shiro+springMVC整合文檔及Demo
1.web.xml
<!-- 配置Shiro過濾器,先讓Shiro過濾系統接收到的請求 -->
<!-- 這裏filter-name必須對應定義的<bean id="shiroFilter"/> -->
<!-- 使用[/*]匹配全部請求,保證全部的可控請求都通過Shiro的過濾 -->
<!-- 一般會將此filter-mapping放置到最前面(即其餘filter-mapping前面),以保證它是過濾器鏈中第一個起做用的 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<!-- 該值缺省爲false,表示生命週期由SpringApplicationContext管理,設置爲true則表示由ServletContainer管理 -->
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
<!-- 使用委派Bean的範圍,其值必須從org.springframework.context.ApplicationContext.WebApplicationContext中取得,默認值是session;
<init-param>
<param-name>contextAttribute</param-name>
<param-value>session</param-value>
</init-param>
-->
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
2.spring配置文件
<!-- Shiro默認會使用Servlet容器的Session,可經過sessionMode屬性來指定使用Shiro原生Session -->
<!-- 即<property name="sessionMode" value="native"/> -->
<!-- 這裏主要是設置自定義的單Realm應用,如有多個Realm,可以使用'realms'屬性代替 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="myRealm"/>
<property name="cacheManager" ref="shiroEhcacheManager"/><!--指定緩存策略-->
</bean>
<!--Shiro緩存配置-->
<bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile">
<value>classpath:ehcache-shiro.xml</value>
</property>
</bean>
<!-- Shiro主過濾器自己功能十分強大,其強大之處就在於它支持任何基於URL路徑表達式的、自定義的過濾器的執行 -->
<!-- Web應用中,Shiro可控制的Web請求必須通過Shiro主過濾器的攔截,Shiro對基於Spring的Web應用提供了完美的支持 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- Shiro的核心安全接口,這個屬性是必須的 -->
<property name="securityManager" ref="securityManager"/>
<!-- 要求登陸時的連接,非必須的屬性,默認會自動尋找Web工程根目錄下的"/login.jsp"頁面 -->
<property name="loginUrl" value="/"/>
<!-- 登陸成功後要跳轉的鏈接 -->
<!-- <property name="successUrl" value="/system/main"/> -->
<!-- 用戶訪問未對其受權的資源時,所顯示的鏈接 -->
<property name="unauthorizedUrl" value="/"/>
<!--自定義過濾器,對應的過濾器要繼承Shiro的Filter-->
<property name="filters">
<util:map>
<entry key="authc" value-ref="authcFilter" />
<entry key="user" value-ref="userFilter" />
<entry key="logout" value-ref="logoutFilter" />
</util:map>
</property>
<!-- Shiro鏈接約束配置,即過濾鏈的定義 -->
<!-- 下面value值的第一個'/'表明的路徑是相對於HttpServletRequest.getContextPath()的值來的 -->
<!-- anon:它對應的過濾器裏面是空的,什麼都沒作,這裏.do和.jsp後面的*表示參數,比方說login.jsp?main這種 -->
<!-- authc:該過濾器下的頁面必須驗證後才能訪問,它是Shiro內置的一個攔截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter -->
<property name="filterChainDefinitions">
<value>
/mydemo/login=anon
/mydemo/getVerifyCodeImage=anon
/main**=authc
/user/info**=authc
/admin/listUser**=authc,perms[admin:manage]
</value>
</property>
</bean>
<!-- 保證明現了Shiro內部lifecycle函數的bean執行 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<!-- 開啓Shiro的註解(如@RequiresRoles,@RequiresPermissions),需藉助SpringAOP掃描使用Shiro註解的類,並在必要時進行安全邏輯驗證 -->
<!-- 配置如下兩個bean便可實現此功能 -->
<!-- Enable Shiro Annotations for Spring-configured beans. Only run after the lifecycleBeanProcessor has run -->
<!-- 因爲本例中並未使用Shiro註解,故註釋掉這兩個bean(我的以爲將權限經過註解的方式硬編碼在程序中,查看起來不是很方便,不必使用) -->
<!--
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"/>
</bean>
-->
3. Shiro-1.2.2內置的FilterChain
/**
* =============================================================================================================================
* 1)Shiro驗證URL時,URL匹配成功便再也不繼續匹配查找(因此要注意配置文件中的URL順序,尤爲在使用通配符時)
* 故filterChainDefinitions的配置順序爲自上而下,以最上面的爲準
* 2)當運行一個Web應用程序時,Shiro將會建立一些有用的默認Filter實例,並自動地在[main]項中將它們置爲可用
* 自動地可用的默認的Filter實例是被DefaultFilter枚舉類定義的,枚舉的名稱字段就是可供配置的名稱
* anon---------------org.apache.shiro.web.filter.authc.AnonymousFilter
* authc--------------org.apache.shiro.web.filter.authc.FormAuthenticationFilter
* authcBasic---------org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
* logout-------------org.apache.shiro.web.filter.authc.LogoutFilter
* noSessionCreation--org.apache.shiro.web.filter.session.NoSessionCreationFilter
* perms--------------org.apache.shiro.web.filter.authz.PermissionAuthorizationFilter
* port---------------org.apache.shiro.web.filter.authz.PortFilter
* rest---------------org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
