shiro(5)-重点研究的urls配置
在shiro.ini 中配置的结点urls可能是shiro中处理web项目比较核心的部分,在这里边配置各个过滤器的规则。
如果你想使用需要在web.xml中配置
<filter> <filter-name>ShiroFilter</filter-name>
<filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
</filter><filter-mapping> <filter-name>ShiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping> |
可以动态的设置shiro.ini的路径,一种是写到配置文件中,一种是使用程序加载。
在web.xml中可以动态配置shiro.ini的位置
示例如下:
<filter> <filter-name>ShiroFilter</filter-name>
<filter-class>org.apache.shiro.web.servlet.IniShiroFilter</filter-class>
<init-param>
<param-name>configPath</param-name>
<param-value>/WEB-INF/anotherFile.ini</param-value>
</init-param>
</filter> |
还有一种方式是通过应用程序加载
根据示例中的spring-hibernate
配置
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
|
设置filterChainDefinitions属性,就可以将设置中的值动态的加载到对应的INI类中。也可以实现加载配置过滤器的效果。
shiro.ini的[urls]节点
# [main], [users] and [roles] above here...[urls]... |
节点下的配置信息如下格式
URL_Ant_Path_Expression = Path_Specific_Filter_Chain
示例如下:
...[urls]/index.html = anon/user/create = anon/user/** = authc/admin/** = authc, roles[administrator]/rest/** = authc, rest/remoting/rpc/** = authc, perms["remote:invoke"]
|
指定对应的url执行的过滤器链。
如果出现下面的这种过滤情况
/account/** = ssl, authc/account/signup = anon |
则下面的默认永远都不执行,即访问/account/signup/index.html 的时候,只执行上面的过滤器,不执行下面的。
如果shiro提供的过滤器不能满足要求,则可以使用自定义的过滤器,设置的规则如下:
[main]...myFilter = com.company.web.some.FilterImplementationmyFilter.property1 = value1...[urls].../some/path/** = myFilter |
shiro中默认的过滤器
| 过滤器名称 | 过滤器类 | 描述 |
| anon | org.apache.shiro.web.filter.authc.AnonymousFilter | 匿名过滤器 |
| authc | org.apache.shiro.web.filter.authc.FormAuthenticationFilter | 如果继续操作,需要做对应的表单验证否则不能通过 |
| authcBasic | org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter | 基本http验证过滤,如果不通过,跳转屋登录页面 |
| logout | org.apache.shiro.web.filter.authc.LogoutFilter | 登录退出过滤器 |
| noSessionCreation | org.apache.shiro.web.filter.session.NoSessionCreationFilter | 没有session创建过滤器 |
| perms | org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter | 权限过滤器 |
| port | org.apache.shiro.web.filter.authz.PortFilter | 端口过滤器,可以设置是否是指定端口如果不是跳转到登录页面 |
| rest | org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter | http方法过滤器,可以指定如post不能进行访问等 |
| roles | org.apache.shiro.web.filter.authz.RolesAuthorizationFilter | 角色过滤器,判断当前用户是否指定角色 |
| ssl | org.apache.shiro.web.filter.authz.SslFilter | 请求需要通过ssl,如果不是跳转回登录页 |
| user | org.apache.shiro.web.filter.authc.UserFilter | 如果访问一个已知用户,比如记住我功能,走这个过滤器 |
当然也可以设置过滤器的使用或者禁用:
对应的设置如下:
[main]...# configure Shiro's default 'ssl' filter to be disabled while testing:
ssl.enabled = false
[urls].../some/path = ssl, authc/another/path = ssl, roles[admin]... |
基本表单登录
[main]authc.loginUrl = /login.jsp[urls]# your login form page here:login.jsp = authc |
在login.jsp中
<form ...> Username: <input type="text" name="username"/> <br/>
Password: <input type="password" name="password"/>
...
<input type="checkbox" name="rememberMe" value="true"/>Remember Me?
...
</form> |
在不连接数据库的情况下
[main]...authc.loginUrl = /whatever.jspauthc.usernameParam = somethingOtherThanUsernameauthc.passwordParam = somethingOtherThanPasswordauthc.rememberMeParam = somethingOtherThanRememberMe... |
相关推荐
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
Shiro的Web模块提供了一个名为`FilterChainResolver`的接口,它负责构建和解析过滤链,将URL映射到对应的过滤器。 以下是使用Shiro实现URL拦截和权限控制的基本步骤: 1. **配置Shiro**:在Spring或者其他的配置...
