<?xml version="1.0" encoding="UTF-8"?>

<beans xmlns="http://www.springframework.org/schema/beans"

    xmlns:context="http://www.springframework.org/schema/context"

    xmlns:aop="http://www.springframework.org/schema/aop"

    xmlns:tx="http://www.springframework.org/schema/tx"

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xmlns:util="http://www.springframework.org/schema/util"

    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-4.2.xsd

        http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-4.2.xsd

        http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-4.2.xsd

        http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-4.2.xsd

        http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-4.2.xsd">

    <description>Shiro安全配置</description>

    <!--安全管理器-->

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

        <!--设置自定义Realm-->

        <property name="realm" ref="shiroDbRealm"/>

        <!--将缓存管理器,交给安全管理器-->

        <property name="cacheManager" ref="shiroEhcacheManager"/>

        <!-- 注入session管理器 -->

        <property name="sessionManager" ref="sessionManager" />

        <!-- 记住密码管理 -->

<!--         <property name="rememberMeManager" ref="rememberMeManager"/> -->

    </bean>

    <!-- 项目自定义的Realm -->

    <bean id="shiroDbRealm" class="com.agood.bejavagod.shiro.ShiroDbRealm"/>

    <!-- 记住密码Cookie -->

    <bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">

        <constructor-arg value="rememberMe"/>

        <property name="httpOnly" value="true"/>

        <!-- 7天,采用spring el计算方便修改[细节决定成败]! -->

        <property name="maxAge" value="#{7 * 24 * 60 * 60}"/>

<!--         <property name="domain" value=".bejavagod.com"/> -->

    </bean>

    <!-- rememberMe管理器,cipherKey生成见{@code Base64Test.java} -->

    <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">

        <property name="cipherKey" value="#{T(org.apache.shiro.codec.Base64).decode('5aaC5qKm5oqA5pyvAAAAAA==')}"/>

        <property name="cookie" ref="rememberMeCookie"/>

    </bean>

    <!-- Shiro Filter -->

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

        <!-- 安全管理器 -->

        <property name="securityManager" ref="securityManager"/>

        <!-- 默认的登陆访问url -->

        <property name="loginUrl" value="/login.action"/>

        <!-- 登陆成功后跳转的url -->

        <property name="successUrl" value="/index.action"/>

        <!-- 没有权限跳转的url -->

        <property name="unauthorizedUrl" value="/unauth.action"/>

<!--         自定义filter配置 -->

        <property name="filters">

            <map>

                <entry key="authc">

                    <bean class="com.agood.bejavagod.controller.filter.CustomFormAuthenticationFilter"></bean>

                </entry>

            </map>

        </property>

        <property name="filterChainDefinitions">

            <value>

                <!--

                    anon  不需要认证

                    authc 需要认证

                    user  验证通过或RememberMe登录的都可以

                -->

<!--                 /commons/** = anon -->

                /static/** = anon

<!--                 /webhooks = anon -->

                /login.action = anon

                /page/404.action = anon

                /page/500.action = anon

<!--                 /dataDict/saveOrUpdateDataDict.action = perms["shiro:save"] -->

                /** = authc

            </value>

        </property>

    </bean>

    <!-- 用户授权信息Cache, 采用EhCache -->

    <bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">

        <property name="cacheManagerConfigFile" value="classpath:shiro/ehcache-shiro.xml"/>

    </bean>

    <!-- 在方法中 注入  securityManager ,进行代理控制 -->

    <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">

        <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>

        <property name="arguments" ref="securityManager"/>

    </bean>

    <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->

    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

    <!-- AOP式方法级权限检查  -->

    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>

    <!-- 启用shrio授权注解拦截方式 -->

    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">

        <property name="securityManager" ref="securityManager"/>

    </bean>

    <!-- 会话管理器 -->

<!--     <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> -->

        <!-- session的失效时长,单位毫秒 1小时: 3600000 -->

<!--         <property name="globalSessionTimeout" value="3600000"/> -->

        <!-- 删除失效的session -->

<!--         <property name="deleteInvalidSessions" value="true"/> -->

<!--     </bean> -->

    <!-- 会话管理器 start -->

    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">

        <!-- session的失效时长,单位毫秒 1小时: 3600000 -->

        <!-- 设置全局会话超时时间,默认30分钟,即如果30分钟内没有访问会话将过期 1800000 -->

        <property name="globalSessionTimeout" value="1800000"/>

        <!-- 删除失效的session -->

        <property name="deleteInvalidSessions" value="true"/>

        <!-- 是否开启会话验证器,默认是开启的 -->

        <property name="sessionValidationSchedulerEnabled" value="true"/>

        <!--

            Shiro提供了会话验证调度器,用于定期的验证会话是否已过期,如果过期将停止会话;

