shiro 可以做认证、授权、加密、会话管理、与web集成、缓存。

在本文中,主要使用认证和授权这两个功能。

在shiro框架中,有些很重要的概念:

Subject    很多人把它理解为当前用户,这只是subject的概念的一部分。官方文档上是这么说的,Security specific user ‘view’ of an application user. It can be a human being, a third-party process, a server connecting to you application application, or even a cron job. Basically, it is anything or anyone communicating with your application.就是想要与你的应用的通信的任何事务或者任何人。

Principals    一个subject 的标识,例如用户名、身份证

Credentials  通常用来验证一个subject的私密的数据,例如密码

Realms   shiro 需要从realm中获取安全数据(用户、角色、权限)来验证用户是否合法。

1.搭建环境(web.xml和spring-shiro.xml)

     在web.xml中需要配置shiro的过滤器。

        

<!-- shiro的filter -->
<filter>
  <filter-name>shiroFilter</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  <init-param>
    <param-name>targetFilterLifecycle</param-name>
    <param-value>true</param-value>
  </init-param>
  <init-param>
    <param-name>targetBeanName</param-name>
    <param-value>shiroFilter</param-value>
  </init-param>
</filter>
<filter-mapping>
  <filter-name>shiroFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

在spring-shiro.xml中的配置如下:

<!-- 自定义域realm -->
<bean id="custom_Realm" class="com.test.realm.CustomRealm"></bean>
<!-- 安全管理器  ref对象-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="custom_Realm"/>
</bean>
<!-- shiro filter -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <!-- 安全管理器必须的 -->
    <property name="securityManager" ref="securityManager"/>
    <!-- 身份认证失败   认证提交的地址 -->
    <property name="loginUrl" value="/index.jsp"/>
    <!-- 权限认证失败    没有权限认证提交的地址 -->
    <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
    <!-- Shiro连接约束配置,即过滤链的定义 -->
    <property name="filterChainDefinitions">
        <value>
            <!-- 对静态资源设置匿名访问 -->
            /login = anon
            <!-- /** = authc 所有url都必须认证通过才可以访问 -->
            /admin* = authc
        </value>
    </property>
</bean>
<!-- Shiro生命周期处理器 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
</bean>

2.编写自定义的Realm类


public class CustomRealm extends AuthorizingRealm {
    @Resource
    private UserService  userService;
    private static final Logger logger = LoggerFactory.getLogger(CustomRealm.class);
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        logger.info("======用户授权认证======");
        String userName = principals.getPrimaryPrincipal().toString();
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.setRoles(userService.queryRolesByName(userName));
        simpleAuthorizationInfo.setStringPermissions(userService.queryPermissonByName(userName));
        return simpleAuthorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        logger.info("======用户登陆认证======");
        String userName = token.getPrincipal().toString();
        User user = userService.findUserByUsername(userName);
        //System.out.println(user.getUsername());
        if (user!=null) {
            AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), "test");
            return authenticationInfo;
        }
        return null;
    }
}

CustomRealm 类需要继承AuthorizingRealm类,并重写两个方法。
doGetAuthorizationInfo() 设置subject的授权和认可。
doGetAuthenticationInfo() 对subject进行认证。

3.编写登录方法
@RequestMapping("/login")
public  String Login(User user , Model model){
    Subject subject = SecurityUtils.getSubject();
    Session session = subject.getSession();
    UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(user.getUsername(),user.getPassword());
    try{
        subject.login(usernamePasswordToken);
        if (subject.hasRole("admin")){
            return "admin";
        }else if(subject.hasRole("普通用户")){
            return "user";
        }
    }catch(Exception e){
       e.printStackTrace();
       return "index";
    }
    return "index";
}

4.进行测试

数据库;

在登录页面,输入不同角色的人,就会跳转到不同的页面。

5.shiro对jsp的支持

在jsp页面需要引入标签库

<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

在jsp页面,就可以使用shiro的标签。例如:
<shiro:hasRole name="普通用户">  用户角色
</shiro:hasRole>

<shiro:principal></shiro:principal>  当前用户

<shiro:hasPermission name="user:create">  用户权限
</shiro:hasPermission>






 
												


											
shiro初识的更多相关文章
	

    
						
  1. Shiro初识与总结
		
    1.1简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证.授权.密码学和会话管理.使用Shiro的易于理解的API,您可以快速.轻松地获得任何应用程序,从最小的移动应用程序 ...
    
		
    2. 
								
  2. Apache Shiro——初识
		
    Shrio是什么? Shrio是一个用Java开发的安全框架,用来保证系统或系统数据安全的.他可以用在大多数程序上,比如移动应用程序.Web程序或者大型的企业应用程序等. Shrio能干什么? 能用来 ...
    
		
    3. 
						
