一、 介绍:
shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密。
shiro功能:用户验证、用户执行访问权限控制、在任何环境下使用session API,如cs程序。可以使用多数据源如同时使用oracle、mysql。单点登录(sso)支持。remember me服务。详细介绍还请看官网的使用手册:http://shiro.apache.org/reference.html
与spring security区别,个人觉得二者的主要区别是:
1、shiro灵活性强,易学易扩展。同时,不仅可以在web中使用,可以工作在任务环境内中。
2、acegi灵活性较差,比较难懂,同时与spring整合性好。
如果对权限要求比较高的项目,个人建议使用shiro,主要原因是可以很容易按业务需求进行扩展。
附件是对与shiro集成的jar整合及源码。
二、shiro与spring集成
shiro默认的配置,主要是加载ini文件进行初始化工作,具体配置,还请看官网的使用手册(http://shiro.apache.org/web.html)init文件不支持与spring的集成。此处主要是如何与spring及springmvc集成。
1、web.xml中配置shiro过滤器,web.xml中的配置类使用了spring的过滤代理类来完成。
- <filter>
- <filter-name>shiroFilter</filter-name>
- <filter-class>
- org.springframework.web.filter.DelegatingFilterProxy
- </filter-class>
- </filter>
- <filter-mapping>
- <filter-name>shiroFilter</filter-name>
- <url-pattern>/*</url-pattern
- </filter-mapping>
- <!--securityManager是shiro的核心,初始化时协调各个模块运行-->
- <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
- <!--单个realm使用realm,如果有多个realm,使用realms属性代替-->
- <property name="realm" ref="leopardRealm" />
- <property name="cacheManager" ref="shiroEhcacheManager" />
- </bean>
- <!--realm配置,realm是shiro的桥梁,它主要是用来判断subject是否可以登录及权限等-->
- <bean id="leopardRealm" class="com.leopard.shiro.realm.LeopardRealm" />
- <!--shiro过滤器配置,bean的id值须与web中的filter-name的值相同-->
- <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
- <property name="securityManager" ref="securityManager" />
- <!-- 没有权限或者失败后跳转的页面 -->
- <property name="loginUrl" value="/login/login.jsp" />
- <property name="successUrl" value="/main/index.jsp" />
- <property name="unauthorizedUrl" value="/login/unauthorized" />
- <property name="filterChainDefinitions">
- <value>
- /login/logoutlogout=logout
- /login/**=anon
- /**=authc,rest
- </value>
- </property>
- </bean>
- <!-- 用户授权/认证信息Cache, 采用EhCache 缓存 -->
- <bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
- <property name="cacheManagerConfigFile" value="classpath:ehcache-shiro.xml"/>
- </bean>
- securityManager是shiro的核心,初始化时协调各个模块运行。
- realm是shiro的桥梁,进行数据源配置,shrio提供了常用的realm数据源配置,如LDAP的JndiLdapRealm,JDBC的JdbcRealm,ini文件的IniRealm,properties文件的PropertiesRealm等,也可以插入自己的 Realm实现来代表自定义的数据源。此处使用了自定义的leopardRealm进行配置,java代码如下:
- public class LeopardRealm extends AuthorizingRealm {
- /**
- * 授权方法,在配有缓存的情况下,只加载一次。
- */
- protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
- SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
- //获取用户信息的所有资料,如权限角色等.
- //info.setStringPermissions(权限集合);
- //info.setRoles(角色集合);
- return info;
- }
- /**
- * 登陆认证
- */
- @Override
- protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
- throws AuthenticationException {
- UsernamePasswordToken usernamePasswordToke = (UsernamePasswordToken)token;
- String username = usernamePasswordToke.getUsername();
- return new SimpleAuthenticationInfo(new ShiroUser("admin", "admin"), "admin",
- ByteSource.Util.bytes("admin"), getName());
- }
- }
- shiroFilter:shiro的权限过滤器配置,可自定义过滤器并关联至filterChainDefinitions中。shiro过滤器说明:
shiro过滤器对应的类:
过滤器名称 对应的java类
authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数。
authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证。
roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。
perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。
rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。
port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。
ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查
注:这些过滤器中anon,authcBasic,auchc,user是认证过滤器,perms,roles,ssl,rest,port是授权过滤器
login.jsp代码
springMVC控制层代码:
最后启动服务登录,实验证明,失败返回登录页,成功进入主页。
- <%@ page language="java" pageEncoding="UTF-8"%>
- <html>
- <body>
- <form action="${pageContext.request.contextPath}/login" method="post">
- 用户名:<input id="username" name="username" />
- 密码:<input id="password" type="password" name="password" />
- 记住我:<input type="checkbox" name="rememberMe" />
- <input type="submit" name="submit" value="submit"/>
- </form>
- </body>
- </html>
- import javax.servlet.http.HttpServletRequest;
- import javax.servlet.http.HttpServletResponse;
- import org.apache.shiro.SecurityUtils;
- import org.apache.shiro.authc.AuthenticationException;
- import org.apache.shiro.authc.IncorrectCredentialsException;
- import org.apache.shiro.authc.UnknownAccountException;
- import org.apache.shiro.authc.UsernamePasswordToken;
- import org.apache.shiro.subject.Subject;
- import org.springframework.stereotype.Controller;
- import org.springframework.web.bind.annotation.RequestMapping;
- import org.springframework.web.servlet.ModelAndView;
- @Controller("loginAction")
- @RequestMapping("/login")
- public class LoginAction {
- @RequestMapping("")
- //登录
- public ModelAndView execute(HttpServletRequest request,
- HttpServletResponse response,String username,String password) {
- UsernamePasswordToken token = new UsernamePasswordToken(username,password);
- //记录该令牌
- token.setRememberMe(false);
- //subject权限对象
- Subject subject = SecurityUtils.getSubject();
- try {
- subject.login(token);
- } catch (UnknownAccountException ex) {//用户名没有找到
- ex.printStackTrace();
- } catch (IncorrectCredentialsException ex) {//用户名密码不匹配
- ex.printStackTrace();
- }catch (AuthenticationException e) {//其他的登录错误
- e.printStackTrace();
- }
- //验证是否成功登录的方法
- if (subject.isAuthenticated()) {
- return new ModelAndView("/main/index.jsp");
- }
- return new ModelAndView("/login/login.jsp");
- }
- //退出
- @RequestMapping("/logout")
- public void logout() {
- Subject subject = SecurityUtils.getSubject();
- subject.logout();
- }
- }
相关推荐
SSM+shiro初级项目:ssm+mysql+shiro。只有验证,没有授权,说明连接:https://blog.csdn.net/qq_27102865/article/details/101299500
在这个初次认识Shiro的讲解中,我们将深入探讨Shiro的核心概念、架构以及如何在Java项目中进行集成。 1. **Shiro的三大核心组件** - **Authentication(认证)**:确认用户身份的过程,即验证用户提供的身份信息...
