我的编程空间,编程开发者的网络收藏夹
学习永远不晚

shiro教程(4)-shiro与项目集成开发

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

shiro教程(4)-shiro与项目集成开发

shiro与项目集成开发

 

1.1 shiro与spring web项目整合

 

shiro与springweb项目整合在“基于url拦截实现的工程”基础上整合,基于url拦截实现的工程的技术架构是springmvc+mybatis,整合注意两点:

1、shiro与spring整合

2、加入shiro对web应用的支持

 

1.1.1 取消原springmvc认证和授权拦截器

去掉springmvc.xml中配置的LoginInterceptor和PermissionInterceptor拦截器。

 

1.1.2 加入shiro的jar包

  shiro教程(4)-shiro与项目集成开发

 

1.1.3 web.xml添加shiro Filter

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <!-- shiro过虑器,DelegatingFilterProx会从spring容器中找shiroFilter -->  

  2.   

  3. <filter>  

  4.   

  5. <filter-name>shiroFilter</filter-name>  

  6.   

  7. <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  

  8.   

  9. <init-param>  

  10.   

  11. <param-name>targetFilterLifecycle</param-name>  

  12.   

  13. <param-value>true</param-value>  

  14.   

  15. </init-param>  

  16.   

  17. </filter>  

  18.   

  19. <filter-mapping>  

  20.   

  21. <filter-name>shiroFilter</filter-name>  

  22.   

  23. <url-pattern>/*</url-pattern>  

  24.   

  25. </filter-mapping>  

  26.   

  27.    



 

1.1.4 applicationContext-shiro.xml 

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <!-- Shiro 的Web过滤器 -->  

  2.   

  3. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  

  4.   

  5. <property name="securityManager" ref="securityManager" />  

  6.   

  7. <!-- 如果没有认证将要跳转的登陆地址,http可访问的url,如果不在表单认证过虑器FormAuthenticationFilter中指定此地址就为身份认证地址 -->  

  8.   

  9. <property name="loginUrl" value="/login.action" />  

  10.   

  11. <!-- 没有权限跳转的地址 -->  

  12.   

  13. <property name="unauthorizedUrl" value="/refuse.jsp" />  

  14.   

  15. <!-- shiro拦截器配置 -->  

  16.   

  17. <property name="filters">  

  18.   

  19. <map>  

  20.   

  21. <entry key="authc" value-ref="formAuthenticationFilter" />  

  22.   

  23. </map>  

  24.   

  25. </property>  

  26.   

  27. <property name="filterChainDefinitions">  

  28.   

  29. <value>  

  30.   

  31. <!-- 必须通过身份认证方可访问,身份认 证的url必须和过虑器中指定的loginUrl一致 -->  

  32.   

  33. /loginsubmit.action = authc  

  34.   

  35. <!-- 退出拦截,请求logout.action执行退出操作 -->  

  36.   

  37. /logout.action = logout  

  38.   

  39. <!-- 无权访问页面 -->  

  40.   

  41. /refuse.jsp = anon  

  42.   

  43. <!-- roles[XX]表示有XX角色才可访问 -->  

  44.   

  45. /item/list.action = roles[item],authc  

  46.   

  47. /js/** anon  

  48.   

  49. /p_w_picpaths/** anon  

  50.   

  51. /styles/** anon  

  52.   

  53. <!-- user表示身份认证通过或通过记住我认证通过的可以访问 -->  

  54.   

  55. /** = user  

  56.   

  57. <!-- /**放在最下边,如果一个url有多个过虑器则多个过虑器中间用逗号分隔,如:/** = user,roles[admin] -->  

  58.   

  59.    

  60.   

  61. </value>  

  62.   

  63. </property>  

  64.   

  65. </bean>  

  66.   

  67.    

  68.   

  69.    

  70.   

  71. <!-- 安全管理器 -->  

  72.   

  73. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  

  74.   