            出于性能考虑,一般情况下都是获取会话时来验证会话是否过期并停止会话的;

            但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,

            Shiro提供了会话验证调度器SessionValidationScheduler来做这件事情。

         -->

        <property name="sessionValidationScheduler" ref="sessionValidationScheduler"/>

        <!-- Shiro提供SessionDAO用于会话的CRUD -->

        <property name="sessionDAO" ref="sessionDAO"/>

        <!--

            是否启用/禁用Session Id Cookie,默认是启用的;

            如果禁用后将不会设置Session Id Cookie,即默认使用了Servlet容器的JSESSIONID,

            且通过URL重写(URL中的“;JSESSIONID=id”部分)保存Session Id。

        -->

        <property name="sessionIdCookieEnabled" value="true"/>

        <property name="sessionIdCookie" ref="sessionIdCookie"/>

    </bean>

    <!-- 会话验证调度器 -->

    <bean id="sessionValidationScheduler" class="org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler">

        <!-- 设置调度时间间隔,单位毫秒,默认就是1小时 -->

        <property name="interval" value="1800000"/>

        <!-- 设置会话验证调度器进行会话验证时的会话管理器 -->

        <property name="sessionManager" ref="sessionManager"/>

    </bean>

<!--     <bean id="sessionValidationScheduler" class="org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler"> -->

<!--         <property name="sessionValidationInterval" value="1800000"/> -->

<!--         <property name="sessionManager" ref="sessionManager"/> -->

<!--     </bean> -->

    <!-- 会话DAO -->

    <bean id="sessionDAO" class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO">

        <!-- 设置Session缓存名字,默认就是shiro-activeSessionCache,要和ehcache.xml中的那么对应 -->

        <property name="activeSessionsCacheName" value="shiro-activeSessionCache"/>

<!--         <property name="activeSessionsCacheName" value="shiroCache"/> -->

        <property name="sessionIdGenerator" ref="sessionIdGenerator"/>

    </bean>

    <!-- 会话ID生成器,用于生成会话ID,默认就是JavaUuidSessionIdGenerator,使用java.util.UUID生成-->

    <bean id="sessionIdGenerator" class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator"/>

     <!-- 会话Cookie模板,sessionManager创建会话Cookie的模板 -->

    <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">

        <!-- 设置Cookie名字,默认为JSESSIONID -->

<!--         <constructor-arg value="bjg_sid"/> -->

        <!-- 不修改使用默认的话,那么404的时候session就会过期 -->

        <property name="name" value="bjg_sid"/>

        <!--

            如果设置为true,则客户端不会暴露给客户端脚本代码,使用HttpOnly cookie有助于减少某些类型的跨站点脚本攻击;

            此特性需要实现了Servlet 2.5 MR6及以上版本的规范的Servlet容器支持

         -->

        <property name="httpOnly" value="true"/>

        <!-- 设置Cookie的过期时间,秒为单位,默认-1表示关闭浏览器时过期Cookie -->

        <property name="maxAge" value="-1"/>

        <!-- 设置Cookie的域名,默认空,即当前访问的域名 -->

<!--         <property name="domain" value=".bejavagod.com"/> -->

    </bean>

    <!-- 会话管理器 end -->

    <!-- 自定义form认证过虑器 -->

    <!-- 基于Form表单的身份验证过滤器,不配置将也会注册此过虑器,表单中的用户账号、密码及loginurl将采用默认值,建议配置 -->

<!--         <bean id="formAuthenticationFilter" class="com.agood.bejavagod.controller.filter.CustomFormAuthenticationFilter"> -->

            <!-- 表单中账号的input名称 -->

<!--             <property name="usernameParam" value="username" /> -->

            <!-- 表单中密码的input名称 -->

<!--             <property name="passwordParam" value="password" /> -->

            <!-- 记住我input的名称 -->

<!--             <property name="rememberMeParam" value="rememberMe"/> -->

<!--      </bean> -->

</beans>

shiro xml标准配置的更多相关文章

  1. quartz_jobs.xml标准配置

    <?xml version="1.0" encoding="UTF-8"?><job-scheduling-data xmlns=" ...

  2. Shiro - 限制并发人数登录与剔除

    import org.apache.shiro.cache.Cache; import org.apache.shiro.cache.CacheManager; import org.apache.s ...

