shiro+springMVC整合文档及Demo
1.web.xml
<!-- 配置Shiro过滤器,先让Shiro过滤系统接收到的请求 -->
<!-- 这里filter-name必须对应定义的<bean id="shiroFilter"/> -->
<!-- 使用[/*]匹配全部请求,保证全部的可控请求都通过Shiro的过滤 -->
<!-- 一般会将此filter-mapping放置到最前面(即其余filter-mapping前面),以保证它是过滤器链中第一个起做用的 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
<!-- 使用委派Bean的范围,其值必须从org.springframework.context.ApplicationContext.WebApplicationContext中取得,默认值是session;
<init-param>
<param-name>contextAttribute</param-name>
<param-value>session</param-value>
</init-param>
-->
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
2.spring配置文件
<!-- Shiro默认会使用Servlet容器的Session,可经过sessionMode属性来指定使用Shiro原生Session -->
<!-- 即<property name="sessionMode" value="native"/> -->
<!-- 这里主要是设置自定义的单Realm应用,如有多个Realm,可以使用'realms'属性代替 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="myRealm"/>
<property name="cacheManager" ref="shiroEhcacheManager"/><!--指定缓存策略-->
</bean>
<!--Shiro缓存配置-->
<bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile">
<value>classpath:ehcache-shiro.xml</value>
</property>
</bean>
<!-- Shiro主过滤器自己功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行 -->
<!-- Web应用中,Shiro可控制的Web请求必须通过Shiro主过滤器的拦截,Shiro对基于Spring的Web应用提供了完美的支持 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- Shiro的核心安全接口,这个属性是必须的 -->
<property name="securityManager" ref="securityManager"/>
<!-- 要求登陆时的连接,非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 -->
<property name="loginUrl" value="/"/>
<!-- 登陆成功后要跳转的链接 -->
<!-- <property name="successUrl" value="/system/main"/> -->
<!-- 用户访问未对其受权的资源时,所显示的链接 -->
<property name="unauthorizedUrl" value="/"/>
<!--自定义过滤器,对应的过滤器要继承Shiro的Filter-->
<property name="filters">
<util:map>
<entry key="authc" value-ref="authcFilter" />
<entry key="user" value-ref="userFilter" />
<entry key="logout" value-ref="logoutFilter" />
</util:map>
</property>
<!-- Shiro链接约束配置,即过滤链的定义 -->
<!-- 下面value值的第一个'/'表明的路径是相对于HttpServletRequest.getContextPath()的值来的 -->
<!-- anon:它对应的过滤器里面是空的,什么都没作,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 -->
<!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter -->
<property name="filterChainDefinitions">
<value>
/mydemo/login=anon
/mydemo/getVerifyCodeImage=anon
/main**=authc
/user/info**=authc
/admin/listUser**=authc,perms[admin:manage]
</value>
</property>
</bean>
<!-- 保证明现了Shiro内部lifecycle函数的bean执行 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<!-- 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证 -->
<!-- 配置如下两个bean便可实现此功能 -->
<!-- Enable Shiro Annotations for Spring-configured beans. Only run after the lifecycleBeanProcessor has run -->
<!-- 因为本例中并未使用Shiro注解,故注释掉这两个bean(我的以为将权限经过注解的方式硬编码在程序中,查看起来不是很方便,不必使用) -->
<!--
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"/>
</bean>
-->
3. Shiro-1.2.2内置的FilterChain
/**
* =============================================================================================================================
* 1)Shiro验证URL时,URL匹配成功便再也不继续匹配查找(因此要注意配置文件中的URL顺序,尤为在使用通配符时)
* 故filterChainDefinitions的配置顺序为自上而下,以最上面的为准
* 2)当运行一个Web应用程序时,Shiro将会建立一些有用的默认Filter实例,并自动地在[main]项中将它们置为可用
* 自动地可用的默认的Filter实例是被DefaultFilter枚举类定义的,枚举的名称字段就是可供配置的名称
* anon---------------org.apache.shiro.web.filter.authc.AnonymousFilter
* authc--------------org.apache.shiro.web.filter.authc.FormAuthenticationFilter
* authcBasic---------org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
* logout-------------org.apache.shiro.web.filter.authc.LogoutFilter
* noSessionCreation--org.apache.shiro.web.filter.session.NoSessionCreationFilter
* perms--------------org.apache.shiro.web.filter.authz.PermissionAuthorizationFilter
* port---------------org.apache.shiro.web.filter.authz.PortFilter
* rest---------------org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
* roles--------------org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
