仅供参考

仅供参考

登录部分

代码:

    @RequestMapping(value = "/login", method = RequestMethod.GET)

    @ResponseBody

    public Map<String, Object> login(HttpServletRequest request)

    {

        Map<String, Object> resultMap = new LinkedHashMap<String, Object>();

        try

        {

            ShiroToken token = new ShiroToken("admin", "21232f297a57a5a743894a0e4a801fc3");

            token.setRememberMe(false);

            SecurityUtils.getSubject().login(token);

            ShiroToken token2 = (ShiroToken) SecurityUtils.getSubject().getPrincipal();

            logger.info(token2.getUsername() + "," + token2.getPswd());

            resultMap.put("status", 200);

            resultMap.put("message", "登录成功");

            /**

             * 获取登录之前的地址

             */

            SavedRequest savedRequest = WebUtils.getSavedRequest(request);

            String url = null;

            if (null != savedRequest)

            {

                url = savedRequest.getRequestUrl();

            }

            // 跳转地址

            resultMap.put("back_url", url);

        }

        catch (DisabledAccountException e)

        {

            resultMap.put("status", 500);

            resultMap.put("message", "帐号已经禁用。");

        }

        catch (Exception e)

        {

            resultMap.put("status", 500);

            resultMap.put("message", "帐号或密码错误");

        }

        return resultMap;

    }

注意几点:

1、登录密码记得加密,一般存在数据库中的密码是加密过的。

2、真正开始执行登录操作的是SecurityUtils.getSubject().login(token),这个方法会调用org.apache.shiro.realm.AuthorizingRealm的doGetAuthenticationInfo方法进行登录认证:

3、出错异常记得捕获

登录验证部分

代码如下:

   @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0)

    {

        ShiroToken token = (ShiroToken) arg0;

        String username = token.getUsername();

        // 根据username从数据库查找用户,得到密码

        // 假设找到的用户如下

        // User user = userService.findByUsername(username)

        User user = new User();

        user.setName(username);

        user.setPassword("21232f297a57a5a743894a0e4a801fc3"); // 数据库中的密码md5加密的

        if (null == user)

        {

            throw new AccountException("username is not exist");

        }

        else if (!user.getPassword().equals(token.getPswd()))

        {

            throw new AccountException("password is not right");

        }

        else

        {

            // 登陆成功

            logger.info("{} login success.", username);

        }

        return new SimpleAuthenticationInfo(arg0, user.getPassword(), username);

    }

注意几点:

1、一般会根据username从数据库中查找该用户,得到密码

2、进行密码校验,判断一致性

3、根据获取到的用户信息,也可以进行其它判断,如用户是否激活,是否被禁用等

授权部分

代码如下:

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0)

    {

        ShiroToken token = (ShiroToken) SecurityUtils.getSubject().getPrincipal();

        String username = token.getUsername();

        logger.info(username + "授权...");

        // 从数据库中查找该用户的角色和权限

        SimpleAuthorizationInfo sainfo = new SimpleAuthorizationInfo();

        Set<String> roles = new HashSet<String>();

        roles.add("admin");

        //roles.add("role1");

        Set<String> permissions = new HashSet<String>();

        permissions.add("add");

        permissions.add("delete");

        sainfo.setRoles(roles);

        sainfo.setStringPermissions(permissions);

        return sainfo;

    }

注意,一般是根据用户名从数据库中查找该用户的角色和权限,进行授权;当然其它途径也是可以的,如webservice接口,配置文件等获取用户权限。

权限拦截配置

如下:

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

        <property name="securityManager" ref="securityManager"></property>

        <property name="loginUrl" value="/security/view/login"></property>

        <property name="successUrl" value="/successUrl"></property>

        <!-- 用户访问未对其授权的资源时,所显示的连接 -->

        <property name="unauthorizedUrl" value="/unauthorizedUrl"></property>

        <property name="filters">

            <map>

                <entry key="anyRoles">

                    <bean class="cn.edu.hdu.ssd.core.shiro.AnyRolesAuthorizationFilter" />

                </entry>

            </map>

        </property>

        <property name="filterChainDefinitions">

            <value>

                /security/**=anon

                /test/**=roles[role1]

