shiro xml标准配置

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:context="http://www.springframework.org/schema/context"
    xmlns:aop="http://www.springframework.org/schema/aop"
    xmlns:tx="http://www.springframework.org/schema/tx"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:util="http://www.springframework.org/schema/util"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-4.2.xsd
        http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-4.2.xsd
        http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-4.2.xsd
        http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-4.2.xsd
        http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-4.2.xsd">

    <description>Shiro安全配置</description>

    <!--安全管理器-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!--设置自定义Realm-->
        <property name="realm" ref="shiroDbRealm"/>
        <!--将缓存管理器,交给安全管理器-->
        <property name="cacheManager" ref="shiroEhcacheManager"/>
        <!-- 注入session管理器 -->
        <property name="sessionManager" ref="sessionManager" />
        <!-- 记住密码管理 -->
<!--         <property name="rememberMeManager" ref="rememberMeManager"/> -->
    </bean>

    <!-- 项目自定义的Realm -->
    <bean id="shiroDbRealm" class="com.agood.bejavagod.shiro.ShiroDbRealm"/>

    <!-- 记住密码Cookie -->
    <bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <constructor-arg value="rememberMe"/>
        <property name="httpOnly" value="true"/>
        <!-- 7天,采用spring el计算方便修改[细节决定成败]! -->
        <property name="maxAge" value="#{7 * 24 * 60 * 60}"/>
<!--         <property name="domain" value=".bejavagod.com"/> -->
    </bean>

    <!-- rememberMe管理器,cipherKey生成见{@code Base64Test.java} -->
    <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
        <property name="cipherKey" value="#{T(org.apache.shiro.codec.Base64).decode(‘5aaC5qKm5oqA5pyvAAAAAA==‘)}"/>
        <property name="cookie" ref="rememberMeCookie"/>
    </bean>

    <!-- Shiro Filter -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 安全管理器 -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 默认的登陆访问url -->
        <property name="loginUrl" value="/login.action"/>
        <!-- 登陆成功后跳转的url -->
        <property name="successUrl" value="/index.action"/>
        <!-- 没有权限跳转的url -->
        <property name="unauthorizedUrl" value="/unauth.action"/>

<!--         自定义filter配置 -->
        <property name="filters">
            <map>
                <entry key="authc">
                    <bean class="com.agood.bejavagod.controller.filter.CustomFormAuthenticationFilter"></bean>
                </entry>
            </map>
        </property>

        <property name="filterChainDefinitions">
            <value>
                <!--
                    anon  不需要认证
                    authc 需要认证
                    user  验证通过或RememberMe登录的都可以
                -->
<!--                 /commons/** = anon -->
                /static/** = anon
<!--                 /webhooks = anon -->
                /login.action = anon

                /page/404.action = anon
                /page/500.action = anon

<!--                 /dataDict/saveOrUpdateDataDict.action = perms["shiro:save"] -->

                /** = authc
            </value>
        </property>
    </bean>

    <!-- 用户授权信息Cache, 采用EhCache -->
    <bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:shiro/ehcache-shiro.xml"/>
    </bean>

    <!-- 在方法中 注入  securityManager ,进行代理控制 -->
    <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
        <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
        <property name="arguments" ref="securityManager"/>
    </bean>

    <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

    <!-- AOP式方法级权限检查  -->
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>

    <!-- 启用shrio授权注解拦截方式 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

    <!-- 会话管理器 -->
<!--     <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> -->
        <!-- session的失效时长,单位毫秒 1小时: 3600000 -->
<!--         <property name="globalSessionTimeout" value="3600000"/> -->
        <!-- 删除失效的session -->
<!--         <property name="deleteInvalidSessions" value="true"/> -->
<!--     </bean> -->