  75. <property name="realm" ref="userRealm" />  

  76.   

  77. </bean>  

  78.   

  79.    

  80.   

  81. <!-- 自定义 realm -->  

  82.   

  83. <bean id="userRealm" class="cn.itcast.ssm.realm.CustomRealm1">  

  84.   

  85. </bean>  

  86.   

  87. <!-- 基于Form表单的身份验证过滤器,不配置将也会注册此过虑器,表单中的用户账号、密码及loginurl将采用默认值,建议配置 -->  

  88.   

  89. <bean id="formAuthenticationFilter"  

  90.   

  91. class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">  

  92.   

  93. <!-- 表单中账号的input名称 -->  

  94.   

  95. <property name="usernameParam" value="usercode" />  

  96.   

  97. <!-- 表单中密码的input名称 -->  

  98.   

  99. <property name="passwordParam" value="password" />  

  100.   

  101. <!-- <property name="rememberMeParam" value="rememberMe"/> -->  

  102.   

  103. <!-- loginurl:用户登陆地址,此地址是可以http访问的url地址 -->  

  104.   

  105. <property name="loginUrl" value="/loginsubmit.action" />  

  106.   

  107. </bean>  



 

securityManager:这个属性是必须的。

loginUrl:没有登录认证的用户请求将跳转到此地址,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。

unauthorizedUrl:没有权限默认跳转的页面。

 

 

1.1.5 使用shiro注解授权

 

在springmvc.xml中配置shiro注解支持,可在controller方法中使用shiro注解配置权限:

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <!-- 开启aop,对类代理 -->  

  2.   

  3. <aop:config proxy-target-class="true"></aop:config>  

  4.   

  5. <!-- 开启shiro注解支持 -->  

  6.   

  7. <bean  

  8.   

  9. class="  

  10.   

  11. org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">  

  12.   

  13. <property name="securityManager" ref="securityManager" />  

  14.   

  15. </bean>  



 

修改Controller代码,在方法上添加授权注解,如下:

 

[java] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. // 查询商品列表  

  2.   

  3. @RequestMapping("/queryItem")  

  4.   

  5. @RequiresPermissions("item:query")  

  6.   

  7. public ModelAndView queryItem() throws Exception {  



 

上边代码@RequiresPermissions("item:query")表示必须拥有“item:query”权限方可执行。

其它的方法参考示例添加注解

 

 

1.1.6 自定义realm

 

此realm先不从数据库查询权限数据,当前需要先将shiro整合完成,在上边章节定义的realm基础上修改。

 

[java] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. public class CustomRealm1 extends AuthorizingRealm {  

  2.   

  3.    

  4.   

  5. @Autowired  

  6.   

  7. private SysService sysService;  

  8.   

  9.    

  10.   

  11. @Override  

  12.   

  13. public String getName() {  

  14.   

  15. return "customRealm";  

  16.   

  17. }  

  18.   

  19.    

  20.   

  21. // 支持什么类型的token  

  22.   

  23. @Override  

  24.   

  25. public boolean supports(AuthenticationToken token) {  

  26.   

  27. return token instanceof UsernamePasswordToken;  

  28.   

  29. }  

  30.   

  31.    

  32.   

  33. // 认证  

  34.   

  35. @Override  

  36.   

  37. protected AuthenticationInfo doGetAuthenticationInfo(  

  38.   

  39. AuthenticationToken token) throws AuthenticationException {  

  40.   

  41.    

  42.   

  43. // 从token中 获取用户身份信息  

  44.   

  45. String username = (String) token.getPrincipal();  

  46.   

  47. // 拿username从数据库中查询  

  48.   

  49. // ....  

  50.   

  51. // 如果查询不到则返回null  

  52.   

  53. if (!username.equals("zhang")) {// 这里模拟查询不到  

  54.   

  55. return null;  

  56.   

  57. }  

  58.   

  59.    

  60.   

