当前常用流行的安全框架主要有两种:一个是Apache Shiro;另一个是Springsource。

现在介绍一下apache shiro

既然是安全框架,解决的肯定是权限的 控制。所谓权限是指:用户和系统之间的关系,即,某一组或一类用户在系统中所具有的不同的功能。在这为了更能诠释其关系,我们引用了角色,一个用户至少有 一个角色,不同的角色在系统之中具有不同的功能,用户不能直接和系统建立关系,只能通过角色来体现。如在数据库中有四个表来体现:用户表,角色表,权限 表,及用户的group表。用户和角色是多对多关系,角色和权限是一对多关系。

在项目中使用步骤如下:

一、在web.xml中配置

<filter> 
        <filter-name>shiroFilter</filter-name> 
        <filter-class>  org.springframework.web.filter.DelegatingFilterProxy  </filter-class> 
  </filter> 
<filter-mapping> 
  <filter-name>shiroFilter</filter-name> 
  <url-pattern>/*</url-pattern> 
</filter-mapping>

二、建立Dbrealm

@Component 
public class ShiroDbRealm extends AuthorizingRealm{ 
 
@Resource 
private UserService userService; 
//登录认证

@Override 
protected AuthenticationInfo doGetAuthenticationInfo( AuthenticationToken authenticationToken) throws AuthenticationException { 
 
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; 
User user = userService.findByLoginName(token.getUsername()); 
if(user != null) { 
  return new SimpleAuthenticationInfo(user.getLoginname(), 
      user.getPassword(),getName()); 

 
return null; 
}

//权限认证

@Override 
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection  
  principalCollection) { 
String loginName =  
  (String) principalCollection.fromRealm(getName()).iterator().next(); 
User user = userService.findByLoginName(loginName); 
if(user != null) { 
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); 
//添加Group 
info.setRoles(user.getGroupNameSet()); 
for(Group g : user.getGroupList()) { 
//添加permission 
info.addStringPermissions(g.getPermissionStringList()); 

return info; 

return null; 
}

}

三、在applicationContext-shiro.xml配置

<bean id="securityManager"  
  class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> 
<property name="realm" ref="shiroDbRealm" /> 
<property name="cacheManager" ref="cacheManager" /> 
</bean> 
 
<!-- 項目自定义Realm --> 
<bean id="shiroDbRealm" class="com.kaishengit.services.account.ShiroDbRealm" /> 
 
<!-- Shiro Filter --> 
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"
<property name="securityManager" ref="securityManager" /> 
<property name="loginUrl" value="/user!input.jspx" /> 
<property name="successUrl" value="/main.jspx" /> 
<property name="unauthorizedUrl" value="/403.jsp" /> 
<property name="filterChainDefinitions"> 
    <value> 
    /user!login.jspx = anon 
    /user.jsp = roles[user] 
    /** = authc 
 </value> 
</property>

</bean>

<bean id="cacheManager"  
class="org.apache.shiro.cache.MemoryConstrainedCacheManager" /> 
 
<bean id="lifecycleBeanPostProcessor"  
class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

四、登录和退出

try { 
   SecurityUtils.getSubject().login( 
  new UsernamePasswordToken(user.getLoginname(), user.getPassword())); 
} catch (AuthenticationException e) { 
msg = "用户名或密码错误!"; 
return INPUT; 

 
//exit 
SecurityUtils.getSubject().logout();

五、标签

<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
 
Hello, <shiro:principal/>, how are you today? 
 
<shiro:hasRole name="administrator">  
  <a href="admin.jsp">Administer the system</a>  
 </shiro:hasRole> 
<shiro:hasAnyRoles name=“developer, manager,administrator">  
You are either a developer, manager, or administrator.   
 </shiro:lacksRole> 
<shiro:hasPermission name="user:create">  
<a href="createUser.jsp">Create a new User</a>   
 </shiro:hasPermission>

Apache Shiro(安全框架)的更多相关文章

  1. Apache Shiro权限框架在SpringMVC+Hibernate中的应用

    在做网站开发中,用户权限必须要考虑的,权限这个东西很重要,它规定了用户在使用中能进行哪 些操作,和不能进行哪些操作:我们完全可以使用过滤器来进行权限的操作,但是有了权限框架之后,使用起来会非常的方便, ...

  2. Apache Shiro 权限框架

    分享一个视屏教程集合 http://www.tudou.com/home/konghao/item 1.Shiro Apache Shiro是一个强大且易用的Java安全框架,执行身份验证.授权.密码 ...