    <!-- 会话管理器 start -->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <!-- session的失效时长,单位毫秒 1小时: 3600000 -->
        <!-- 设置全局会话超时时间,默认30分钟,即如果30分钟内没有访问会话将过期 1800000 -->
        <property name="globalSessionTimeout" value="1800000"/>
        <!-- 删除失效的session -->
        <property name="deleteInvalidSessions" value="true"/>
        <!-- 是否开启会话验证器,默认是开启的 -->
        <property name="sessionValidationSchedulerEnabled" value="true"/>
        <!--
            Shiro提供了会话验证调度器,用于定期的验证会话是否已过期,如果过期将停止会话;
            出于性能考虑,一般情况下都是获取会话时来验证会话是否过期并停止会话的;
            但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,
            Shiro提供了会话验证调度器SessionValidationScheduler来做这件事情。
         -->
        <property name="sessionValidationScheduler" ref="sessionValidationScheduler"/>
        <!-- Shiro提供SessionDAO用于会话的CRUD -->
        <property name="sessionDAO" ref="sessionDAO"/>
        <!--
            是否启用/禁用Session Id Cookie,默认是启用的;
            如果禁用后将不会设置Session Id Cookie,即默认使用了Servlet容器的JSESSIONID,
            且通过URL重写(URL中的“;JSESSIONID=id”部分)保存Session Id。
        -->
        <property name="sessionIdCookieEnabled" value="true"/>
        <property name="sessionIdCookie" ref="sessionIdCookie"/>
    </bean>
    <!-- 会话验证调度器 -->
    <bean id="sessionValidationScheduler" class="org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler">
        <!-- 设置调度时间间隔,单位毫秒,默认就是1小时 -->
        <property name="interval" value="1800000"/>
        <!-- 设置会话验证调度器进行会话验证时的会话管理器 -->
        <property name="sessionManager" ref="sessionManager"/>
    </bean>
<!--     <bean id="sessionValidationScheduler" class="org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler"> -->
<!--         <property name="sessionValidationInterval" value="1800000"/> -->
<!--         <property name="sessionManager" ref="sessionManager"/> -->
<!--     </bean> -->
    <!-- 会话DAO -->
    <bean id="sessionDAO" class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO">
        <!-- 设置Session缓存名字,默认就是shiro-activeSessionCache,要和ehcache.xml中的那么对应 -->
        <property name="activeSessionsCacheName" value="shiro-activeSessionCache"/>
<!--         <property name="activeSessionsCacheName" value="shiroCache"/> -->
        <property name="sessionIdGenerator" ref="sessionIdGenerator"/>
    </bean>
    <!-- 会话ID生成器,用于生成会话ID,默认就是JavaUuidSessionIdGenerator,使用java.util.UUID生成-->
    <bean id="sessionIdGenerator" class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator"/>
     <!-- 会话Cookie模板,sessionManager创建会话Cookie的模板 -->
    <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <!-- 设置Cookie名字,默认为JSESSIONID -->
<!--         <constructor-arg value="bjg_sid"/> -->
        <!-- 不修改使用默认的话,那么404的时候session就会过期 -->
        <property name="name" value="bjg_sid"/>
        <!--
            如果设置为true,则客户端不会暴露给客户端脚本代码,使用HttpOnly cookie有助于减少某些类型的跨站点脚本攻击;
            此特性需要实现了Servlet 2.5 MR6及以上版本的规范的Servlet容器支持
         -->
        <property name="httpOnly" value="true"/>
        <!-- 设置Cookie的过期时间,秒为单位,默认-1表示关闭浏览器时过期Cookie -->
        <property name="maxAge" value="-1"/>
        <!-- 设置Cookie的域名,默认空,即当前访问的域名 -->
<!--         <property name="domain" value=".bejavagod.com"/> -->
    </bean>
    <!-- 会话管理器 end -->

    <!-- 自定义form认证过虑器 -->
    <!-- 基于Form表单的身份验证过滤器,不配置将也会注册此过虑器,表单中的用户账号、密码及loginurl将采用默认值,建议配置 -->
<!--         <bean id="formAuthenticationFilter" class="com.agood.bejavagod.controller.filter.CustomFormAuthenticationFilter"> -->
            <!-- 表单中账号的input名称 -->
<!--             <property name="usernameParam" value="username" /> -->
            <!-- 表单中密码的input名称 -->
<!--             <property name="passwordParam" value="password" /> -->
            <!-- 记住我input的名称 -->
<!--             <property name="rememberMeParam" value="rememberMe"/> -->
<!--      </bean> -->

