程序博客网 > 初中课程同步辅导软件

spring shiro

来源:互联网 发布:初中课程同步辅导软件 编辑:程序博客网 时间:2024/05/20 13:39

1.shiro定义
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
2.shiro主要功能
Authentication 身份认证/登录,验证用户是不是拥有相应的身份
Authorization 授权,即权限验证,判断某个已经认证过的用户是否拥有某些权限访问某些资源
SessionManager 会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中
Cryptography
加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
3.shiro组件
这里写图片描述
subject:当前“用户”,与当前应用交互的任何东西都是Subject;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面.
SecurityManager:安全管理器,Shiro的核心;所有与安全有关的操作都会与SecurityManager交互;它管理着所有Subject,负责与其他组件进行交互,进行认证和授权、及会话、缓存的管理
Realm:域,Shiro从Realm获取安全数据(如用户、角色、权限)SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;
sessionManage:管理session生命周期。
SessionDAO:对session进行crud操作。
cacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的。
Cryptography:密码模块
4.web.xml

  <!-- shiro过滤器定义 -->  <filter>    <filter-name>shiroFilter</filter-name>    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>    <init-param>      <!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->      <param-name>targetFilterLifecycle</param-name>      <param-value>true</param-value>    </init-param>  </filter>  <filter-mapping>    <filter-name>shiroFilter</filter-name>    <url-pattern>/*</url-pattern>  </filter-mapping>  <!-- Spring监听器 -->

DelegatingFilterProxy 它会将实际的工作,交给spring配置文件中 id=”shiroFilter” 的bean来处理

如果设置”targetFilterLifecycle”为True,则spring来管理Filter.init()和Filter.destroy();若为false,则这两个方法失效

<!-- Shiro过滤器 核心-->    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">        <!-- Shiro的核心安全接口,这个属性是必须的 -->        <property name="securityManager" ref="securityManager"/>        <!-- 身份认证失败,则跳转到登录页面的配置 -->        <property name="loginUrl" value="/user/tree"/>        <!-- 登陆成功后跳转的配置 -->        <property name="successUrl" value="/main" />        <!-- Shiro连接约束配置,即过滤链的定义 -->        <property name="filterChainDefinitions">            <value>                <!--anon 表示匿名访问,不需要认证以及授权-->                /loginAdmin=anon                <!--authc表示需要认证 没有进行身份认证是不能进行访问的-->                /user/tree=authc                /student=roles[teacher]                /teacher=perms["user:create"]            </value>        </property>    </bean>

anon 游客,未登录
authc 必须认证才能访问
user 必须存在用户
perms[“user:create”] 必须有权限
roles[teacher] 必须有角色
logout 现有的Session 会失效

Shiro验证URL时,URL匹配成功便不再继续匹配查找(所以要注意配置文件中的URL顺序,尤其在使用通配符时) 故filterChainDefinitions的配置顺序为自上而下,以最上面的为准

<!-- 配置自定义Realm -->    <bean id="myRealm" class="com.you.impservice.MyRealm"/>    <!-- 安全管理器 -->    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">        <property name="realm" ref="myRealm"/>    </bean>     <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>    <!-- 开启Shiro注解 -->    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"          depends-on="lifecycleBeanPostProcessor"/>    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">        <property name="securityManager" ref="securityManager"/>    </bean>

LifecycleBeanPostProcessor用于在实现了Initializable接口的Shiro bean初始化时调用Initializable接口回调,在实现了Destroyable接口的Shiro bean销毁时调用 Destroyable接口回调
depends-on属性指定bean前置依赖的bean,前置依赖的bean会在本bean实例化之前创建好

5. 类和方法
AuthorizingRealm 验证
doGetAuthenticationInfo(AuthenticationToken authcToken){}登录验证,验证用户名,密码,验证码等
doGetAuthorizationInfo(PrincipalCollection principals) {}权限验证
SimpleAuthorizationInfo 存放角色,用户权限
protected Set roles; //获取角色字符串信息
protected Set stringPermissions; //获取权限字符串信息
protected Set objectPermissions; //获取Permission对象信息
6.注解和标签

<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>  <shiro:hasRole name="admin">      用户拥有角色admin</shiro:hasRole>  <shiro:hasAnyRoles name="admin,user">      拥有角色admin或user</shiro:hasAnyRoles>   <shiro:lacksRole name="abc">      用户没有角色abc</shiro:lacksRole>   <shiro:hasPermission name="user:create">      用户拥有权限user:create</shiro:hasPermission>   @RequiresRoles("admin") 需要角色admin @RequiresPermissions("cargoorder:cargoOrderInfo:view") 需要权限cargoorder:cargoOrderInfo:view

7.http://www.jianshu.com/p/6786ddf54582
8.参考资料
■http://jinnianshilongnian.iteye.com/category/305053

■http://shiro.apache.org/

■http://www.open-open.com/doc/list/256

阅读全文
0 0
初中课程同步辅导软件 初中课程同步辅导软件
原创粉丝点击
热门IT博客
知网检索主题 知乎知网检索主题 知乎
linux红帽5安装oraclelinux红帽5安装oracle
铃声大全mac版
淘宝耐克正品店
olap关系型数据库
柬埔寨网络博客犯法吗
问东西的软件
qq同步助手 网络错误
旅游cms开源系统源码
古立特啤酒知乎
网络教育在哪报名
怎么在淘宝上买发票
孢子mac下载
怎样做到知敬畏守规矩
黑白激光打印机 知乎
wifi软件哪个好用 知乎
淘宝店铺简单装修
java输出100个素数
暗黑2 1.13 mac
linux gunzip 压缩
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 川断 川断功效与作用 川断价格 川断和续断一样吗 川断图片 川断的作用与功效 川断的功效与作用 川木 川木是谁 远红外理疗贴 穴位贴 通便器 眠尔康航天养生床垫 红外线烤灯 舒尔美医用弹力袜 舒思盾 手工鞋垫花样图案 托玛琳 颈椎牵引椅 托玛琳香皂 川木爪 川木工具 野川 川木刀头 金细南木 川村 川村sw290在线播放 川村真 川江 川沙 川沙镇 上海 川沙 花店 浦东川沙 川沙家园网 上海川沙 上海川沙房价 山财网 山财网会计继续教育 山财培训网继续教育 山财怎么样 山财培训继续教育网

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里