《OA-Shiro-Activiti-Poi初级版本:整合与应用详解》 在信息化办公环境中,OA(Office Automation)系统扮演着至关重要的角色,它能够有效提升企业内部的工作效率和协同能力。而Shiro、Activiti和Poi是三个在Java...
Apache Shiro是一个强大且易用的Java安全框架,主要用于处理认证、授权、加密以及会话管理等核心安全性问题。在给定的压缩包"shiro1.3.2"中,包含了Shiro的一个核心组件库"shiro-all-1.3.2.jar"以及两个日志管理库...
在使用Shiro 1.7.1时,开发者可以根据具体需求选择合适的模块进行集成,例如,Web应用可能会主要依赖`shiro-core`、`shiro-web`和`shiro-spring`,而需要进行复杂加密操作的应用可能需要`shiro-crypto-hash`和`shiro...
Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,可以非常方便地用于构建和强化应用程序的安全性。Shiro的核心目标是为开发者提供一个简单易用的安全API,使得开发者能够快速...
Apache Shiro是一款强大的...通过上述资源,你将能够逐步构建起对Shiro框架的全面认识,并具备在实际项目中应用Shiro解决安全问题的能力。记得结合实践来巩固理论,这样才能更好地理解和掌握Shiro的核心概念和用法。
### Apache Shiro 使用手册(一)Shiro架构介绍 #### 一、Shiro简介 Apache Shiro 是一款功能强大且易于使用的 Java 安全框架,它提供了多种安全相关的功能和服务,包括但不限于认证、授权、加密和会话管理。相较...
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。在"shiro_tool.zip"这个压缩包中,我们可以推测可能包含了一些关于Shiro使用的工具类、...
`shiro-redisson` 模块就是为了解决这个问题,将 Shiro 的缓存(Cache)和会话(Session)管理功能与 Redis 结合,实现了基于 Redis 的分布式解决方案。 1. **Redisson 库的介绍** Redisson 是一个全面的 Redis ...
shiro-all-1.7.1.jar,shiro-aspectj-1.7.1.jar,shiro-cache-1.7.1.jar,shiro-config-core-1.7.1.jar,shiro-config-ogdl-1.7.1.jar,shiro-core-1.7.1.jar,shiro-crypto-cipher-1.7.1.jar,shiro-crypto-core-1.7.1.jar...
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。Shiro 1.13.0 是其一个重要的版本,包含了多项更新和改进。在这个版本中,开发者可以深入理解其...
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证、授权、加密和会话管理功能,简化了开发人员在应用程序中处理安全问题的复杂性。ShiroTags 是 Shiro 提供的一套用于模板引擎的标签库,如 Freemarker ...
shiro shiro-core-1.7.1 jar shiro漏洞
Apache Shiro是一个强大且易用的Java安全框架,主要用于身份认证、授权(权限控制)、会话管理和加密等安全相关的功能。在这个"shiro权限案例demo"中,我们将深入探讨Shiro如何实现用户权限的管理。 首先,让我们...
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密服务。这个"shiro1.7.1全包修补漏洞.rar"文件包含了针对Apache Shiro 1.7.1版本的一些安全修复和更新,旨在解决可能存在的...
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。在这个压缩包中,包含了一个"跟我学shiro"的书籍和一个名为"shiro-example-master"的...
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权、加密和会话管理功能,简化了处理安全性的工作。在本文中,我们将深入探讨 Apache Shiro 的核心概念及其最简单的整合方式。 一、Shiro 的核心...
本项目"shiro-demo_DEMO_shiro_shriodemo"是一个基于 Shiro 实现的前后端分离的演示示例,旨在帮助开发者快速理解和应用 Shiro 在实际项目中的功能。 **1. Shiro 框架基础** Shiro 提供了以下核心组件: - **...