ssm整合shiro框架,对用户的登录操作进行认证和授权,目的很纯粹就是为了增加系统的安全线,至少不要输在门槛上嘛。

  这几天在公司独立开发一个供公司内部人员使用的小管理系统,客户不多但是登录一直都是简单的校验查询,没有使用任何安全框架来保驾护航,下午终于拿出以前的手段来完善了一下,将shiro安全框架与ssm整合使用的步骤和大家分享一下,都是些简单易懂的东西,希望努力没有白费,帮到大家。

ssm整合shiro安全框架的步骤:

1、引入shiro安全框架的所需jar包

  <!-- shiro -->

         <dependency>

             <groupId>org.apache.shiro</groupId>

             <artifactId>shiro-core</artifactId>

             <version>1.2.3</version>

         </dependency>

         <dependency>

             <groupId>org.apache.shiro</groupId>

             <artifactId>shiro-spring</artifactId>

             <version>1.2.3</version>

         </dependency>

         <dependency>

             <groupId>org.apache.shiro</groupId>

             <artifactId>shiro-web</artifactId>

             <version>1.2.3</version>

         </dependency>

         <dependency>

             <groupId>org.apache.shiro</groupId>

             <artifactId>shiro-ehcache</artifactId>

             <version>1.2.3</version>

         </dependency>

2、在web.xml文件中配置shiro拦截器

 <!-- spring整合安全框架 -->

     <filter>

         <filter-name>DelegatingFilterProxy</filter-name>

         <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

         <!-- 初始化参数 -->

         <init-param>

             <param-name>targetBeanName</param-name>

             <param-value>shiroFilter</param-value>

         </init-param>

     </filter>

     <filter-mapping>

         <filter-name>DelegatingFilterProxy</filter-name>

         <url-pattern>/*</url-pattern>

     </filter-mapping>

3、创建spring整合shiro安全框架的配置文件applicationContext-shiro.xml(各位在拷贝的时候记得修改一下跳转连接地址)

 <!-- shiro开启事务注解 -->

     <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">

         <property name="securityManager" ref="securityManager" />

     </bean>

     <!--

         /**  除了已经设置的其他路径的认证

      -->

     <!-- shiro工厂bean配置 -->

     <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

         <!-- shiro的核心安全接口 -->

         <property name="securityManager" ref="securityManager"></property>

         <!-- 要求登录时的连接 -->

         <property name="loginUrl" value="/login.jsp"></property>

         <!-- 登录成功后要跳转的连接(此处已经在登录中处理了) -->

         <!-- <property name="successUrl" value="/index.jsp"></property> -->

         <!-- 未认证时要跳转的连接 -->

         <property name="unauthorizedUrl" value="/refuse.jsp"></property>

         <!-- shiro连接约束配置 -->

         <property name="filterChainDefinitions">

             <value>

                 <!-- 对静态资源设置允许匿名访问 -->

                 /images/** = anon

                 /js/** = anon

                 /css/** = anon

                 <!-- 可匿名访问路径,例如:验证码、登录连接、退出连接等 -->

                 /auth/login = anon

                 <!-- 剩余其他路径,必须认证通过才可以访问 -->

                 /** = authc

             </value>

         </property>

     </bean>

     <!-- 配置shiro安全管理器 -->

     <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

         <property name="realms" ref="customRealm"></property>

     </bean>

     <!-- 自定义Realm -->

     <bean id="customRealm" class="com.zxz.auth.realm.UserRealm">

         <property name="credentialsMatcher" ref="credentialsMatcher"></property>

     </bean>

     <!-- 配置凭证算法匹配器 -->

     <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

         <!-- Md5算法 -->

         <property name="hashAlgorithmName" value="Md5"></property>

     </bean>

【高能说明:以上俩个配置文件中加粗画线的红色部分必须一致,没毛病。】

  还需要说明的是,在上面的配置文件中shiro连接约束配置那块,要特别小心,哥们我就在哪块吃了2天的折磨亏,当时是只配置了/** = authc,没有配置可匿名访问的路径,当时是什么情况吧,就是无限次的调试无限次的修改,我是真长记性了,还有一点就是在配置的时候把你项目中的静态资源放开,被屏蔽了啊,好心提醒,不谢。