* roles--------------org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
* ssl----------------org.apache.shiro.web.filter.authz.SslFilter
* user---------------org.apache.shiro.web.filter.authz.UserFilter
* =============================================================================================================================
* 3)一般可將這些過濾器分爲兩組
* anon,authc,authcBasic,user是第一組認證過濾器
* perms,port,rest,roles,ssl是第二組受權過濾器
* 注意user和authc不一樣:當應用開啓了rememberMe時,用戶下次訪問時能夠是一個user,但毫不會是authc,由於authc是須要從新認證的
* user表示用戶不必定已經過認證,只要曾被Shiro記住過登陸狀態的用戶就能夠正常發起請求,好比rememberMe
* 說白了,之前的一個用戶登陸時開啓了rememberMe,而後他關閉瀏覽器,下次再訪問時他就是一個user,而不會authc
* =============================================================================================================================
* 4)舉幾個例子
* /admin=authc,roles[admin] 表示用戶必需已經過認證,並擁有admin角色才能夠正常發起'/admin'請求
* /edit=authc,perms[admin:edit] 表示用戶必需已經過認證,並擁有admin:edit權限才能夠正常發起'/edit'請求
* /home=user 表示用戶不必定須要已經經過認證,只須要曾經被Shiro記住過登陸狀態就能夠正常發起'/home'請求
* =============================================================================================================================
* 5)各默認過濾器經常使用以下(注意URL Pattern裏用到的是兩顆星,這樣才能實現任意層次的全匹配)
* /admins/**=anon 無參,表示可匿名使用,能夠理解爲匿名用戶或遊客
* /admins/user/**=authc 無參,表示需認證才能使用
* /admins/user/**=authcBasic 無參,表示httpBasic認證
* /admins/user/**=user 無參,表示必須存在用戶,當登入操做時不作檢查
* /admins/user/**=ssl 無參,表示安全的URL請求,協議爲https
* /admins/user/**=perms[user:add:*]
* 參數可寫多個,多參時必須加上引號,且參數之間用逗號分割,如/admins/user/**=perms["user:add:*,user:modify:*"]
* 當有多個參數時必須每一個參數都經過纔算經過,至關於isPermitedAll()方法
* /admins/user/**=port[8081]
* 當請求的URL端口不是8081時,跳轉到schemal://serverName:8081?queryString
* 其中schmal是協議http或https等,serverName是你訪問的Host,8081是Port端口,queryString是你訪問的URL裏的?後面的參數
* /admins/user/**=rest[user]
* 根據請求的方法,至關於/admins/user/**=perms[user:method],其中method爲post,get,delete等
* /admins/user/**=roles[admin]
* 參數可寫多個,多個時必須加上引號,且參數之間用逗號分割,如/admins/user/**=roles["admin,guest"]
* 當有多個參數時必須每一個參數都經過纔算經過,至關於hasAllRoles()方法
* =============================================================================================================================
*/
4. shiro 密碼加密和解密
對於登陸的密碼信息加密,增長密碼破解難度。在密碼使用Shiro的hash加密方法和自定義方法加密算法。
步驟
1.告訴shiro密碼使用何種加密方法
2.告訴shiro如何驗證加密密碼是否正確
4.1.告訴shiro密碼使用何種加密方法
經過Credentials 和 CredentialsMatcher告訴shiro什麼加密和密碼校驗
在配置文件上使用如何使用它們倆告訴shiro如何加密和校驗
INI 文件的main 增長以下,能夠參考shiro 使用 InI 驗證
myRealm = com.demo.MyRealm
customMatcher = com.demo.CustomCredentialsMatcher
myRealm.credentialsMatcher = $customMatcher
與spring集成告訴shiro
<bean id="authorizingRealm" class="com.jeecms.core.security.CmsAuthorizingRealm">
<!--驗證方式-->
<property name="credentialsMatcher">
<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<property name="hashAlgorithmName" value="MD5"/>
<!-- true means hex encoded, false means base64 encoded -->
<property name="storedCredentialsHexEncoded" value="true"/>
<!-- 迭代次數 -->
<property name="hashIterations" value="1" />
</bean>
</property>
</bean>
4.2.告訴shiro如何驗證加密密碼是否正確
告訴shiro如何驗證加密密碼,經過SimpleCredentialsMatcher或HashedCredentialsMatcher
SimpleCredentialsMatcher(簡單證實匹配): SimpleCredentialsMatcher對存儲的用戶憑證和從AuthenticationToken提交的用戶憑證直接執行相等的檢查。
HashedCredentialsMatcher:取代將憑證按它們原始形式存儲並執行原始數據的對比,存儲終端用戶的憑證(如密碼)更安全的辦法是在存儲數據以前,先進行hash運算。
自定義的密碼校驗方法須要繼承SimpleCredentialsMatcher或HashedCredentialsMatcher類,實現doCredentialsMatch方法
Demo 中包含用戶-角色-權限管理,XSS安全過濾,基於註解的日誌管理,文件上傳處理,特殊字符過濾,敏感詞過濾等等。360雲盤地址:https://yunpan.cn/cuVTkA3Wpsh5Q 訪問密碼 6387
web
- 1. jquery easyui 文檔及demo
- 2. SpringCloud整合Demo
- 3. springboot 整合 Swagger2 文檔 api
- 4. springboot整合swagger2文檔
- 5. Spring Boot:整合Swagger文檔
- 6. springboot整合dubbo demo
- 7. Springboot activiti 整合Demo
- 8. Spring+ActiveMQ整合Demo
- 9. SparkStreaming 整合kafka Demo
- 10. 【DEMO】SpringBoot整合NSQ
- 更多相關文章...
- • WSDL 文檔 - WSDL 教程
- • XSL-FO 文檔 - XSL-FO 教程
- • Flink 數據傳輸及反壓詳解
- • Scala 中文亂碼解決
-
每一个你不满意的现在,都有一个你没有努力的曾经。