当前常用流行的安全框架主要有两种:一个是Apache Shiro;另一个是Springsource。

现在介绍一下apache shiro

既然是安全框架,解决的肯定是权限的 控制。所谓权限是指:用户和系统之间的关系,即,某一组或一类用户在系统中所具有的不同的功能。在这为了更能诠释其关系,我们引用了角色,一个用户至少有 一个角色,不同的角色在系统之中具有不同的功能,用户不能直接和系统建立关系,只能通过角色来体现。如在数据库中有四个表来体现:用户表,角色表,权限 表,及用户的group表。用户和角色是多对多关系,角色和权限是一对多关系。

在项目中使用步骤如下:

一、在web.xml中配置

<filter> 
        <filter-name>shiroFilter</filter-name> 
        <filter-class>  org.springframework.web.filter.DelegatingFilterProxy  </filter-class> 
  </filter> 
<filter-mapping> 
  <filter-name>shiroFilter</filter-name> 
  <url-pattern>/*</url-pattern> 
</filter-mapping>

二、建立Dbrealm

@Component 
public class ShiroDbRealm extends AuthorizingRealm{ 
 
@Resource 
private UserService userService; 
//登录认证

@Override 
protected AuthenticationInfo doGetAuthenticationInfo( AuthenticationToken authenticationToken) throws AuthenticationException { 
 
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; 
User user = userService.findByLoginName(token.getUsername()); 
if(user != null) { 
  return new SimpleAuthenticationInfo(user.getLoginname(), 
      user.getPassword(),getName()); 

 
return null; 
}

//权限认证

@Override 
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection  
  principalCollection) { 
String loginName =  
  (String) principalCollection.fromRealm(getName()).iterator().next(); 
User user = userService.findByLoginName(loginName); 
if(user != null) { 
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); 
//添加Group 
info.setRoles(user.getGroupNameSet()); 
for(Group g : user.getGroupList()) { 
//添加permission 
info.addStringPermissions(g.getPermissionStringList()); 

return info; 

return null; 
}

}

三、在applicationContext-shiro.xml配置

<bean id="securityManager"  
  class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> 
<property name="realm" ref="shiroDbRealm" /> 
<property name="cacheManager" ref="cacheManager" /> 
</bean> 
 
<!-- 項目自定义Realm --> 
<bean id="shiroDbRealm" class="com.kaishengit.services.account.ShiroDbRealm" /> 
 
<!-- Shiro Filter --> 
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"
<property name="securityManager" ref="securityManager" /> 
<property name="loginUrl" value="/user!input.jspx" /> 
<property name="successUrl" value="/main.jspx" /> 
<property name="unauthorizedUrl" value="/403.jsp" /> 
<property name="filterChainDefinitions"> 
    <value> 
    /user!login.jspx = anon 
    /user.jsp = roles[user] 
    /** = authc 
 </value> 
</property>

</bean>

<bean id="cacheManager"  
class="org.apache.shiro.cache.MemoryConstrainedCacheManager" /> 
 
<bean id="lifecycleBeanPostProcessor"  
class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

四、登录和退出

try { 
   SecurityUtils.getSubject().login( 
  new UsernamePasswordToken(user.getLoginname(), user.getPassword())); 
} catch (AuthenticationException e) { 
msg = "用户名或密码错误!"; 
return INPUT; 

 
//exit 
SecurityUtils.getSubject().logout();

五、标签

<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
 
Hello, <shiro:principal/>, how are you today? 
 
<shiro:hasRole name="administrator">  
  <a href="admin.jsp">Administer the system</a>  
 </shiro:hasRole> 
<shiro:hasAnyRoles name=“developer, manager,administrator">  
You are either a developer, manager, or administrator.   
 </shiro:lacksRole> 
<shiro:hasPermission name="user:create">  
<a href="createUser.jsp">Create a new User</a>   
 </shiro:hasPermission>

Apache Shiro(安全框架)的更多相关文章

  1. Apache Shiro权限框架在SpringMVC+Hibernate中的应用

    在做网站开发中,用户权限必须要考虑的,权限这个东西很重要,它规定了用户在使用中能进行哪 些操作,和不能进行哪些操作:我们完全可以使用过滤器来进行权限的操作,但是有了权限框架之后,使用起来会非常的方便, ...

  2. Apache Shiro 权限框架

    分享一个视屏教程集合 http://www.tudou.com/home/konghao/item 1.Shiro Apache Shiro是一个强大且易用的Java安全框架,执行身份验证.授权.密码 ...

