test/objT.do = sperm  
  20.         </value>  
  21.     </property>  
  22. </bean>  
  23. <!--设置自定义realm -->  
  24.    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
  25.     <property name="realm" ref="myRealm" />  
  26. </bean>  
  27.    <!-- 配置shiro bean processor-->  
  28.    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />  
  29.     <!--myRealm 继承自AuthorizingRealm-->  
  30.     <bean id="myRealm" class="frame.security.MonitorRealm" ></bean>  
  31.     <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">  
  32.          <property name="staticMethod"  
  33.               value="org.apache.shiro.SecurityUtils.setSecurityManager" />  
  34.          <property name="arguments" ref="securityManager" />  
  35.     </bean>    

 

 

代码说明:

  1. shiroFilter 中 loginUrl 为登录页面地址,successUrl 为登录成功页面地址(如果首先访问受保护 URL 登录成功,则跳转到实际访问页面),unauthorizedUrl 认证未通过访问的页面(前面提到的“未经授权页面”)。
  2. shiroFilter 中 filters 属性,formAuthenticationFilter 配置为基于表单认证的过滤器。
  3. shiroFilter 中 filterChainDefinitions 属性,anon 表示匿名访问(不需要认证与授权),authc 表示需要认证,perms[SECURITY_ACCOUNT_VIEW] 表示用户需要提供值为“SECURITY_ACCOUNT_VIEW”Permission 信息。由此可见,连接地址配置为 authc 或 perms[XXX] 表示为受保护资源。
  4. securityManager 中 realm 属性,配置为我们自己实现的 Realm。关于 Realm,参见前面“Shiro Realm”章节。
  5. myShiroRealm 为我们自己需要实现的 Realm 类,为了减小数据库压力,添加了缓存机制。
  6. shiroCacheManager 是 Shiro 对缓存框架 EhCache 的配置。

MonitorRealm.java 是自定义的realm,读取数据库的用户信息,和授权信息。

 

 PermissionsAuthorizationFilter.java 是自定义的过滤器,来实现自己需要的授权过滤方式。

[java] view plaincopy
 
  1. public class MonitorRealm extends AuthorizingRealm{  
  2.       
  3.     @Autowired  
  4.     private DAO dao;<span style="font-family: Consolas, 'Courier New', Courier, mono, serif; font-size: 11.818181991577148px; line-height: 17.27272605895996px; background-color: rgb(248, 248, 248);">//这里自己需要什么就注入什么。  </span>  
  5.   
  6.     public MonitorRealm() {  
  7.         super();  
  8.     }  
  9.       
  10.     /** 
  11.      * 授权操作,决定那些角色可以使用那些资源 
  12.      */  
  13.     @Override  
  14.     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc) {  
  15.           
  16.         //<span style="font-family: Consolas, 'Courier New', Courier, mono, serif; font-size: 11.818181991577148px; line-height: 17.27272605895996px; background-color: rgb(248, 248, 248);">TODO </span><span style="font-family: Consolas, 'Courier New', Courier, mono, serif; font-size: 11.818181991577148px; line-height: 17.27272605895996px; background-color: rgb(248, 248, 248);">访问授权信息</span>  
  17.         return info;  
  18.     }  
  19.   
  20.     /** 
  21.      * 认证操作,判断一个请求是否被允许进入系统 
  22.      */  
  23.     @Override  
  24.     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {  
  25.           
  26.         //<span style="font-family: Consolas, 'Courier New', Courier, mono, serif; font-size: 11.818181991577148px; line-height: 17.27272605895996px;">TODO 用户认证信息  </span>  
  27.             return info;    
  28.     }  
  29.   
  30. }  

 

[java] view plaincopy
 
  1. public class PermissionsAuthorizationFilter extends AuthorizationFilter {  
  2.   
  3.     public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {  
  4.         <span style="font-family: Consolas, 'Courier New', Courier, mono, serif; font-size: 11.818181991577148px; line-height: 17.27272605895996px; background-color: rgb(248, 248, 248);"//自定义过滤器逻辑</span>     
  5.         return true;  
  6.     }  
  7. }  


配置自定义过滤器的关键是配置文件中 的这几句

 

[html] view plaincopy
 
  1. <property name="filters">    
  2.             <map>    
  3.                 <entry key="sperm" value-ref="simplePermFilter"/>  
  4.             </map>    
  5.         </property>    
  6.         <property name="filterChainDefinitions">  
  7.             <value>  
  8.             ...     
  9.                 /test/objT.do ="sperm"  
  10.             </value>  
  11.         </property>  


颜色相同的地方一定要一样,表示用某个过滤器过滤指定路径。因为这个我费了好长时间。

 

 

org.apache.shiro.spring.web.ShiroFilterFactoryBean   的作用是通过spring来初始化shiro的工作环境。如果一个请求进来,shiro的过滤器会先工作,过滤器会调用realm中的授权或认证的方法来获取授权或认证信息。

分享到:
评论

相关推荐

    spring boot 集成 shiro

    Shiro 的过滤器链是处理请求的关键,我们需要在 `ShiroConfig` 中定义过滤器链,例如登录拦截器、权限拦截器等,并指定它们对应的处理路径。 6. **启动 Shiro** 在 Spring Boot 的主类中,我们可以通过 `@...