4、当然,在这之前,还要编写自定义realm类,该类必须认AuthorizingRealm类做爸爸,不然你是不行滴,之后还有俩个儿子需要处理了,一个是认证另一个授权,理论我就不多说了,MD没用。

 public class UserRealm extends AuthorizingRealm {

     @Autowired

     private UserService userService;

     @Override

     public String getName() {

         return "customRealm";

     }

     /**

      * 认证

      */

     @Override

     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

         // 获取用户名称

         String username = (String) token.getPrincipal();

         User user = userService.findByUsername(username);

         if (user == null) {

             // 用户名不存在抛出异常

             System.out.println("认证:当前登录的用户不存在");

             throw new UnknownAccountException();

         }

         String pwd = user.getPassword();

         return new SimpleAuthenticationInfo(user, pwd, getName());

     }

     /**

      * 授权

      */

     @Override

     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection princ) {

         return null;

     }

 }

5、到这儿,shiro安全框架的整合是完成了,然后编写action类来实现登录功能,不多说了,直接上代码。

 /**

      * shiro框架登录

      * @param user

      */

     @RequestMapping(value = "/login",method=RequestMethod.POST)

     public ModelAndView login(User user){

         // 表面校验

         if(!StringUtil.isNullOrBlank(user.getUsername()) || !StringUtil.isNullOrBlank(user.getPassword())){

              return new ModelAndView("login")

                      .addObject("message", "账号或密码不能为空")

                      .addObject("failuser", user);

         }

         // 获取主体

         Subject subject = SecurityUtils.getSubject();

         try{

             // 调用安全认证框架的登录方法

             subject.login(new UsernamePasswordToken(user.getUsername(), user.getPassword()));

         }catch(AuthenticationException ex){

             System.out.println("登陆失败: " + ex.getMessage());

             return new ModelAndView("login")

                     .addObject("message", "用户不存在")

                     .addObject("failuser", user);

         }

         // 登录成功后重定向到首页

         return new ModelAndView("redirect:/index");

     }

  最后需要给大家说的就是,当某用户登录成功之后,shiro安全框架就会将用户的信息存放在session中,你可以通过User user = (User) SecurityUtils.getSubject().getPrincipal();这句代码在任何地方任何时候都能获取当前登录成功的用户信息。

很长年间没用shiro安全框架了,原理忘得都差不多了,但是驾驭它还是没问题的,如果哪儿写的不对的,希望各位指教,尽管我脾气很爆,哈哈哈。

用户登录安全框架shiro—用户的认证和授权(一)的更多相关文章

  1. root用户登录mysql后新建用户提示1045错误

    执行以下命令查看root权限 show grants for 'root'@'localhost'; 如果没有显示with grant option,说明是root没有拥有新建授权用户的权限(为什么会 ...

  2. Delphi用户登录窗口框架

    经常看到一些新手在CSDN上问登录窗口如何写,也看到N多人form1.show/form1.create/…中做form2.show之类.实在看不下去了.这种写法实在不是很好,于是还是把自己理解的登录 ...

  3. [转]在 SQL Server 2008 中新建用户登录并指定该用户的数据库

    提要:我在 SQL Server 中新建用户登录时,出现了三种错误,错误代码分别是 18456.15128.4064 -----------------------------------  正 文 ...

  4. 【转载】SQL Server 2008 中新建用户登录并指定该用户的数据库

    提要:我在 SQL Server 中新建用户登录时,出现了三种错误,错误代码分别是 18456.15128.4064 -----------------------------------  正 文 ...