  3. Shiro —— Spring 环境下的使用

    一.使用 1.搭建基础环境 (1)导入 Spring 和 Shiro 的 Jar 包 正常导入 spring jar包 导入日志包 log4j-1.2.15.jar slf4j-api-1.6.1.j ...

  4. spring + shiro + cas 实现sso单点登录

    sso-shiro-cas spring下使用shiro+cas配置单点登录,多个系统之间的访问,每次只需要登录一次,项目源码 系统模块说明 cas: 单点登录模块,这里直接拿的是cas的项目改了点样 ...

  5. shiro权限架作战

    shiro框架作为一种特权的开源框架,通过身份验证和授权从具体的业务逻辑分离极大地提高了我们的发展速度,它的易用性使得它越来越受到人们的青睐.上一页ACL架相比,shiro能更easy的实现权限控制, ...

  6. Spring shiro 初次使用小结

    首先引入一段关于shiro的介绍: 开发系统中,少不了权限,目前java里的权限框架有SpringSecurity和Shiro(以前叫做jsecurity),对于SpringSecurity:功能太过 ...

  7. 记录心得-shiro框架demo示例

    从懵懂到了解,再到熟悉,是一个进步的过程! 先撸代码,跑起来看效果,再做详细的介绍,开始干活! 1,先列出工程目录结构,自己需要创建对应层级的程序和相关配置文件. 2,导入maven依赖的jar包.打 ...

  8. shiro使用

    web.xml配置 <filter> <filter-name>shiroFilter</filter-name> <filter-class>org. ...

  9. 使用shiro框架,解决跳转页面出现404的问题

    shiro框架是一个安全框架,在进行登录的时候,如果没有配置路径,它会跳到shiro的默认配置的路径“/”下面,所以总是会出现404的错误,因为它的路径是保存在session中 所以需要我们把sess ...

随机推荐

  1. Delphi 的内存操作函数(5): 复制内存

    MoveMemory.CopyMemory 的功能类似, 都是复制内存, 都是调用 Move 过程; MoveMemory.CopyMemory 操作指针; Move 操作实体. 还要注意, 它们的参 ...

  2. word默认字体与大小

    对于红色地方单击,“正文框”按右键+修改 修改字体大小 修改中文和西文时的字体 注意宋体和宋体 (中文正文)是不同的

  3. hdu 1358 Period 最小循环节

    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=1358 分析:已知字符串,求其由最小循环节构成的前缀字符串. /*Period Time Limit: ...

  4. CentOS 7.4 java验证码乱码的问题

     转载阿里云 摘要: 新服务器配置发布网站 配置后程序顺利启动在登录时发现验证码无法识别显示出了图片,但是字是乱码 初步估计应该是字体问题 ssh登录服务器查看默认字体 #fc-match msam1 ...

  5. 鸟哥的Linux私房菜——第十一章

    视频链接: 土豆:http://www.tudou.com/programs/view/yT0PfIWU720 B站(推荐): http://www.bilibili.com/video/av9877 ...

  6. bzoj千题计划272:bzoj4557: [JLoi2016]侦察守卫

    http://www.lydsy.com/JudgeOnline/problem.php?id=4557 假设当前到了x的子树,现在是合并 x的第k个子树 f[x][j] 表示x的前k-1个子树该覆盖 ...

  7. [机器学习&数据挖掘]SVM---核函数

    1.核函数概述: 核函数通俗的来说是通过一个函数将向量的低维空间映射到一个高维空间,从而将低维空间的非线性问题转换为高维空间的线性问题来求解,从而再利用之前说的一系列线性支持向量机,常用的核函数如下: ...

  8. Linux 网卡流量查看

    网卡流量查看 watch more /proc/net/dev # 实时监控流量文件系统 累计值 iptraf # 网卡流量查看工具 nethogs -d 5 eth0 eth1 # 按进程实时统计网 ...

  9. Jmeter如何保持cookie,让所有请求都能用同一个cookie,免去提取JSESSIONID

    近期有柠檬班的学生找到华华,问了一个问题,就是利用Jmeter做接口测试的时候,如何提取头部的JSESSIONID然后传递到下一个请求,继续完成当前用户的请求. 其实,关于这个问题有三种种解决方法: ...

  10. vue实战之狗血事件:页面loading效果诡异之事

    接上回 想加一个切换路由时,跳出一个loading动画 ,路由加载后就消失 先做了一个loading提示的浮动层的组件,全局注册,在几个路由页面都引入 在vuex里面维护一个变量比如isLoading ...