  3. ehcache的使用 Shiro与Ehcache的结合(附:EhcacheUtils)
		
    ehcache 缓存的使用 合理的使用缓存会极大的提高程序的运行效率.切记:缓存请勿滥用. 配置ehcache与Shiro shiro初识请查看该文章 https://blog.csdn.net/py ...
    
		
    4. 
						
  4. 第一章 初识shiro
		
    shiro学习教程来自开涛大神的博客:http://jinnianshilongnian.iteye.com/blog/2018936 第一章 初识shiro 简单了解shiro主要记住三张图即可.  ...
    
		
    5. 
						
  5. Apache Shiro系列一,概述 —— 初识
		
    一.什么是Shiro Apache Shiro是一个强大.灵活.开源的安全框架,它支持用户认证.权限控制.企业会话管理以及加密等. Apache Shiro的第一个也是最重要的一个目标就是易于使用和理 ...
    
		
    6. 
						
  6. 【shiro】shiro学习笔记1 - 初识shiro
		
    [TOC] 认证流程 st=>start: Start e=>end: End op1=>operation: 构造SecurityManager环境 op2=>operati ...
    
		
    7. 
						
  7. 初识Shiro
		
    Shiro是Apache基金会下的一个开源安全框架,提供了身份验证.授权.密码学和会话管理等功能,Shiro框架不仅直观易用,而且也能提供健壮的安全性,另外一点值得说的是Shiro的前身是一个始于20 ...
    
		
    8. 
						
  8. shiro学习总结(一)----初识shiro
		
    本系列内容大多总结自官网和张开涛的<跟我学Shiro> 一.shiro简介 1.1.shiro有什么用? shiro是一个功能强大使用简单的java安全框架,主要提供了五大功能: 1.认证 ...
    
		
    9. 
						
  9. Apache Shiro(一)-登录认证和权限管理初识
		
    What is Apache Shiro? Apache Shiro是一个功能强大.灵活的,开源的安全框架.它可以干净利落地处理身份验证.授权.企业会话管理和加密. Apache Shiro的首要目标 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 例:三位老师对某次数学竞赛进行了预测,他们的预测如下:    甲:学生A得了第一名,学生B得第三名。    乙:学生C得了第一名,学生D得第四名。    丙:学生D得了第二名,学生A得第三名。  结果表明,他们都说对了一半,说错了一半,并且无并列名次,输出A、B、C和D各自的名次。
			
    public class demo { public static void main(String[] args) { int a,b,c,d;//代表四个学生 boolean x1,x2,x3;/ ...
    
			
    2. 
						
  2. 对于Linux内核执行过程的理解(基于fork、execve、schedule等函数)
			
    382 + 原创作品转载请注明出处 + https://github.com/mengning/linuxkernel/ 一.实验环境 win10 -> VMware -> Ubuntu1 ...
    
			
    3. 
						
  3. MongoDB连接
			
    1. import pymongo client = pymongo.MongoClient(host='localhost',port=27017) 2. client=MongoClient('m ...
    
			
    4. 
						
  4. InsertSort
			
    #include <bits/stdc++.h> using namespace std; #define MAXSIZE 200000 typedef int KeyType; type ...
    
			
    5. 
						
  5. MFC程序打包方法
			
    目录 1. 新建工程 2. 设置信息 3. 其他设置 4. 生成安装包 1. 新建工程 在同一个解决方案下,新建一个Setup工程,工程名为SetupVSR. (1)在"解决方案资源管理器& ...
    
			
    6. 
						
  6. DEV中的TreeList控件应用的一个小效果实现——个人总结
			
    我使用最多的DEV控件就是这个TreeList啦,当然用好它很不简单,如果用好它,能做出很精彩的树形层次结构图.TreeList控件很强大,以至于你看DEV自带的DEMO,也得浪费你很长时间应用.DE ...
    
			
    7. 
						
  7. 注册Docker Hub、以及Push(九)
			
      一.注册   1.使用浏览器打开官网的时候,发现注册按钮点不了       2.下载google访问助手,添加到浏览器         下载地址:http://www.ggfwzs.com/,根据 ...
    
			
    8. 
						
  8. Day 17 常用模块
			
    一.时间模块:time 1.时间戳:time.time() # 可以作为数据的唯一标识 print(time.time) # 1554878849.8452318 2.延迟线程的运行:time.sle ...
    
			
    9. 
						
  9. LVS中Windows作为真实主机(RealServer)时的设置方法
			
    最近,公司新推了一个电商项目,IIS+ASP.而上面大大规划了要用 LVS 负载均衡集群,在这个技术陈旧的企业,LVS 项目还是去年才真正推行.由于最开始是由我测试的,所以这次的部署又落到了我头上了. ...
    
			
    10. 
						
  10. QQ群成员发言次数统计(词云制作)
			
    所用数据来自于之前的一篇博客: <QQ群成员发言次数统计(正则表达式版)> 链接:http://www.cnblogs.com/liyongzhao/p/3324026.html 1.首先 ...
    
			
    11.