  61. // 获取从数据库查询出来的用户密码  

  62.   

  63. String password = "123";// 这里使用静态数据模拟。。  

  64.   

  65. // 根据用户id从数据库取出菜单  

  66.   

  67. //...先用静态数据  

  68.   

  69. List<SysPermission> menus = new ArrayList<SysPermission>();;  

  70.   

  71. SysPermission sysPermission_1 = new SysPermission();  

  72.   

  73. sysPermission_1.setName("商品管理");  

  74.   

  75. sysPermission_1.setUrl("/item/queryItem.action");  

  76.   

  77. SysPermission sysPermission_2 = new SysPermission();  

  78.   

  79. sysPermission_2.setName("用户管理");  

  80.   

  81. sysPermission_2.setUrl("/user/query.action");  

  82.   

  83. menus.add(sysPermission_1);  

  84.   

  85. menus.add(sysPermission_2);  

  86.   

  87. // 构建用户身体份信息  

  88.   

  89. ActiveUser activeUser = new ActiveUser();  

  90.   

  91. activeUser.setUserid(username);  

  92.   

  93. activeUser.setUsername(username);  

  94.   

  95. activeUser.setUsercode(username);  

  96.   

  97. activeUser.setMenus(menus);  

  98.   

  99.    

  100.   

  101. // 返回认证信息由父类AuthenticatingRealm进行认证  

  102.   

  103. SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(  

  104.   

  105. activeUser, password, getName());  

  106.   

  107.    

  108.   

  109. return simpleAuthenticationInfo;  

  110.   

  111. }  

  112.   

  113.    

  114.   

  115. // 授权  

  116.   

  117. @Override  

  118.   

  119. protected AuthorizationInfo doGetAuthorizationInfo(  

  120.   

  121. PrincipalCollection principals) {  

  122.   

  123. // 获取身份信息  

  124.   

  125. ActiveUser activeUser = (ActiveUser) principals.getPrimaryPrincipal();  

  126.   

  127. //用户id  

  128.   

  129. String userid = activeUser.getUserid();  

  130.   

  131. // 根据用户id从数据库中查询权限数据  

  132.   

  133. // ....这里使用静态数据模拟  

  134.   

  135. List<String> permissions = new ArrayList<String>();  

  136.   

  137. permissions.add("item:query");  

  138.   

  139. permissions.add("item:update");  

  140.   

  141.    

  142.   

  143. // 将权限信息封闭为AuthorizationInfo  

  144.   

  145.    

  146.   

  147. SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();  

  148.   

  149. for (String permission : permissions) {  

  150.   

  151. simpleAuthorizationInfo.addStringPermission(permission);  

  152.   

  153. }  

  154.   

  155.    

  156.   

  157. return simpleAuthorizationInfo;  

  158.   

  159. }  

  160.   

  161.    

  162.   

  163. }  

  164.   

  165.    



 

 

1.1.7 登录

[java] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. //用户登陆页面  

  2.   

  3. @RequestMapping("/login")  

  4.   

  5. public String login()throws Exception{  

  6.   

  7. return "login";  

  8.   

  9. }  

  10.   

  11. // 用户登陆提交  

  12.   

  13. @RequestMapping("/loginsubmit")  

  14.   

  15. public String loginsubmit(Model model, HttpServletRequest request)  

  16.   

  17. throws Exception {  

  18.   

  19.    

  20.   

  21. // shiro在认证过程中出现错误后将异常类路径通过request返回  

  22.   

  23. String exceptionClassName = (String) request  

  24.   

  25. .getAttribute("shiroLoginFailure");  

  26.   

  27. if (UnknownAccountException.class.getName().equals(exceptionClassName)) {  

  28.   

  29. throw new CustomException("账号不存在");  

  30.   

  31. } else if (IncorrectCredentialsException.class.getName().equals(  

  32.   

  33. exceptionClassName)) {  

  34.   