  3. 关于Apache Shiro权限框架的一些使用误区的解释

    多了不说了,进入正题,shiro是个权限框架提供权限管理等功能,网上的教程一般都是互相抄,比如<shiro:principal property="xxx"/>这个标签 ...

  4. Java开源安全框架之Apache Shiro

    APACHE SHIRO安全框架 1      背景 Shiro项目始于2003年初,当时它叫JSecurity项目,当时对于Java应用开发人员没有太多的安全替代方案,始终被一个叫JAAS(Java ...

  5. Apache Shiro和Spring Security的详细对比

    参考资料: 1)Apache Shiro Apache Shiro:http://shiro.apache.org/ 在Web项目中应用 Apache Shiro:http://www.ibm.com ...

  6. SpringBoot集成Apache Shiro

    笔者因为项目转型的原因,对Apache Shiro安全框架做了一点研究工作,故想写点东西以便将来查阅.之所以选择Shiro也是看了很多人的推荐,号称功能丰富强大,而且易于使用.实践下来的确如大多数人所 ...

  7. Apache Shiro 开源权限框架

    在 Web 项目中应用 Apache Shiro 开源权限框架 Apache Shiro 是功能强大并且容易集成的开源权限框架,它能够完成认证.授权.加密.会话管理等功能.认证和授权为权限控制的核心, ...

  8. Apache Shiro java安全框架

    什么是Apache Shiro? Apache Shiro(发音为“shee-roh”,日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理功能,可为 ...

  9. JAVAEE——BOS物流项目10:权限概述、常见的权限控制方式、apache shiro框架简介、基于shiro框架进行认证操作

    1 学习计划 1.演示权限demo 2.权限概述 n 认证 n 授权 3.常见的权限控制方式 n url拦截权限控制 n 方法注解权限控制 4.创建权限数据模型 n 权限表 n 角色表 n 用户表 n ...

随机推荐

  1. 「C语言」int main还是void main?

    从大一入学刚接触C到现在已满7个月了,虽然刚开始就知道```int main```才是标准的写法,但一直没有深刻理解为什么不能用```void main```而必须使用```int main```. ...

  2. HTML 块元素

    分为3类 1. 结构块 只能包含块级元素.它们包含结构含义,但没有语义含义,也就是,不能说明内容是什么,只能说明其组织方式. <ol> <ul> <dl> < ...

  3. 【使用 DOM】使用 Window 对象

    1. 获取 Window 对象 可以用两种方式获得Window对象.正规的HTML5方式是在Document对象上使用defaultView属性.另一种是使用所有浏览器都支持的全局变量window . ...

  4. TreeView递归绑定无限分类数据

    TreeView递归绑定无限分类数据 实现一个动态绑定,无限级分类数据时,需要将数据绑定到TreeView控件,分类表的结构是这样的: 字段 类型 Id int ParentId int Name N ...

  5. iOS 删除 Main.storyboard 和 LaunchScreen.storyboard

    第一步: 右键选中Main.storyboard —- delete —— Move to Trash LaunchScreen同理 第二步 点击工程名,就是最顶级目录 右侧出现general选项卡 ...

  6. 在virtualbox下使用vm映像文件

    virtualbox可以直接打开vmdk 创建虚拟机时先不要创建虚拟硬盘. 虚拟机创建成功后,在设置窗口,点击[存储],添加虚拟硬盘,点击选择现有的虚拟盘. 参考链接

  7. iOSQuartz2D-02-绘制炫酷的下载进度条

    效果图 实现思路 要实现绘图,通常需要自定义一个UIView的子类,重写父类的- (void)drawRect:(CGRect)rect方法,在该方法中实现绘图操作 若想显示下载进度,只需要实例化自定 ...

  8. Java部分总结图片版2(已加上原图链接!!!)

    Java部分总结图片版2(加上原图链接)

  9. 【mysql】添加对emoji的支持

    1.简介 涉及无线相关的 MySQL 数据库建议都提前采用 utf8mb4 字符集,避免 emoji 表情符号带来的问题 MySQL Server >  5.5.3 2.配置+升级 当前配置 m ...

  10. PHP面试题集之基础题

    1.用PHP打印出前一天的时间格式是 2006-5-10 22:21:21 date_default_timezone_set('PRC'); //默认时区 echo "今天:", ...