相信有很多的程序员,不愿意进行用户管理这块代码实现。

原因之一,不同的JavaEE 系统,用户管理都会有个性化的实现,逻辑很繁琐。

而且是系统门面,以后背锅的几率非常大,可谓是低收益高风险。

最近在系统中集成了 Shiro,感觉这个小家伙还是相当灵活的。

完善的用户认证和授权,干净的API,让人如沐春分。

Apache Shiro 作为一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。

安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的 API。

Apache Shiro 的首要目标是易于使用和理解。

以下是你可以用 Apache Shiro 所做的事情:

a.验证用户来核实他们的身份

b.对用户执行访问控制,如:

c.判断用户是否被分配了一个确定的安全角色。

d.判断用户是否被允许做某事。

e.在任何环境下使用 Session API,即使没有 Web 或 EJB 容器。

f.在身份验证,访问控制期间或在会话的生命周期,对事件作出反应。

g.聚集一个或多个用户安全数据的数据源,并作为一个单一的复合用户“视图”。

h.启用单点登录(SSO)功能。

i.并发登录管理(一个账号多人登录作踢人操作)。

j.为没有关联到登录的用户启用"Remember Me"服务。

以及更多——全部集成到紧密结合的易于使用的 API 中。

目前主流安全框架有 SpringSecurity 和 Shiro,相比于 SpringSecurity,Shiro 轻量化,简单容易上手。

SpringSecurity 太笨重了,难以上手,且只能在 Spring 里用,所以极力推荐Shiro。

本文重点描述集成过程,能让你迅速的将 Shiro 集成到 JavaEE 项目中,毕竟项目都挺紧张的。

1.前戏

Shiro 核心jar:

       <!--权限控制 shiro-->

        <dependency>

            <groupId>org.apache.shiro</groupId>

            <artifactId>shiro-spring</artifactId>

            <version>${shiro.version}</version>

        </dependency>

        <dependency>

            <groupId>org.apache.shiro</groupId>

            <artifactId>shiro-ehcache</artifactId>

            <version>${shiro.version}</version>

        </dependency>

JavaEE 应用开始的地方,web.xml 配置:

         <filter>

           <filter-name>shiroFilter</filter-name>

           <filter-class>

              org.springframework.web.filter.DelegatingFilterProxy

           </filter-class>

         </filter>

         <filter-mapping>

           <filter-name>shiroFilter</filter-name>

           <url-pattern>/*</url-pattern>

         </filter-mapping>

Spring-Shiro-context 配置应用启动的使用,会帮助你做很多事情:

   <!--Shiro 关键过滤器配置-->

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

        <property name="securityManager" ref="securityManager"/>

        <property name="loginUrl" value="/sys/login"/> <!--请求 Url 为 get方式-->

        <property name="successUrl" value="/sys/index"/>

        <property name="filters">

            <map>

                <entry key="authc" value-ref="formAuthenticationFilter"/>

            </map>

        </property>

        <property name="filterChainDefinitions" ref="shiroFilterChainDefinitions"/>

    </bean>

    <!-- Shiro 安全管理器 -->

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

        <property name="realm" ref="systemAuthorizingRealm"/>

        <property name="cacheManager" ref="shiroCacheManager"/>

    </bean>

    <!--自定义系统认证域-->

    <bean id="systemAuthorizingRealm" class="com.rambo.spm.core.shiro.SysAuthorizingRealm"/>

    <!--shiro ehcache缓存-->

    <bean id="shiroCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">

        <property name="cacheManager" ref="cacheManagerFactory"/>

    </bean>

    <!--扩展表单认证过滤器-->

    <bean id="formAuthenticationFilter" class="com.rambo.spm.core.shiro.FormAuthenticationFilter"/>

    <!--权限过滤链定义 -->

    <bean name="shiroFilterChainDefinitions" class="java.lang.String">

        <constructor-arg>

            <value>

                /static/** = anon

                /captcha-image = anon

                /sys/login = authc

                /sys/logout = logout

                /** =user

            </value>

        </constructor-arg>

    </bean>

    <!--借助 SpringAOP 扫描那些使用 Shiro 注解的类-->

    <aop:config proxy-target-class="true"/>

    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">

        <property name="securityManager" ref="securityManager"/>

    </bean>

    <!--用于在实现了Initializable/Destroyable接口的 Shiro bean 初始化时回调-->

    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

2.个性化

请求发起的地方一般是前端,不管你是 .jsp/.php/.net.......方式都是类似

<html>

<body>

<h1>login page</h1>

<form id="" action="service/dologin" method="post">

    <label>账号:</label><input name="userName" maxLength="40"/>

    <input title="是否是管理员" type="checkbox" name="isAdmin"><label>是否为管理员</label><br>

    <label>密码:</label><input title="密码" type="password" name="password" /><br>

    <input type="submit" value="登录"/>

</form>

<%--用于输入后台返回的验证错误信息 --%>

<P><c:out value="${message }"/></P>

</body>

</html>

自定义项目验证域(验证域可以有多个,已可以有多种方式)。

public class SysAuthorizingRealm extends AuthorizingRealm {

    private Log log = LogFactory.get();