    Spring配置shiro时自定义Realm中属性无法使用注解注入的解决办法

    在Spring集成Shiro进行安全控制时,我们常常需要自定义Realm来实现权限验证与授权功能。然而,在实际操作中,可能会遇到一个问题:当我们在自定义的Realm类中使用注解(@Autowired)尝试注入Spring管理的Bean时,这些...

    Spring Shiro 学习系统 Spring-Shiro-training

    7. **拦截器和过滤器**:理解Shiro的Filter机制,如何配置和自定义过滤器,实现特定的安全策略。 8. **单元测试与集成测试**:编写测试用例来验证Shiro的安全配置是否有效,包括模拟用户登录、权限验证等。 9. **...

    Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法

    在 Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及解决方法。 一、问题描述 在使用 Spring Boot 集成 Shiro 时,需要...

    spring集成shiro

    5. 配置 Filter:在 Spring 配置文件中定义 Shiro 过滤器,如 `authc`(身份认证)、`perms`(权限控制)等,并将其映射到相应的 URL。 6. 初始化 Shiro:在 Spring 应用启动时,使用 `DelegatingSecurityLifecycle`...

    spring整合shiro

    - **Filter 链**:Shiro 过滤器链定义了请求如何被处理,如 `authc` 过滤器用于身份验证,`perms` 过滤器用于权限控制。 - **注解授权**:Spring AOP 可以结合 Shiro 注解实现细粒度的权限控制,如 `@...

    spring boot+shiro 权限认证管理案例

    4. 编写 Filter 配置:在 Spring Boot 的配置类中,注册 Shiro 过滤器,并设置过滤器链。 5. 集成 Session 管理:Shiro 可以与 Spring Session 集成,实现分布式会话管理,尤其在微服务环境中。 四、Shiro 缓存处理...

    spring-shiro.rar

    本文将深入探讨"spring-shiro.rar"这个压缩包中的入门示例,帮助开发者理解如何在Spring项目中集成Shiro,实现用户身份验证和权限控制。 一、Spring与Shiro概述 1. Spring框架:Spring是Java企业级应用开发的事实...

    spring boot shiro demo项目

    - 实现自定义过滤器,定制权限拦截规则。 - 学习Shiro的Caching机制,提升性能。 通过这个Spring Boot Shiro Demo项目,你可以深入理解Shiro的工作原理,并能快速应用到实际项目中,构建起一套完整的权限管理系统...

    spring shiro整合

    - Filter配置,将Shiro的过滤器链加入到Spring MVC的Filter链中,实现请求的拦截和处理。 通过学习和实践"spring-shiro整合",开发者不仅可以掌握Web安全框架的使用,还能深入理解Spring MVC和MyBatis的集成,提升...

    spring shiro整合入门

    同时,通过`shiroFilter`将Shiro的过滤器链绑定到Spring MVC。 5. **编写Controller**:在Controller中,可以通过`@ShiroRequiresPermissions`和`@ShiroRequiresRoles`注解进行权限控制,限制对特定方法的访问。 6...

    Apache Shiro 集成-spring

    3. Shiro与Spring MVC的整合:配置ShiroFilter,使其作为Spring MVC的拦截器运行。 4. 安全注解:利用@RequiresAuthentication、@RequiresRoles、@RequiresPermissions等注解进行权限控制。 5. 会话管理:可以配置...

    spring-shiro-training项目解读

    2. 配置Spring Security:定义Spring Security的配置类,启用ShiroFilter,并设置相应的过滤器链。 3. 配置Shiro:创建Shiro的配置类,定义Realm,实现认证和授权逻辑。 Realm连接到你的数据源,负责从数据库中获取...

    spring_boot_shiro

    在Spring Boot项目中集成Shiro,首先需要在pom.xml文件中引入Shiro的相关依赖,例如: ```xml &lt;groupId&gt;org.apache.shiro &lt;artifactId&gt;shiro-spring &lt;version&gt;1.8.0 ``` 2. 配置Shiro 在Spring Boot的配置...

    web项目集成shirodemo

    通过这个"web项目集成shirodemo",开发者可以学习到如何配置Shiro,如何编写 Realm 来连接数据库验证用户,如何设置过滤器链来保护URL,以及如何进行权限控制等核心技能。这个案例对于理解和实践Shiro在实际项目中的...

    my-spring-boot集成shiro

    4. **配置Web Filter**:在`Spring Boot`的配置类中,我们需要创建一个`ShiroFilterFactoryBean`,并设置对应的过滤器链定义。 5. **编写Controller**:创建登录、注销等相关的Controller,处理用户的请求。 6. **...

    spring与shiro合成

    3. **设置过滤器**:Shiro通过Filter进行安全控制。在Spring的配置中,定义并注册Shiro Filter,如`authc`(身份验证)、`perms`(权限检查)等,并设定URL拦截规则。 4. **Spring的AOP集成**:通过Spring的AOP功能...

    shiro+spring集成

    - **整合 Filter**:在 web.xml 中配置 Shiro 过滤器,通常会使用 DelegatingFilterProxy 指向 Spring 中的 SecurityManager。 - **启动 Shiro**:在 Spring 的 ApplicationListener 或 ServletContextListener 中...

    Spring整合Shiro做权限控制模块详细案例分析

    2. **配置Shiro**:在Spring配置文件中声明Shiro的过滤器链,定义哪些URL需要进行权限控制。例如,创建一个`shiroFilter` bean,设置过滤规则,如登录拦截器、匿名访问等。 ```xml &lt;bean id="shiroFilter" class=...

Global site tag (gtag.js) - Google Analytics