  35. throw new CustomException("用户名/密码错误");  

  36.   

  37. } else{  

  38.   

  39. throw new Exception();//最终在异常处理器生成未知错误  

  40.   

  41. }  

  42.   

  43. }  



 

1.1.8 首页

 

由于session由shiro管理,需要修改首页的controller方法:

 

[java] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. //系统首页  

  2.   

  3. @RequestMapping("/first")  

  4.   

  5. public String first(Model model)throws Exception{  

  6.   

  7. //主体  

  8.   

  9. Subject subject = SecurityUtils.getSubject();  

  10.   

  11. //身份  

  12.   

  13. ActiveUser activeUser = (ActiveUser) subject.getPrincipal();  

  14.   

  15. model.addAttribute("activeUser", activeUser);  

  16.   

  17. return "/first";  

  18.   

  19. }  



 

 

1.1.9 退出

 

由于使用shiro的sessionManager,不用开发退出功能,使用shiro的logout拦截器即可。

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <!-- 退出拦截,请求logout.action执行退出操作 -->  

  2.   

  3. /logout.action = logout  



 

 

1.1.10 无权限refuse.jsp

 

当用户无操作权限,shiro将跳转到refuse.jsp页面。

参考:applicationContext-shiro.xml

 

 

 

1.2 realm连接数据库

 

1.2.1 添加凭证匹配器

添加凭证匹配器实现md5加密校验。

修改applicationContext-shiro.xml:

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <!-- 凭证匹配器 -->  

  2.   

  3. <bean id="credentialsMatcher"  

  4.   

  5. class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">  

  6.   

  7. <property name="hashAlgorithmName" value="md5" />  

  8.   

  9. <property name="hashIterations" value="1" />  

  10.   

  11. </bean>  

  12.   

  13.    

  14.   

  15. <!-- 自定义 realm -->  

  16.   

  17. <bean id="userRealm" class="cn.itcast.ssm.realm.CustomRealm1">  

  18.   

  19. <property name="credentialsMatcher" ref="credentialsMatcher" />  

  20.   

  21. </bean>  

  22.   

  23.    



 

1.2.2 realm代码

修改realm代码从数据库中查询用户身份信息和权限信息,将sysService注入realm。

 

 

[java] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. public class CustomRealm1 extends AuthorizingRealm {  

  2.   

  3.    

  4.   

  5. @Autowired  

  6.   

  7. private SysService sysService;  

  8.   

  9.    

  10.   

  11. @Override  

  12.   

  13. public String getName() {  

  14.   

  15. return "customRealm";  

  16.   

  17. }  

  18.   

  19.    

  20.   

  21. // 支持什么类型的token  

  22.   

  23. @Override  

  24.   

  25. public boolean supports(AuthenticationToken token) {  

  26.   

  27. return token instanceof UsernamePasswordToken;  

  28.   

  29. }  

  30.   

  31.    

  32.   

  33. @Override  

  34.   

  35. protected AuthenticationInfo doGetAuthenticationInfo(  

  36.   

  37. AuthenticationToken token) throws AuthenticationException {  

  38.   

  39. // 从token中获取用户身份  

  40.   

  41. String usercode = (String) token.getPrincipal();  

  42.   

  43.    

  44.   

  45. SysUser sysUser = null;  

  46.   

  47. try {  

  48.   

  49. sysUser = sysService.findSysuserByUsercode(usercode);  

  50.   

  51. } catch (Exception e) {  

  52.   

  53. // TODO Auto-generated catch block  

  54.   

  55. e.printStackTrace();  

  56.   

  57. }  

  58.   

  59.    

  60.   

  61. // 如果账号不存在  

  62.   

  63. if (sysUser == null) {  

  64.   

  65. throw new UnknownAccountException("账号找不到");  

  66.   

  67. }  

  68.   

  69.    

  70.   

  71. // 根据用户id取出菜单  

  72.   