    @Autowired

    private SysUserService sysUserService;

    @Autowired

    private SysRoleService sysRoleService;

    @Autowired

    private SysMenuService sysMenuService;

    /**

     * 获取当前用户的认证信息

     *

     * @param authcToken 携带用户认证所需的信息

     * @return 认证结果信息

     */

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {

        CaptchaUsernamePasswordToken spmToken = (CaptchaUsernamePasswordToken) authcToken;

        log.info("token:{}", ReflectionToStringBuilder.toString(spmToken));

        SysUser sysUser = sysUserService.getSysUserByLoginName(spmToken.getUsername());

        if (sysUser == null) {

            return null;

        }

        byte[] salt = Hex.decode(sysUser.getPasswd().substring(0, 16));

        return new SimpleAuthenticationInfo(new SpmPrincipal(sysUser), sysUser.getPasswd().substring(16), ByteSource.Util.bytes(salt), getName());

    }

    /**

     * 获取当前用户授权信息

     *

     * @param principals 该用户身份集合

     * @return 当前用户授权信息

     */

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        SpmPrincipal spmPrincipal = (SpmPrincipal) super.getAvailablePrincipal(principals);

        log.info("授权当前:{}", ReflectionToStringBuilder.toString(spmPrincipal));

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        List<SysRole> sysRoleList = sysUserService.listSysRoleByUserId(spmPrincipal.getId());

        for (SysRole sysRole : sysRoleList) {

            info.addRole(sysRole.getRoleType());

            List<SysMenu> sysMenuList = sysRoleService.listSysMenuByRoleId(sysRole.getUuid());

            for (SysMenu sysMenu : sysMenuList) {

                info.addStringPermission(sysMenu.getPermisson());

            }

        }

        info.addStringPermission("user");

        return info;

    }

    /**

     * 设定密码校验的Hash算法与迭代次数

     */

    @PostConstruct

    public void initCredentialsMatcher() {

        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher("SHA-1");

        matcher.setHashIterations(1024);

        setCredentialsMatcher(matcher);

    }

}

请求的后台服务,在这里你可以在进行一点业务逻辑

   /**

     * shiro 登录请求控制,真正的请求由 shiroFilter --> formAuthenticationFilter 进行处理

     * 登录成功: 跳转配置的 succssUrl,不触发该方法;

     * 登录失败: 触发该方法,可以从扩展的 formAuthenticationFilter 中获取具体的错误信息;

     */

    @PostMapping("/sys/login")

    public Object postSysLogin(HttpServletRequest httpRequest, ModelAndView modelAndView) {

        String exceptionName = (String) httpRequest.getAttribute(FormAuthenticationFilter.DEFAULT_ERROR_KEY_ATTRIBUTE_NAME);

        String errorMsg = null;

        if (IncorrectCaptchaException.class.getName().equals(exceptionName)) {

            errorMsg = "验证码错误!";

        } else if (UnknownAccountException.class.getName().equals(exceptionName)) {

            errorMsg = "用户不存在!";

        } else if (IncorrectCredentialsException.class.getName().equals(exceptionName)) {

            errorMsg = "用户或密码错误!";

        } else if (exceptionName != null && StrUtil.startWith(exceptionName, "msg:")) {

            errorMsg = StrUtil.removeAll(exceptionName, "msg:");

        }

        return setModelAndView(modelAndView, "sys/sysLogin", errorMsg);

    }

整个集成工作就结束了,是不是简单的不要不要的。

等下次项目经理指派你做用户管理的时候,只需要花半天的时间做设计。

借助Shiro 半天时间实现代码。

然后将剩下的时间,做做自己喜欢的其他研究工作。

Spring MVC 急速集成 Shiro 实录的更多相关文章

  1. 细说shiro之五:在spring框架中集成shiro

    官网:https://shiro.apache.org/ 1. 下载在Maven项目中的依赖配置如下: <!-- shiro配置 --> <dependency> <gr ...

  2. mybatis实战教程(mybatis in action)之六:与Spring MVC 的集成

    前面几篇文章已经讲到了mybatis与spring 的集成.但这个时候,所有的工程还不是web工程,虽然我一直是创建的web 工程.今天将直接用mybatis与Spring mvc 的方式集成起来,源 ...

