shiro使用总结-项目集成开发
来源:互联网 发布:知乎日报打不开 编辑:程序博客网 时间:2024/06/04 22:47
使用shiro进行项目的集成开发,需要注意:shiro与spring整合,加入shiro对web应用的支持。
1.在web.xml添加shiro Filter
<!-- shiro过虑器,DelegatingFilterProx会从spring容器中找shiroFilter --><filter><filter-name>shiroFilter</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class><init-param><param-name>targetFilterLifecycle</param-name><param-value>true</param-value></init-param></filter><filter-mapping><filter-name>shiroFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping>
2.添加 applicationContext-shiro.xml
<!-- Shiro 的Web过滤器 --><bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"><property name="securityManager" ref="securityManager" /><!-- 如果没有认证将要跳转的登陆地址,http可访问的url,如果不在表单认证过虑器FormAuthenticationFilter中指定此地址就为身份认证地址 --><property name="loginUrl" value="/login.action" /><!-- 没有权限跳转的地址 --><property name="unauthorizedUrl" value="/refuse.jsp" /><!-- shiro拦截器配置 --><property name="filters"><map><entry key="authc" value-ref="formAuthenticationFilter" /></map></property><property name="filterChainDefinitions"><value><!-- 必须通过身份认证方可访问,身份认 证的url必须和过虑器中指定的loginUrl一致 -->/loginsubmit.action = authc<!-- 退出拦截,请求logout.action执行退出操作 -->/logout.action = logout<!-- 无权访问页面 -->/refuse.jsp = anon<!-- roles[XX]表示有XX角色才可访问 -->/item/list.action = roles[item],authc/js/** anon/images/** anon/styles/** anon<!-- user表示身份认证通过或通过记住我认证通过的可以访问 -->/** = user<!-- /**放在最下边,如果一个url有多个过虑器则多个过虑器中间用逗号分隔,如:/** = user,roles[admin] --></value></property></bean><!-- 安全管理器 --><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"><property name="realm" ref="userRealm" /></bean><!-- 自定义 realm --><bean id="userRealm" class="cn.itcast.ssm.realm.CustomRealm1"></bean><!-- 基于Form表单的身份验证过滤器,不配置将也会注册此过虑器,表单中的用户账号、密码及loginurl将采用默认值,建议配置 --><bean id="formAuthenticationFilter"class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter"><!-- 表单中账号的input名称 --><property name="usernameParam" value="usercode" /><!-- 表单中密码的input名称 --><property name="passwordParam" value="password" /><!-- <property name="rememberMeParam" value="rememberMe"/> --><!-- loginurl:用户登陆地址,此地址是可以http访问的url地址 --><property name="loginUrl" value="/loginsubmit.action" /></bean>
securityManager:这个属性是必须的。
loginUrl:没有登录认证的用户请求将跳转到此地址,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。
unauthorizedUrl:没有权限默认跳转的页面。
shiro过滤器
过滤器简称
对应的java类
anon
org.apache.shiro.web.filter.authc.AnonymousFilter
authc
org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic
org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
perms
org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port
org.apache.shiro.web.filter.authz.PortFilter
rest
org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles
org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl
org.apache.shiro.web.filter.authz.SslFilter
user
org.apache.shiro.web.filter.authc.UserFilter
logout
org.apache.shiro.web.filter.authc.LogoutFilter
anon:例子/admins/**=anon 没有参数,表示可以匿名使用。
authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数
roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。
perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。
rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method],其中method为post,get,delete等。
port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString
是你访问的url里的?后面的参数。
authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证
ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查
注:
anon,authcBasic,auchc,user是认证过滤器,
perms,roles,ssl,rest,port是授权过滤器
3.springmvc.xml
springmvc.xml中配置shiro注解支持,可在controller方法中使用shiro注解配置权限:
<!-- 开启aop,对类代理 --><aop:config proxy-target-class="true"></aop:config><!-- 开启shiro注解支持 --><beanclass="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"><property name="securityManager" ref="securityManager" /></bean>
// 查询商品列表@RequestMapping("/queryItem")@RequiresPermissions("item:query")public ModelAndView queryItem() throws Exception {
上边代码@RequiresPermissions("item:query")表示必须拥有“item:query”权限方可执行。
公司基本的使用就是在controlller上面加注解,进行权限认证,或者更细粒度的控制不仅控制到界面或者菜单,还有某个按钮,这就可能在jsp使用shiro的jsp标签
<%@tagliburi="http://shiro.apache.org/tags" prefix="shiro"%>
标签名称
标签条件(均是显示标签内容)
<shiro:authenticated>
登录之后
<shiro:notAuthenticated>
不在登录状态时
<shiro:guest>
用户在没有RememberMe时
<shiro:user>
用户在RememberMe时
<shiro:hasAnyRoles name="abc,123" >
在有abc或者123角色时
<shiro:hasRole name="abc">
拥有角色abc
<shiro:lacksRole name="abc">
没有角色abc
<shiro:hasPermission name="abc">
拥有权限资源abc
<shiro:lacksPermission name="abc">
没有abc权限资源
<shiro:principal>
显示用户身份名称
<shiro:principalproperty="username"/> 显示用户身份中的属性值
- shiro使用总结-项目集成开发
- shiro与项目集成开发
- shiro教程(4)-shiro与项目集成开发
- ssm项目集成shiro
- Shiro集成spring企业级开发
- shiro 的web集成使用
- Shiro权限控制框架 ---SpringMVC+Spring+My batis+Mysql+Maven集成开发Web项目
- shiro使用总结
- Shiro 基本使用总结
- 在项目中集成shiro权限框架
- 使用SSH集成框架开发项目步骤
- 使用SSH集成框架开发项目步骤
- 使用SSH集成框架开发项目步骤
- Shiro学习总结(10)——Spring集成Shiro
- 【Shiro】shiro在springmvc里面的集成使用
- 项目集成短信总结
- Shiro 权限框架使用总结
- Shiro 权限框架使用总结
- Eclipse恢复已删除的文件和代码、svn使用了还原,但本地的没有提交找回没提交代码的方法
- 《hbase学习》-04-HBase数据快速导入之ImportTsv
- js如何准确获取当前页面url网址信息
- 亿级Web系统搭建:单机到分布式集群
- Android:基础知识整理
- shiro使用总结-项目集成开发
- 字符设备驱动之/proc/devices和/dev的关系
- python中open函数在遇到中文路径的解决方法
- 实战案例-- 用Java编写基础小程序
- uva459(并查集)
- AES加密解密的数据和android的不一样效果?
- Android 判断当前设备是手机还是平板
- codeforces722C
- C#属性和成员变量的区别?