</beans>
时间: 2024-10-14 21:15:01

shiro xml标准配置的相关文章

quartz_jobs.xml标准配置

<?xml version="1.0" encoding="UTF-8"?><job-scheduling-data xmlns="http://quartznet.sourceforge.net/JobSchedulingData" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" version="2.0"> <pr

【原】Spring整合Shiro基础搭建[3]

1.前言 上个Shiro Demo基础搭建是基于官方的快速入门版本,没有集成其他框架,只是简单的通过Main方法来执行Shiro工作流程,并测试一下比较核心的函数:但在企业开发中一般都会集成Spring,因为被Spring管理后很多事情都交给了Spring框架进行了管理,而且Spring框架提供了丰富的支持类,不仅方便我们开发人员进行扩展,也利于维护,通过Spring管理我们能把更多的细节放在业务上,提高我们的开发效率. 2.搭建过程       首先是 新建一个web工程,引入Spring和S

spring 集成shiro 之 自定义过滤器

出自:http://blog.csdn.net/shuishouhcd/article/details/9077379 最近一段时间,我一直在将shiro集成到我的一个项目中,用作认证和授权处理. shiro对我来说是个新东西,以下是我学习过的内容: http://shiro.apache.org/authorization.html http://www.cnblogs.com/skyme/archive/2011/09/11/2173760.html  系列 http://www.infoq

Shiro —— Spring 环境下的使用

一.使用 1.搭建基础环境 (1)导入 Spring 和 Shiro 的 Jar 包 正常导入 spring jar包 导入日志包 log4j-1.2.15.jar slf4j-api-1.6.1.jar slf4j-log4j12-1.6.1.jar 导入 shiro 包 shiro-core-1.2.2.jar shiro-ehcache-1.2.2.jar shiro-spring-1.2.2.jar shiro-web-1.2.2.jar (2)配置文件 web.xml 读取所有配置文件

shiro集成运用

# 1.配置 # 1.1 web.xmlweb.xml需要增加如下配置: <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>

Apache shiro(3)—cas + shiro配置说明

这篇博客我们还是继续讲如何使用,其他的我自己还需要一些时间来消化.这次因为项目的需要,将登录从shiro中抽出来交给cas来验证.Shiro,只负责权限的验证.shiro在1.2版本之后加入了对cas的支持.我们先从cas入手-- SSO的概念 单点登录( Single Sign-On , 简称 SSO )是目前比较流行的服务于企业业务整合的解决方案之一, SSO就是一次登录,就可以访问多个互相信任的应用.而cas只是这种解决方案的一种实现. 这么说吧:大家应该都去过游乐场,通常会卖通票.就是买

shiro权限框架实战

shiro框架作为一种开源的权限框架,通过将身份认证和授权从具体的业务逻辑中分离出来极大地提高了我们的开发速度,它的易用性使得它越来越受到人们的青睐.与之前的ACL权限框架相比,shiro能更容易的实现权限控制,而且作为基于RBAC的权限管理框架通过与shiro标签结合使用,能够让开发人员在更加细粒度的层面上进行控制.举个例子来讲,之前我们使用基于ACL的权限控制大多是控制到连接(这里的连接大家可以简单的认为是页面,下同)层面,也就是通过给用户授权让这个用户对某些连接拥有权限,这种情况显然不太适

springmvc集成shiro注解权限

源代码下载:http://download.csdn.net/detail/u013147600/9066923 java.lang.ClassNotFoundException: org.aspectj.lang.annotation.Around错误解决方法:http://blog.csdn.net/u013147600/article/details/48132947 配置aop错误: org.springframework.beans.factory.xml.XmlBeanDefinit

shiro+密码匹配器验证登陆

1.先上工具类MD5Util   目前真正用到的是直接MD5加密的方法   未使用自定义加工密码加密 package cn.cjq.util; import cn.cjq.entity.User; import java.security.MessageDigest;import java.util.Random; public class MD5Util { /** * 加工密码,和登录一致. * @param user * @return */ public static User md5P