  73. List<SysPermission> menus = null;  

  74.   

  75. try {  

  76.   

  77. menus = sysService.findMenuList(sysUser.getId());  

  78.   

  79. } catch (Exception e) {  

  80.   

  81. // TODO Auto-generated catch block  

  82.   

  83. e.printStackTrace();  

  84.   

  85. }  

  86.   

  87. // 用户密码  

  88.   

  89. String password = sysUser.getPassword();  

  90.   

  91. //盐  

  92.   

  93. String salt = sysUser.getSalt();  

  94.   

  95. // 构建用户身体份信息  

  96.   

  97. ActiveUser activeUser = new ActiveUser();  

  98.   

  99. activeUser.setUserid(sysUser.getId());  

  100.   

  101. activeUser.setUsername(sysUser.getUsername());  

  102.   

  103. activeUser.setUsercode(sysUser.getUsercode());  

  104.   

  105. activeUser.setMenus(menus);  

  106.   

  107. SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(  

  108.   

  109. activeUser, password, ByteSource.Util.bytes(salt),getName());  

  110.   

  111. return simpleAuthenticationInfo;  

  112.   

  113. }  

  114.   

  115.    

  116.   

  117. @Override  

  118.   

  119. protected AuthorizationInfo doGetAuthorizationInfo(  

  120.   

  121. PrincipalCollection principals) {  

  122.   

  123. //身份信息  

  124.   

  125. ActiveUser activeUser = (ActiveUser) principals.getPrimaryPrincipal();  

  126.   

  127. //用户id  

  128.   

  129. String userid = activeUser.getUserid();  

  130.   

  131. //获取用户权限  

  132.   

  133. List<SysPermission> permissions = null;  

  134.   

  135. try {  

  136.   

  137. permissions = sysService.findSysPermissionList(userid);  

  138.   

  139. } catch (Exception e) {  

  140.   

  141. // TODO Auto-generated catch block  

  142.   

  143. e.printStackTrace();  

  144.   

  145. }  

  146.   

  147. //构建shiro授权信息  

  148.   

  149. SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();  

  150.   

  151. for(SysPermission sysPermission:permissions){  

  152.   

  153. simpleAuthorizationInfo.addStringPermission(sysPermission.getPercode());  

  154.   

  155. }  

  156.   

  157. return simpleAuthorizationInfo;  

  158.   

  159. }  

  160.   

  161.    

  162.   

  163. }  



 

 

 

 

 

1.3 缓存

shiro每个授权都会通过realm获取权限信息,为了提高访问速度需要添加缓存,第一次从realm中读取权限数据,之后不再读取,这里Shiro和Ehcache整合。

 

1.3.1 添加Ehcache的jar包

 

 

1.3.2 配置

在applicationContext-shiro.xml中配置缓存管理器。

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <!-- 安全管理器 -->  

  2.   

  3. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  

  4.   

  5. <property name="realm" ref="userRealm" />  

  6.   

  7. <property name="sessionManager" ref="sessionManager" />  

  8.   

  9. <property name="cacheManager" ref="cacheManager"/>  

  10.   

  11. </bean>  

  12.   

  13.    

  14.   

  15. <!-- 缓存管理器 -->  

  16.   

  17.     <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">  

  18.   

  19.     </bean>  



 

1.4 session管理

在applicationContext-shiro.xml中配置sessionManager:

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <!-- 安全管理器 -->  

  2.   

  3. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  

  4.   

  5. <property name="realm" ref="userRealm" />  

  6.   

  7. <property name="sessionManager" ref="sessionManager" />  

  8.   

  9. </bean>  

  10.   

  11. <!-- 会话管理器 -->  

  12.   

  13.     <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">  

  14.   

  15.         <!-- session的失效时长,单位毫秒 -->  

  16.   

  17.         <property name="globalSessionTimeout" value="600000"/>  

  18.   

