spring shiro
来源:互联网 发布:初中课程同步辅导软件 编辑:程序博客网 时间:2024/05/20 13:39
1.shiro定义
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
2.shiro主要功能
Authentication 身份认证/登录,验证用户是不是拥有相应的身份
Authorization 授权,即权限验证,判断某个已经认证过的用户是否拥有某些权限访问某些资源
SessionManager 会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中
Cryptography
加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
3.shiro组件
subject:当前“用户”,与当前应用交互的任何东西都是Subject;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面.
SecurityManager:安全管理器,Shiro的核心;所有与安全有关的操作都会与SecurityManager交互;它管理着所有Subject,负责与其他组件进行交互,进行认证和授权、及会话、缓存的管理
Realm:域,Shiro从Realm获取安全数据(如用户、角色、权限)SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;
sessionManage:管理session生命周期。
SessionDAO:对session进行crud操作。
cacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的。
Cryptography:密码模块
4.web.xml
<!-- shiro过滤器定义 --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 --> <param-name>targetFilterLifecycle</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- Spring监听器 -->
DelegatingFilterProxy 它会将实际的工作,交给spring配置文件中 id=”shiroFilter” 的bean来处理
如果设置”targetFilterLifecycle”为True,则spring来管理Filter.init()和Filter.destroy();若为false,则这两个方法失效
<!-- Shiro过滤器 核心--> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- Shiro的核心安全接口,这个属性是必须的 --> <property name="securityManager" ref="securityManager"/> <!-- 身份认证失败,则跳转到登录页面的配置 --> <property name="loginUrl" value="/user/tree"/> <!-- 登陆成功后跳转的配置 --> <property name="successUrl" value="/main" /> <!-- Shiro连接约束配置,即过滤链的定义 --> <property name="filterChainDefinitions"> <value> <!--anon 表示匿名访问,不需要认证以及授权--> /loginAdmin=anon <!--authc表示需要认证 没有进行身份认证是不能进行访问的--> /user/tree=authc /student=roles[teacher] /teacher=perms["user:create"] </value> </property> </bean>
anon 游客,未登录
authc 必须认证才能访问
user 必须存在用户
perms[“user:create”] 必须有权限
roles[teacher] 必须有角色
logout 现有的Session 会失效
Shiro验证URL时,URL匹配成功便不再继续匹配查找(所以要注意配置文件中的URL顺序,尤其在使用通配符时) 故filterChainDefinitions的配置顺序为自上而下,以最上面的为准
<!-- 配置自定义Realm --> <bean id="myRealm" class="com.you.impservice.MyRealm"/> <!-- 安全管理器 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="myRealm"/> </bean> <!-- 保证实现了Shiro内部lifecycle函数的bean执行 --> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> <!-- 开启Shiro注解 --> <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"/> </bean>
LifecycleBeanPostProcessor用于在实现了Initializable接口的Shiro bean初始化时调用Initializable接口回调,在实现了Destroyable接口的Shiro bean销毁时调用 Destroyable接口回调
depends-on属性指定bean前置依赖的bean,前置依赖的bean会在本bean实例化之前创建好
5. 类和方法
AuthorizingRealm 验证
doGetAuthenticationInfo(AuthenticationToken authcToken){}登录验证,验证用户名,密码,验证码等
doGetAuthorizationInfo(PrincipalCollection principals) {}权限验证
SimpleAuthorizationInfo 存放角色,用户权限
protected Set roles; //获取角色字符串信息
protected Set stringPermissions; //获取权限字符串信息
protected Set objectPermissions; //获取Permission对象信息
6.注解和标签
<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %> <shiro:hasRole name="admin"> 用户拥有角色admin</shiro:hasRole> <shiro:hasAnyRoles name="admin,user"> 拥有角色admin或user</shiro:hasAnyRoles> <shiro:lacksRole name="abc"> 用户没有角色abc</shiro:lacksRole> <shiro:hasPermission name="user:create"> 用户拥有权限user:create</shiro:hasPermission> @RequiresRoles("admin") 需要角色admin @RequiresPermissions("cargoorder:cargoOrderInfo:view") 需要权限cargoorder:cargoOrderInfo:view
7.http://www.jianshu.com/p/6786ddf54582
8.参考资料
■http://jinnianshilongnian.iteye.com/category/305053
■http://shiro.apache.org/
■http://www.open-open.com/doc/list/256
- 【shiro】--- spring整合shiro
- spring shiro
- spring+shiro
- spring shiro
- shiro+spring
- spring+shiro
- spring shiro
- 【Spring shiro】Spring与Shiro的整合
- Apache Shiro 集成-spring
- spring+apache shiro demo
- spring-shiro.xml
- Spring+Shiro案例分析
- spring+apache shiro登录
- shiro与spring集成
- 13、Spring-shiro.xml
- spring+springmvc+shiro配置
- spring + Shiro 整合
- Spring+Shiro案例分析
- 进入css3动画世界(一)
- 使用变量的一般注意事项
- 批量修改贴图导入设置工具脚本
- SVG实现画弧线进度条
- Logback浅析
- spring shiro
- DC-DC电路Layout设计注意事项
- Spring事务管理
- 织梦tag标签按照设定的栏目id获取相应的内容
- RPC communication--portmapper
- android 通过代理activity的方式实现插件化
- Caffe_Windows学习笔记(二)用自己的数据训练和测试CaffeNet
- Android 开发之录音与播放
- Spring JDBC-混合框架的事务管理