  5. WebApi用户登录验证及服务器端用户状态存取

    最近项目需要给手机端提供数据,采用WebApi的方式,之前的权限验证设计不是很好,这次采用的是Basic基础认证. 1.常见的认证方式 我们知道,asp.net的认证机制有很多种.对于WebApi也不 ...

  6. gitlab用户登录与AD域用户集成

    ---恢复内容开始--- 编辑gitlab.rb文件 sudo vi /etc/gitlab/gitlab.rb 下图是我编辑的内容示例(仅供参考): 编辑以下内容: gitlab_rails['ld ...

  7. 设置Cookie,登录记住用户登录信息,获取用户登录过得信息

    function setCookie(name,value) { var Days = 30; var exp = new Date(); exp.setTime(exp.getTime() + Da ...

  8. 用户登录失败,该用户与可信SQL Server连接无关联,错误:18452

    安装好SQLServer2005(或者装了Visual Studio 2008后自带的SQLServer2005)用SQL Server身份验证的登录的时候有时候会发生这种情况: 这样的错误的原因是: ...

  9. Java环境下shiro的测试-认证与授权

    Java环境下shiro的测试 1.导入依赖的核心jar包 <dependency> <groupId>org.apache.shiro</groupId> < ...

随机推荐

  1. xml学习_上篇

    xml简介: XML 指可扩展标记语言(eXtensible Markup Language). XML 被设计用来传输和存储数据. xml小示例: /************************ ...

  2. linux下的权限控制

    终于还是要弄服务器了,这是多年前用fedora的时候整理的,也贴出来,顺便也再复习一下. 先来了解一下文件属性,在shell环境里输入:ls -l 可以查看当前目录文件.如:drwxr-xr-x. 1 ...

  3. Java进阶之网络编程

    网络编程 网络编程对于很多的初学者来说,都是很向往的一种编程技能,但是很多的初学者却因为很长一段时间无法进入网络编程的大门而放弃了对于该部分技术的学习. 在 学习网络编程以前,很多初学者可能觉得网络编 ...

  4. Access-自定义控件TabControl

    p{ font-size: 15px; } .alexrootdiv>div{ background: #eeeeee; border: 1px solid #aaa; width: 99%; ...

  5. Hexo + Github Pages 搭建个人博客

    之前一直想搭建自己的博客,由于自己的懒惰拖到现在.好了,废话不多说!直接上干货! 安装Node.js 安装Git Github Pages配置 安装Hexo及主题设置 进阶篇-高级定制 其它实用功能 ...

  6. Uva 11076 Add Again (数论+组合数学)

    题意:给你N个数,求把他们的全排列加和为多少 思路:对于这道题,假设数字k1在第一位,然后求出剩下N-1位的排列数num1,我们就可以知道k1在第一位时 排列有多少种为kind1, 同理,假设数字k2 ...

  7. This Handler class should be static or leaks might occur(null) 解决办法 (转)

    原文链接:http://blog.csdn.net/wuleihenbang/article/details/17126371 首先解释下这句话This Handler class should be ...

  8. Angular4.0.0发布总览文章

    翻译自angular.io上的关于4.0.0版本发布的文章,内容主要是介绍了4.0.0版本下的改进以及接下来还会有的其他更新,4.0.0其实已经出来好多天了,截止目前都已经到了4.0.1版本了,这也是 ...

  9. jmeter JDBC 连接数据库

    1.添加JDBC Connection Configuration 2.添加JDBC Request 3.添加查看结果树 4. 设置下列参数:Database URL:jdbc:mysql://hos ...

  10. AM335X开发板学习系列——环境搭建(vbox虚拟机ubuntu14.04下minicom的安装和配置)

    这个系列是我学习AM335X的总结. 1. ubuntu虚拟机的USB设备,选择启用usbserial 2. ubuntu虚拟机的网络,采用桥接模式,以保证开发板和ubuntu虚拟机能互相ping通 ...