  19.         <!-- 删除失效的session -->  

  20.   

  21.         <property name="deleteInvalidSessions" value="true"/>  

  22.   

  23.     </bean>  



 

 

 

1.5 验证码

 

1.5.1 自定义FormAuthenticationFilter

需要在验证账号和名称之前校验验证码。

 

[java] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. public class MyFormAuthenticationFilter extends FormAuthenticationFilter {  

  2.   

  3. protected boolean onAccessDenied(ServletRequest request,  

  4.   

  5. ServletResponse response, Object mappedValue) throws Exception {  

  6.   

  7.    

  8.   

  9. // 校验验证码  

  10.   

  11. // 从session获取正确的验证码  

  12.   

  13. HttpSession session = ((HttpServletRequest)request).getSession();  

  14.   

  15. //页面输入的验证码  

  16.   

  17. String randomcode = request.getParameter("randomcode");  

  18.   

  19. //从session中取出验证码  

  20.   

  21. String validateCode = (String) session.getAttribute("validateCode");  

  22.   

  23. if (!randomcode.equals(validateCode)) {  

  24.   

  25. // randomCodeError表示验证码错误  

  26.   

  27. request.setAttribute("shiroLoginFailure", "randomCodeError");  

  28.   

  29. //拒绝访问,不再校验账号和密码  

  30.   

  31. return true;  

  32.   

  33. }  

  34.   

  35. return super.onAccessDenied(request, response, mappedValue);  

  36.   

  37. }  

  38.   

  39. }  



 

1.5.2 修改FormAuthenticationFilter配置

修改applicationContext-shiro.xml中对FormAuthenticationFilter的配置。

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <bean id="formAuthenticationFilter"  

  2.   

  3. class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">  

  4.   

  5.    

  6.   

  7. 改为  

  8.   

  9. <bean id="formAuthenticationFilter"  

  10.   

  11. class="cn.itcast.ssm.shiro.MyFormAuthenticationFilter">  

  12.   

  13.    



 

1.5.3 登陆页面

添加验证码:

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <TR>  

  2.   

  3. <TD>验证码:</TD>  

  4.   

  5. <TD><input id="randomcode" name="randomcode" size="8" /> <img  

  6.   

  7. id="randomcode_img" class="lazy" data-src="${baseurl}validatecode.jsp" alt=""  

  8.   

  9. width="56" height="20" align='absMiddle' /> <a  

  10.   

  11. href=javascript:randomcode_refresh()>刷新</a></TD>  

  12.   

  13. </TR>  



 

1.5.4 配置validatecode.jsp匿名访问

 

修改applicationContext-shiro.xml:

 

 

 

1.6 记住我

用户登陆选择“自动登陆”本次登陆成功会向cookie写身份信息,下次登陆从cookie中取出身份信息实现自动登陆。

1.6.1 用户身份实现java.io.Serializable接口

向cookie记录身份信息需要用户身份信息对象实现序列化接口,如下:

  shiro教程(4)-shiro与项目集成开发

 

 

 

 

1.6.2 配置

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <!-- 安全管理器 -->  

  2.   

  3. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  

  4.   

  5. <property name="realm" ref="userRealm" />  

  6.   

  7. <property name="sessionManager" ref="sessionManager" />  

  8.   

  9. <property name="cacheManager" ref="cacheManager"/>  

  10.   

  11. <!-- 记住我 -->  

  12.   

  13. <property name="rememberMeManager" ref="rememberMeManager"/>  

  14.   

  15. </bean>  

  16.   

  17.    

  18.   

  19. <!-- rememberMeManager管理器 -->  

  20.   

  21. <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">  

  22.   

  23. <property name="cookie" ref="rememberMeCookie" />  

  24.   

  25. </bean>  

  26.   

  27. <!-- 记住我cookie -->  

  28.   

  29. <bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">  

  30.   

  31. <constructor-arg value="rememberMe" />  

  32.   

