shiro 安全管理框架配置

step1  web.xml

<!-- Shiro filter start -->
	<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>
			org.springframework.web.filter.DelegatingFilterProxy
		</filter-class>
		<init-param>
			<param-name>targetFilterLifecycle</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
  	<!-- Shiro filter end -->

step2  spring-mvc.xml

设置访问的静态资源(资源目录根据自己的项目需要配置)

	<!-- 对静态资源文件的访问 restful -->
	<mvc:resources mapping="/admin/**" location="/,/admin/" />
	<mvc:resources mapping="/static/**" location="/,/static/" />
	<mvc:resources mapping="/plugins/**" location="/,/plugins/" />
	<mvc:resources mapping="/uploadFiles/**" location="/,/uploadFiles/" />
	<mvc:resources mapping="/swagger/**" location="/,/swagger/" />
      <mvc:resources mapping="/swagger-ui.html" location="classpath:/META-INF/resources/"/>
      <mvc:resources mapping="/webjars/**" location="classpath:/META-INF/resources/webjars/"/>

  

shiro 自定义的realm

public class ShiroRealm extends AuthorizingRealm {

	/*
	 * 登录信息和用户验证信息验证(non-Javadoc)
	 * @see org.apache.shiro.realm.AuthenticatingRealm#doGetAuthenticationInfo(org.apache.shiro.authc.AuthenticationToken)
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

		 String username = (String)token.getPrincipal();  				//得到用户名
	     String password = new String((char[])token.getCredentials()); 	//得到密码

	     if(null != username && null != password){
	    	 return new SimpleAuthenticationInfo(username, password, getName());
	     }else{
	    	 return null;
	     }

	}

	/*
	 * 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用,负责在应用程序中决定用户的访问控制的方法(non-Javadoc)
	 * @see org.apache.shiro.realm.AuthorizingRealm#doGetAuthorizationInfo(org.apache.shiro.subject.PrincipalCollection)
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc) {

		System.out.println("========2");

		return null;
	}

}

  

step3 applicationContext.xml 需要拦截的请求路径权限,anon 匿名权限 authc 需要认证权限  认证权限根据的是项目自定义的realm来实现

<!-- ================ Shiro start ================ -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="ShiroRealm" />
	</bean>

	<!-- 項目自定义的Realm -->
	<bean id="ShiroRealm" class="com.fh.interceptor.shiro.ShiroRealm"></bean>

	<!-- Shiro Filter -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />

		<property name="loginUrl" value="/" />

		<property name="successUrl" value="/main/index" />

		<property name="unauthorizedUrl" value="/login_toLogin" />

		<property name="filterChainDefinitions">
			<value>
				/static/login/** = anon
				/static/js/myjs/** = authc
				/static/js/** = anon
				/code.do = anon
				/login_login = anon
				/app**/** = anon
				/weixin/** = anon
				/swagger/** = anon
				/api/** = anon
				/api-docs = anon
				/swagger-ui.html  = anon
				/webjars/** = anon
				/swagger-resources/** = anon
				/v2/** = anon
				/** = authc
			</value>
		</property>
	</bean>
	<!-- ================ Shiro end ================ -->

  

时间: 2024-10-26 19:38:13

shiro 安全管理框架配置的相关文章

shiro+spring相关配置

一.在web.xml配制shiroFilter <!-- 配置Shiro过滤器,先让Shiro过滤系统接收到的请求 --> <!-- 这里filter-name必须对应applicationContext.xml中定义的<bean id="shiroFilter"/> --> <!-- 使用[/*]匹配所有请求,保证所有的可控请求都经过Shiro的过滤 --> <!-- 通常会将此filter-mapping放置到最前面(即其他fi

shiro整合spring配置

shiro应用到项目中,一般都是通过spring来管理.下面就如何把shiro整理到spring中进行了讲解,及给出了配置的步骤: 一.pom.xml文件配置 本例子主要是介绍maven管理的web项目进行配置介绍,因此,首先需建立好一个maven管理的web项目(可参考本博客创建maven管理的web项目). pom.xml文件配置,主要是添加相关依赖的jar支持.因为整合到spring中需添加spring支持.具体配置参考配置代码: 1 <project xmlns="http://m

Spring+Shiro+CAS整合配置笔记

一.前言 Apache Shiro与Spring Security一样是Java的一个安全框架.那为什么与Spring整合却用Shiro?不要问为什么,任性!开个玩笑:D 其实我个人是认为Spring Security太过于笨重,要写太多的过滤器.我是个怕麻烦的人,Shiro的配置简单这就是我选择的理由,何况Spring官方自己都推荐使用Shiro.而Shiro权限控制与CAS单点登录的组合更是堪称Java安全中的***~( ̄_, ̄ )--但本文只介绍它们三者的整合配置(说白了就是给自己留个学习

shiro 集成spring 配置 学习记录(一)

首先当然是项目中需要增加shiro的架包依赖: 1 <!-- shiro --> 2 <dependency> 3 <groupId>org.apache.shiro</groupId> 4 <artifactId>shiro-core</artifactId> 5 <version>${shiro.version}</version> 6 <exclusions> 7 <exclusion&

Shiro权限管理框架详解

https://www.cnblogs.com/jpfss/p/8352031.html 1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源. 权限管理包括用户身份认证和授权两部分,简称认证授权.对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问. 1.2 用户身份认证1.2.1 概念 身份认证,就是判

shiro+SpringMVC 项目 配置404页面

说的配置404,大家都会想到去web.xml里面配置 <error-page> <error-code>404</error-code> <location>/404.html</location> </error-page> 可是如果我有业务需求,当发生404,我要记录相关信息呢?或者说404的展示页面我也有需要动态获取的资源呢?那么静态页面就力不从心了. 那么先写一个处理404的方法 //404 @RequestMapping(v

Apache shiro集群实现 (二) shiro 的INI配置

一.概述 INI配置文件是一种key/value的键值对配置,提供了分类的概念,每一个类中的key不可重复.在这个示例中我们使用一个INI文件来配置Shiro SecurityManager,首先,在pom.xml同目录中创建一个src/main/resources子目录,在该子目录中创建一个shiro.ini文件,内容如下: 例如: # ======================= # Shiro INI 配置 # ======================= [main] # 对象和它们

shiro中anon配置不生效

再配置shiro的时候,如下代码要注意: 1.下述代码中必须是LinkedHashMap 而不能是HashMap. 2.anon定义必须在authc之前 否则anon定义不生效   @Bean         public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){             ShiroFilterFactoryBean factoryBean = new Shiro

[Shiro] - 基于URL配置动态权限

基于shiro进阶 更改了数据库表 之前的PageController是通过@RequiresPermissions和@RequiresRoles进行是否有权限/是否有角色的判定调用@RequestMapping路径 在PermissionService中加入了两个方法:needInterceptor, listPermissionURLs needInterceptor表示是否要进行拦截,判断依据是如果访问的某个url,在权限系统里存在,就要进行拦截. 如果不存在就放行了. 这一种策略,也可以