  3. spring mvc mybatis集成踩的坑

    开园这么多年了也没写几篇文章,现在想想光看别人的也不行啊,咱也自己写写,就写这天我我在做spring mvc与mybatis的集成时遇到的问题 1 spring与mybatis的集成 这个相信大家都弄 ...

  4. mybatis :与Spring MVC 的集成

    用mybatis与Spring mvc 的方式集成起来,源码在本文结尾处下载.主要有以下几个方面的配置1. web.xml 配置 spring dispatchservlet ,比如为:mvc-dis ...

  5. Mybatis学习(6)与Spring MVC 的集成

    前面几篇文章已经讲到了mybatis与spring 的集成.但这个时候,所有的工程还不是web工程,虽然我一直是创建的web 工程.今天将直接用mybatis与Spring mvc 的方式集成起来,源 ...

  6. Java Spring MVC项目搭建(一)——Spring MVC框架集成

    1.Java JDK及Tomcat安装 我这里安装的是JDK 1.8 及 Tomcat 8,安装步骤详见:http://www.cnblogs.com/eczhou/p/6285248.html 2. ...

  7. Spring MVC 中急速集成 Shiro 实践

    相信有很多的程序员,不愿意进行用户管理这块代码实现. 原因之一,不同的JavaEE 系统,用户管理都会有个性化的实现,逻辑很繁琐. 而且是系统门面,以后背锅的几率非常大,可谓是低收益高风险. 最近在系 ...

  8. Spring mvc 中有关 Shiro 1.2.3 配置问题

    Spring 版本:3.2.x,  4.0.x [问题说明] 首先介绍下配置出错情况: (1)项目中,Spring3 and Spring4 的 applicationContext.xml aop ...

  9. springboot (spring mvc)集成swagger

    最近用springboot构建rest接口,考虑到最方便的验证接口,想到了引入swagger. 基本的步骤大致如下: 1.pom中引入swagger依赖: <dependency> < ...

随机推荐

  1. 使用虚拟信用卡认证openshift铜牌计划

    "铜牌计划(bronze)"是OpenShift推出的一项免费计划,这个计划能为你提供更多的免费便利,主要就是可以自己绑域名加SSL证书和应用即使24小时没人访问也不关机了.说这个 ...

  2. C语言 时间函数的学习和总结

    一直都是以简单的time_t t,time(&t),ctime(&t)来表示时间,后来要以时间为日志文件的名字时,就有点蒙逼了.学习一下.   tm结构: struct tm {   ...

  3. Qt5.5.0使用mysql编写小软件源码讲解---顾客信息登记表

    Qt5.5.0使用mysql编写小软件源码讲解---顾客信息登记表 一个个人觉得比较简单小巧的软件. 下面就如何编写如何发布打包来介绍一下吧! 先下载mysql的库文件链接:http://files. ...

  4. linux shell 之 crontab(定时任务)详解

    1.定义: crontab命令常见于Unix和类Unix的操作系统之中,用于设置周期性被执行的指令.该命令从标准输入设备读取指令,并将其存放于“crontab”文件中,以供之后读取和执行.该词来源于希 ...

  5. ELF Format 笔记(三)—— Section Types

    ilocker:关注 Android 安全(新入行,0基础) QQ: 2597294287 ELF 文件中会包含很多 section,所有的 section 都在 section header tab ...

  6. 提升效率(时间准确性),减少时间和资源的消耗——由89C52/89C51的定时器中断引出的一些问题

    尽量用最少的文字描述清楚问题. 事情起因是这样的: 要做遥控小车的平台迁移,STM32开发板无法方便地供电,因此又拿出了尘封的51(STC89C52RC),搭配上最小系统板就可以用排针加杜邦线供电了. ...

  7. 嵌入式Linux开发板

    嵌入式Linux开发板开发介绍: iTOP-4412嵌入式Linux开发板搭载三星Exynos四核处理器,配备1GB内存,4GB固态硬盘EMMC存储,独家配备三星S5M8767电源管理,配备Andro ...

  8. [cocos2d-x]深入--几个代表性的类 (续)

    摘要: 此文对cocos2d-x引擎中最具代表性,最能体现框架结构的几个类做了简单的介绍, 包括Director,Application, Renderer, EventDispatcher, Sch ...

  9. java 27 - 2 反射之 反射的概述以及获取Class文件对象的方式

    反射: JAVA语言的反射机制: JAVA反射机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法: 对于任意一个对象,都能够调用它的任意一个方法和属性: 这种动态获取的信息以及动态调 ...

  10. Oracle过程及函数的参数模式,In、out、in out模式

    Oracle过程及函数的参数模式 In.out.in out模式 在Oracle中过程与函数都可以有参数,参数的类型可以指定为in.out.in out三种模式. 三种参数的具体说明,如下图所示: ( ...