  33. <!-- 记住我cookie生效时间30天 -->  

  34.   

  35. <property name="maxAge" value="2592000" />  

  36.   

  37. </bean>  

  38.   

  39.    


 

修改formAuthenticationFitler添加页面中“记住我checkbox”的input名称:

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <bean id="formAuthenticationFilter"  

  2.   

  3. class="cn.itcast.ssm.shiro.MyFormAuthenticationFilter">  

  4.   

  5. <!-- 表单中账号的input名称 -->  

  6.   

  7. <property name="usernameParam" value="usercode" />  

  8.   

  9. <!-- 表单中密码的input名称 -->  

  10.   

  11. <property name="passwordParam" value="password" />  

  12.   

  13. <property name="rememberMeParam" value="rememberMe"/>  

  14.   

  15. <!-- loginurl:用户登陆地址,此地址是可以http访问的url地址 -->  

  16.   

  17. <property name="loginUrl" value="/loginsubmit.action" />  

  18.   

  19. </bean>  



 

 

1.6.3 登陆页面

在login.jsp中添加“记住我”checkbox。

 

[html] view plain copy print? shiro教程(4)-shiro与项目集成开发  shiro教程(4)-shiro与项目集成开发

  1. <TR>  

  2.   

  3. <TD></TD>  

  4.   

  5. <TD>  

  6.   

  7. <input type="checkbox" name="rememberMe" />自动登陆  

  8.   

  9. </TD>  

  10.   

  11. </TR>  



 

 

附:

2.1 shiro过虑器

过滤器简称

对应的Java类

anon

org.apache.shiro.web.filter.authc.AnonymousFilter

authc

org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic

org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

perms

org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

port

org.apache.shiro.web.filter.authz.PortFilter

rest

org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

roles

org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

ssl

org.apache.shiro.web.filter.authz.SslFilter

user

org.apache.shiro.web.filter.authc.UserFilter

logout

org.apache.shiro.web.filter.authc.LogoutFilter

 

 

anon:例子/admins/**=anon 没有参数,表示可以匿名使用。

authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数

roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。

perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。

rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。

port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString

是你访问的url里的?后面的参数。

authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证

 

ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https

user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查

注:

anon,authcBasic,auchc,user是认证过滤器,

perms,roles,ssl,rest,port是授权过滤器

 

2.2 shiro的jsp标签

 

Jsp页面添加:

<%@ tagliburi="http://shiro.apache.org/tags" prefix="shiro" %>

 

标签名称

标签条件(均是显示标签内容)

<shiro:authenticated>

登录之后

<shiro:notAuthenticated>

不在登录状态时

<shiro:guest>

用户在没有RememberMe时

<shiro:user>

用户在RememberMe时

<shiro:hasAnyRoles name="abc,123" >

在有abc或者123角色时

<shiro:hasRole name="abc">

拥有角色abc

<shiro:lacksRole name="abc">

没有角色abc

<shiro:hasPermission name="abc">

拥有权限资源abc

<shiro:lacksPermission name="abc">

没有abc权限资源

<shiro:principal>

显示用户身份名称

 <shiro:principal property="username"/>     显示用户身份中的属性值


免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

shiro教程(4)-shiro与项目集成开发

下载Word文档到电脑,方便收藏和打印~

下载Word文档

猜你喜欢

房地产开发工程项目管理系统提升效率与降低成本的关键

房地产开发工程项目管理系统是现代化建筑行业管理的重要工具,它能够全面、高效地管理工程项目,提高项目效率,降低成本。本文将详细探讨房地产开发工程项目管理系统的特点、功能及应用。正文:一、房地产开发工程项目管理系统的概述房地产开发工程项目管理系统是一种信息化的管理工具,它能够对房地产开发工程项目进行全面的管理,包括项
房地产开发工程项目管理系统提升效率与降低成本的关键
2023-11-17

编程热搜

目录