                /users/**=anyRoles[admin,role1]

                /**=authc

            </value>

        </property>

    </bean>

根据用户的角色或权限来配置对应匹配的访问路径;

访问路径匹配任意角色

默认情况下,配置权限控制的时候,如

/test/**=roles[role1,admin]

结果是需要用户同时拥有role1和admin权限才能访问/test/**路径,这往往不符合我们的需求,

大部分情况,我们希望的是用户拥有role1和admin任一角色即可。

那么可以这样修改,编写一个过滤器:

public class AnyRolesAuthorizationFilter extends AuthorizationFilter

{

    // private Logger logger =  LoggerFactory.getLogger(ShiroCasAuthFilter.class);

    @Override

    protected boolean isAccessAllowed(ServletRequest req, ServletResponse resp, Object mappedValue)

        throws Exception

    {

        Subject subject = getSubject(req, resp);

        String[] rolesArray = (String[]) mappedValue;

        if (rolesArray == null || rolesArray.length == 0)

        {

            return true;

        }

        for (int i = 0; i < rolesArray.length; i++)

        {

            if (subject.hasRole(rolesArray[i]))

            {

                return true;

            }

        }

        return false;

    }

}

配置shiroFilter bean的filters属性,如下,

        <property name="filters">

            <map>

                <entry key="anyRoles">

                    <bean class="cn.edu.hdu.ssd.core.shiro.AnyRolesAuthorizationFilter" />

                </entry>

            </map>

        </property>

最后,权限拦截配置可以这样配:

/test/**=anyRoles[admin,role1]

示例源码参考

https://github.com/peterchenhdu/spring-shiro-demo

测试

登录:http://localhost:8080/ssd/security/login ----->角色:admin,用户名:admin,密码:21232f297a57a5a743894a0e4a801fc3
权限测试:http://localhost:8080/ssd/users ----->访问成功
权限测试:http://localhost:8080/ssd/test/access ----->访问失败,无访问权限
换个角色登录,修改UserRealm.java里的角色为roler1,重新登录http://localhost:8080/ssd/security/login
权限测试:http://localhost:8080/ssd/users ----->访问成功
权限测试:http://localhost:8080/ssd/test/access ----->访问成功

springmvc集成shiro例子的更多相关文章

  1. springmvc集成shiro登录失败处理

    一般的登录流程会有:用户名不存在,密码错误,验证码错误等.. 在集成shiro后,应用程序的外部访问权限以及访问控制交给了shiro来管理. shiro提供了两个主要功能:认证(Authenticat ...

  2. SpringMVC集成Shiro、读取数据库操作权限

    1.Maven添加Shiro所需的jar包 <dependency> <groupId>org.apache.shiro</groupId> <artifac ...

  3. springMVC集成 -- shiro(配置)

    备注:文中配置基本来自尚硅谷视频教程,也可自行参照shiro官方教程:http://shiro.apache.org/spring.html 1.首先通过maven导入shiro相关依赖jar包,修改 ...

  4. 【实用小技巧】spring springmvc集成shiro时报 No bean named 'shiroFilter' available

    查了网上的,很多情况,不同的解决办法,总归一点就是配置文件加载的问题. 先看下配置文件中的配置 web.xml中的主要配置(这是修改后不在报错的:仅仅修改了一个位置:[classpath:spring ...

  5. springmvc集成shiro后,session、request是否发生变化

    1. 疑问 我们在项目中使用了spring mvc作为MVC框架,shiro作为权限控制框架,在使用过程中慢慢地产生了下面几个疑惑,本篇文章将会带着疑问慢慢地解析shiro源码,从而解开心里面的那点小 ...