然后,你需要创建一个`ShiroFilter`配置,定义Shiro过滤器链,这是Shiro控制URL访问的核心部分。在`web.xml`或Spring Boot的配置文件中,你会看到类似下面的配置: ```xml <filter-name>shiroFilter ...
在`web.xml`或Shiro配置中,你可以定义过滤器链,指定哪些URL需要经过哪些过滤器处理。 **6. 实战Demo** 在"ShiroDemo"项目中,可能包含了以下部分: - 主体(Subject)的使用,如`subject.login()`和`subject....
总的来说,Shiro 的内存模型主要包括过滤器链、URL 与过滤器的映射、以及用户权限信息的缓存。这个模型确保了安全控制的高效性和灵活性。通过对请求的权限解析和用户权限的匹配,Shiro 能够精确地控制不同用户对应用...
在SpringMVC中,我们需要配置Shiro Filter Chain定义,这将决定哪些URL需要经过哪个过滤器。例如,`authc`过滤器用于处理身份验证,`perms`过滤器用于权限检查。在SpringMVC的DispatcherServlet配置中,我们将Shiro...
在`shiro.ini`或Spring配置文件中,需要定义过滤器链并映射URL。 - **Caching**:Shiro支持缓存机制,可以提高性能,减少对数据源的访问。例如,可以在 Realm 中启用缓存,以存储用户的认证和授权信息。 - **Session...
5. **Web支持**:Shiro 的Web模块提供了一套简单的过滤器来实现Web应用的安全控制,这些过滤器可以直接配置在web.xml中,使得安全配置更加直观。 6. **测试**:Shiro 还提供了丰富的测试类,方便开发者进行安全相关...
4. **配置Spring**:在Spring的配置文件(如`applicationContext.xml`或`dispatcher-servlet.xml`)中,配置Shiro的FilterChainDefinitionSource,设置Shiro过滤器链,定义哪些URL需要经过哪些过滤器处理。...
6. 配置Shiro的Web过滤器,指定哪些URL需要经过Shiro过滤,哪些可以匿名访问,哪些需要特定的角色或权限。 在这个"springboot+shiro.zip"压缩包中,很可能是包含了上述步骤的代码实现,包括SpringBoot的启动类、...
2. **创建 Shiro Filter**:配置 Shiro 过滤器链,定义哪些 URL 需要经过哪些过滤器,如 anon(匿名访问)、authc(认证过滤器)等。 3. **Spring 配置**:在 Spring 配置文件中声明 Shiro 的相关 bean,如 ...
3. **配置Web应用**:在`web.xml`中配置ShiroFilter,指定过滤器链和对应的URL拦截规则。 4. **处理用户登录**:在控制器中,使用`Subject.login()`方法处理用户登录请求。 5. **授权控制**:使用`@RequiresRoles`...
1. **Shiro配置**:在Spring的配置文件中,你需要定义Shiro的Filter Chain Definition,指定哪些URL需要通过Shiro过滤器处理。 2. ** Realm创建**:Realm是Shiro与应用程序数据源交互的桥梁,你需要创建自定义的...
通过学习这个例子,你可以了解Shiro的基本架构,包括配置SecurityManager、创建自定义Realm、处理Session以及设置过滤器链。对于后续深入学习Shiro的其他高级特性,如角色、权限的细粒度控制,会话管理,以及集成...
5. **Filter配置**:Shiro的Web部分通常依赖于`shiro-filter`配置,定义了哪些URL路径需要经过哪些过滤器,比如`authc`(认证过滤器)和`perms`(权限过滤器)。 6. ** Realm实现**:Shiro通过`Realm`与应用程序的...
3. **过滤器配置**:Shiro通过Filter来实现对URL的访问控制。配置如'authc'(认证过滤器)和'perms'(权限过滤器)来保护需要登录或特定权限才能访问的资源。 4. **Session管理**:Shiro可以接管Web应用的Session...
3. **配置Spring**:在Spring配置文件中,定义Shiro的Filter Chain Definition,这将指定哪些URL需要通过Shiro过滤器进行处理。同时,需要配置Shiro的bean,如SecurityManager,SessionManager等。 4. **编写控制器...
- **创建过滤器链**:在SpringMVC的配置文件中,配置Shiro的过滤器链,例如`authc`(身份验证)、`perms`(权限控制)等。 - **整合Spring**:将Shiro与Spring容器结合,通过Spring的`DelegatingFilterProxy`注册...