* ssl----------------org.apache.shiro.web.filter.authz.SslFilter
* user---------------org.apache.shiro.web.filter.authz.UserFilter
* =============================================================================================================================
* 3)一般可将这些过滤器分为两组
* anon,authc,authcBasic,user是第一组认证过滤器
* perms,port,rest,roles,ssl是第二组受权过滤器
* 注意user和authc不一样:当应用开启了rememberMe时,用户下次访问时能够是一个user,但毫不会是authc,由于authc是须要从新认证的
* user表示用户不必定已经过认证,只要曾被Shiro记住过登陆状态的用户就能够正常发起请求,好比rememberMe
* 说白了,之前的一个用户登陆时开启了rememberMe,而后他关闭浏览器,下次再访问时他就是一个user,而不会authc
* =============================================================================================================================
* 4)举几个例子
* /admin=authc,roles[admin] 表示用户必需已经过认证,并拥有admin角色才能够正常发起'/admin'请求
* /edit=authc,perms[admin:edit] 表示用户必需已经过认证,并拥有admin:edit权限才能够正常发起'/edit'请求
* /home=user 表示用户不必定须要已经经过认证,只须要曾经被Shiro记住过登陆状态就能够正常发起'/home'请求
* =============================================================================================================================
* 5)各默认过滤器经常使用以下(注意URL Pattern里用到的是两颗星,这样才能实现任意层次的全匹配)
* /admins/**=anon 无参,表示可匿名使用,能够理解为匿名用户或游客
* /admins/user/**=authc 无参,表示需认证才能使用
* /admins/user/**=authcBasic 无参,表示httpBasic认证
* /admins/user/**=user 无参,表示必须存在用户,当登入操做时不作检查
* /admins/user/**=ssl 无参,表示安全的URL请求,协议为https
* /admins/user/**=perms[user:add:*]
* 参数可写多个,多参时必须加上引号,且参数之间用逗号分割,如/admins/user/**=perms["user:add:*,user:modify:*"]
* 当有多个参数时必须每一个参数都经过才算经过,至关于isPermitedAll()方法
* /admins/user/**=port[8081]
* 当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString
* 其中schmal是协议http或https等,serverName是你访问的Host,8081是Port端口,queryString是你访问的URL里的?后面的参数
* /admins/user/**=rest[user]
* 根据请求的方法,至关于/admins/user/**=perms[user:method],其中method为post,get,delete等
* /admins/user/**=roles[admin]
* 参数可写多个,多个时必须加上引号,且参数之间用逗号分割,如/admins/user/**=roles["admin,guest"]
* 当有多个参数时必须每一个参数都经过才算经过,至关于hasAllRoles()方法
* =============================================================================================================================
*/
4. shiro 密码加密和解密
对于登陆的密码信息加密,增长密码破解难度。在密码使用Shiro的hash加密方法和自定义方法加密算法。
步骤
1.告诉shiro密码使用何种加密方法
2.告诉shiro如何验证加密密码是否正确
4.1.告诉shiro密码使用何种加密方法
经过Credentials 和 CredentialsMatcher告诉shiro什么加密和密码校验
在配置文件上使用如何使用它们俩告诉shiro如何加密和校验
INI 文件的main 增长以下,能够参考shiro 使用 InI 验证
myRealm = com.demo.MyRealm
customMatcher = com.demo.CustomCredentialsMatcher
myRealm.credentialsMatcher = $customMatcher
与spring集成告诉shiro
<bean id="authorizingRealm" class="com.jeecms.core.security.CmsAuthorizingRealm">
<!--验证方式-->
<property name="credentialsMatcher">
<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<property name="hashAlgorithmName" value="MD5"/>
<!-- true means hex encoded, false means base64 encoded -->
<property name="storedCredentialsHexEncoded" value="true"/>
<!-- 迭代次数 -->
<property name="hashIterations" value="1" />
</bean>
</property>
</bean>
4.2.告诉shiro如何验证加密密码是否正确
告诉shiro如何验证加密密码,经过SimpleCredentialsMatcher或HashedCredentialsMatcher
SimpleCredentialsMatcher(简单证实匹配): SimpleCredentialsMatcher对存储的用户凭证和从AuthenticationToken提交的用户凭证直接执行相等的检查。
HashedCredentialsMatcher:取代将凭证按它们原始形式存储并执行原始数据的对比,存储终端用户的凭证(如密码)更安全的办法是在存储数据以前,先进行hash运算。
自定义的密码校验方法须要继承SimpleCredentialsMatcher或HashedCredentialsMatcher类,实现doCredentialsMatch方法
Demo 中包含用户-角色-权限管理,XSS安全过滤,基于注解的日志管理,文件上传处理,特殊字符过滤,敏感词过滤等等。360云盘地址:https://yunpan.cn/cuVTkA3Wpsh5Q 访问密码 6387
web
- 1. jquery easyui 文档及demo
- 2. SpringCloud整合Demo
- 3. springboot 整合 Swagger2 文档 api
- 4. springboot整合swagger2文档
- 5. Spring Boot:整合Swagger文档
- 6. springboot整合dubbo demo
- 7. Springboot activiti 整合Demo
- 8. Spring+ActiveMQ整合Demo
- 9. SparkStreaming 整合kafka Demo
- 10. 【DEMO】SpringBoot整合NSQ
- 更多相关文章...
- • WSDL 文档 - WSDL 教程
- • XSL-FO 文档 - XSL-FO 教程
- • Flink 数据传输及反压详解
- • Scala 中文乱码解决
-
每一个你不满意的现在,都有一个你没有努力的曾经。