  6. springmvc+spring+mybatis+maven项目集成shiro进行用户权限控制【转】

    项目结构:   1.maven项目的pom中引入shiro所需的jar包依赖关系 ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 ...

  7. springmvc简单集成shiro

    前言: 有天和同事聊天, 谈起权限管理, 他说他有个同事用shiro用的很溜. 正好现在有个管理平台项目, 有权限控制的需求, 因此想借此机会研究一番. 本文主要简单讲解一下对shiro的一些认识, ...

  8. Shiro权限框架与SpringMVC集成

    1.Shiro整合SpringMVC 我们学习Shiro框架肯定是要应用到Web项目上的,所以我们需要整合Shiro和SpringMVC 整合步骤: 第一步:SpringMVC框架的配置 spring ...

  9. SpringMVC整合Shiro——(3)

    SpringMVC整合Shiro,Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理等功能. 第一步:配置web.xml <!-- 配置Shiro过滤器,先让Shiro ...

随机推荐

  1. 这些年一直记不住的 Java I/O

    参考资料 该文中的内容来源于 Oracle 的官方文档.Oracle 在 Java 方面的文档是非常完善的.对 Java 8 感兴趣的朋友,可以从这个总入口 Java SE 8 Documentati ...

  2. 程序猿是如何解决SQLServer占CPU100%的

    文章目录 遇到的问题 使用SQLServer Profiler监控数据库 SQL1:查找最新的30条告警事件 SQL2:获取当前的总报警记录数 有哪些SQL语句会导致CPU过高? 查看SQL的查询计划 ...

  3. direction和unicode-bidi

    在做多语言页面,接触过阿利伯语.希伯来语的同学肯定了解书写方向的重要性,包括我们五四运动前的书写顺序也是从右到左的.css中 unicode-bidi和direction属性决定了HTML或XML文字 ...

  4. 编程之美—烙饼排序问题(JAVA)

    一.问题描述 星期五的晚上,一帮同事在希格玛大厦附近的"硬盘酒吧"多喝了几杯.程序员多喝了几杯之后谈什么呢?自然是算法问题.有个同事说:"我以前在餐      馆打工,顾 ...

  5. 【WCF】授权策略详解

    所谓授权者,就是服务授予客户端是否具有调用某个服务操作的权限. 授权过程可以通过一系列授权策略来进行评估,即每个特定的授权策略都按照各自的需求,衡量一下调用方是否具备访问服务操作的权限.在默认情况下, ...

  6. 编写Windows服务疑问1:操作过程

    Windows 服务开发平时不太受人关注,毕竟那是高大上的项目类型,平常需求也用不上,很多老掉牙的家伙也只知有WinForm,仍不知有WPF,更别说Windows 服务了,正如陶渊明所写的,“不知有汉 ...

  7. JavaScript权威设计--JavaScript对象(简要学习笔记八)

    1.属性的特性 一个属性包含一个名字和4个特性.4个特性:值,可写性,可枚举性,可配置性   2.对象的三个属性 一:原型属性 要想检测一个对象是否是另一个对象的原型,使用isPrototypeOf( ...

  8. 新年抢红包效果(New Year Red Packet)

    新年抢红包效果(New Year Red Packet) 晓娜的文章(微信公众号:migufe) 2016即将过去,我们将迎来新的一年2017,这里小编提前祝大家新年快乐!万事如意!那我们新年最开心的 ...

  9. 用python实现最长公共子序列算法(找到所有最长公共子串)

    软件安全的一个小实验,正好复习一下LCS的写法. 实现LCS的算法和算法导论上的方式基本一致,都是先建好两个表,一个存储在(i,j)处当前最长公共子序列长度,另一个存储在(i,j)处的回溯方向. 相对 ...

  10. iis6.0与asp.net的运行原理

    这几天上网翻阅了不少前辈们的关于iis和asp.net运行原理的博客,学的有点零零散散,花了好长时间做了一个小结(虽然文字不多,但也花了不少时间呢),鄙人不才,难免有理解不道的地方,还望前辈们不吝赐教 ...