  3. 关于Apache Shiro权限框架的一些使用误区的解释

    多了不说了,进入正题,shiro是个权限框架提供权限管理等功能,网上的教程一般都是互相抄,比如<shiro:principal property="xxx"/>这个标签 ...

  4. Java开源安全框架之Apache Shiro

    APACHE SHIRO安全框架 1      背景 Shiro项目始于2003年初,当时它叫JSecurity项目,当时对于Java应用开发人员没有太多的安全替代方案,始终被一个叫JAAS(Java ...

  5. Apache Shiro和Spring Security的详细对比

    参考资料: 1)Apache Shiro Apache Shiro:http://shiro.apache.org/ 在Web项目中应用 Apache Shiro:http://www.ibm.com ...

  6. SpringBoot集成Apache Shiro

    笔者因为项目转型的原因,对Apache Shiro安全框架做了一点研究工作,故想写点东西以便将来查阅.之所以选择Shiro也是看了很多人的推荐,号称功能丰富强大,而且易于使用.实践下来的确如大多数人所 ...

  7. Apache Shiro 开源权限框架

    在 Web 项目中应用 Apache Shiro 开源权限框架 Apache Shiro 是功能强大并且容易集成的开源权限框架,它能够完成认证.授权.加密.会话管理等功能.认证和授权为权限控制的核心, ...

  8. Apache Shiro java安全框架

    什么是Apache Shiro? Apache Shiro(发音为“shee-roh”,日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理功能,可为 ...

  9. JAVAEE——BOS物流项目10:权限概述、常见的权限控制方式、apache shiro框架简介、基于shiro框架进行认证操作

    1 学习计划 1.演示权限demo 2.权限概述 n 认证 n 授权 3.常见的权限控制方式 n url拦截权限控制 n 方法注解权限控制 4.创建权限数据模型 n 权限表 n 角色表 n 用户表 n ...

随机推荐

  1. mysql服务器的字符集

    文章:http://www.cnblogs.com/fantiantian/p/3468454.html 的评论中有这样的文字: 谢谢沧海一滴的总结 在Linux中一般都是UTF-8字符集.我们在建数 ...

  2. EntityFramework4.1开发

    常见问题大概为这几个 一.ef4.1 codeFirst 修改表结构 增加字段等 EF code first需要重新生成库导致数据丢失的问题. 二.ef4.1 没有了edmx等复杂的东西 变得简单 干 ...

  3. jquery操作radio单选按钮、checked复选框。

    一.radio 取值: $('input[name=radio]:checked').val(); 二.checked 判断checked是否被选中 $("input[type='check ...

  4. touch触摸事件

    事件对象 事件对象是用来记录一些事件发生时的相关信息的对象.事件对象只有事件发生时才会产生,并且只能是事件处理函数内部访问,在所有事件处理函数运行结束后,事件对象就被销毁! W3C DOM把事件对象作 ...

  5. all things are difficult before they are easy

    刚开始接触一项新知识时,总是感觉很难,只要你用心钻研下去,它会慢慢变简单的.

  6. 【读书笔记】iOS-内存管理

    Cocoa的内存管理:retain,release和autorelease. 每个对象都维护一个保留计数器.对象被创建时,其保留计数器值为1:对象被保留时,保留计数器值加1:对象被释放时,保留计数器值 ...

  7. 网络开始---多线程---GCD-01-基本使用(掌握)(六)

    /** GCD两个核心概念:任何和队列 任务:执行什么操作 队列:用来存放任务 使用就2个步骤 1.定制任务 2.将任务添加到队列中 任务的取出队列原则:FIFO原则: 先进先出,后进后出 */ #i ...

  8. Android线程管理(三)——Thread类的内部原理、休眠及唤醒

    线程通信.ActivityThread及Thread类是理解Android线程管理的关键. 线程,作为CPU调度资源的基本单位,在Android等针对嵌入式设备的操作系统中,有着非常重要和基础的作用. ...

  9. iOS开发之网络编程--1、NSURLSession的基本使用

    前言:学习NSURLSession的使用之前,先学习一篇关于NSURLSession的好文章<From NSURLConnection to NSURLSession>或者是国内的译文&l ...

  10. IOS之未解问题--给UITableView提取UITableViewDataSource并封装瘦身失败

    前言:阅读了<更轻量的 View Controllers>,发现笔者这个优化重构代码的想法真的很不错,可以使得抽取的UITableViewDataSource独立写在一个类文件里,并且也写 ...