AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

Spring MVC 中急速集成 Shiro 实践

2017-11-30 1386
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

 相信有很多的程序员,不愿意进行用户管理这块代码实现。

   原因之一,不同的JavaEE 系统,用户管理都会有个性化的实现,逻辑很繁琐。

   而且是系统门面,以后背锅的几率非常大,可谓是低收益高风险。

   最近在系统中集成了 Shiro,感觉这个小家伙还是相当灵活的。

   完善的用户认证和授权,干净的API,让人如沐春分。

   Apache Shiro 作为一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。

   安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的 API。

   Apache Shiro 的首要目标是易于使用和理解。

   以下是你可以用 Apache Shiro 所做的事情:

   a.验证用户来核实他们的身份

   b.对用户执行访问控制,如:

   c.判断用户是否被分配了一个确定的安全角色。

   d.判断用户是否被允许做某事。

   e.在任何环境下使用 Session API,即使没有 Web 或 EJB 容器。

   f.在身份验证,访问控制期间或在会话的生命周期,对事件作出反应。

   g.聚集一个或多个用户安全数据的数据源,并作为一个单一的复合用户“视图”。

   h.启用单点登录(SSO)功能。

   i.并发登录管理(一个账号多人登录作踢人操作)。

   j.为没有关联到登录的用户启用"Remember Me"服务。

   …

   以及更多——全部集成到紧密结合的易于使用的 API 中。

   目前主流安全框架有 SpringSecurity 和 Shiro,相比于 SpringSecurity,Shiro 轻量化,简单容易上手。

   SpringSecurity 太笨重了,难以上手,且只能在 Spring 里用,所以极力推荐Shiro。

   本文重点描述集成过程,能让你迅速的将 Shiro 集成到 JavaEE 项目中,毕竟项目都挺紧张的。

1.前戏

    Shiro 核心jar:

复制代码 
       <!--权限控制 shiro-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>${shiro.version}</version>
        </dependency>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>${shiro.version}</version>
        </dependency>
复制代码

    JavaEE 应用开始的地方,web.xml 配置:

复制代码 
         <filter> 
           <filter-name>shiroFilter</filter-name> 
           <filter-class> 
              org.springframework.web.filter.DelegatingFilterProxy 
           </filter-class> 
         </filter> 
         <filter-mapping> 
           <filter-name>shiroFilter</filter-name> 
           <url-pattern>/*</url-pattern> 
         </filter-mapping>
复制代码

   Spring-Shiro-context 配置应用启动的使用,会帮助你做很多事情:

复制代码 
   <!--Shiro 关键过滤器配置-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/sys/login"/> <!--请求 Url 为 get方式-->
        <property name="successUrl" value="/sys/index"/>
        <property name="filters">
            <map>
                <entry key="authc" value-ref="formAuthenticationFilter"/>
            </map>
        </property>
        <property name="filterChainDefinitions" ref="shiroFilterChainDefinitions"/>
    </bean>

    <!-- Shiro 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="systemAuthorizingRealm"/>
        <property name="cacheManager" ref="shiroCacheManager"/>
    </bean>

    <!--自定义系统认证域-->
    <bean id="systemAuthorizingRealm" class="com.rambo.spm.core.shiro.SysAuthorizingRealm"/>

    <!--shiro ehcache缓存-->
    <bean id="shiroCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManager" ref="cacheManagerFactory"/>
    </bean>

    <!--扩展表单认证过滤器-->
    <bean id="formAuthenticationFilter" class="com.rambo.spm.core.shiro.FormAuthenticationFilter"/>

    <!--权限过滤链定义 -->
    <bean name="shiroFilterChainDefinitions" class="java.lang.String">
        <constructor-arg>
            <value>
                /static/** = anon
                /captcha-image = anon
                /sys/login = authc
                /sys/logout = logout
                /** =user
            </value>
        </constructor-arg>
    </bean>

    <!--借助 SpringAOP 扫描那些使用 Shiro 注解的类-->
    <aop:config proxy-target-class="true"/>

    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

    <!--用于在实现了Initializable/Destroyable接口的 Shiro bean 初始化时回调-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
复制代码

2.个性化

   请求发起的地方一般是前端,不管你是 .jsp/.php/.net.......方式都是类似

复制代码 
<html>
<body>
<h1>login page</h1>
<form id="" action="service/dologin" method="post">
    <label>账号:</label><input name="userName" maxLength="40"/>
    <input title="是否是管理员" type="checkbox" name="isAdmin"><label>是否为管理员</label><br>
    <label>密码:</label><input title="密码" type="password" name="password" /><br>
    <input type="submit" value="登录"/>
</form>
<%--用于输入后台返回的验证错误信息 --%>
<P><c:out value="${message }"/></P>
</body>
</html>
复制代码

   自定义项目验证域(验证域可以有多个,已可以有多种方式)。

复制代码 
public class SysAuthorizingRealm extends AuthorizingRealm {
    private Log log = LogFactory.get();

    @Autowired
    private SysUserService sysUserService;

    @Autowired
    private SysRoleService sysRoleService;

    @Autowired
    private SysMenuService sysMenuService;


    /**
     * 获取当前用户的认证信息
     *
     * @param authcToken 携带用户认证所需的信息
     * @return 认证结果信息
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
        CaptchaUsernamePasswordToken spmToken = (CaptchaUsernamePasswordToken) authcToken;
        log.info("token:{}", ReflectionToStringBuilder.toString(spmToken));

        SysUser sysUser = sysUserService.getSysUserByLoginName(spmToken.getUsername());
        if (sysUser == null) {
            return null;
        }
        byte[] salt = Hex.decode(sysUser.getPasswd().substring(0, 16));
        return new SimpleAuthenticationInfo(new SpmPrincipal(sysUser), sysUser.getPasswd().substring(16), ByteSource.Util.bytes(salt), getName());
    }

    /**
     * 获取当前用户授权信息
     *
     * @param principals 该用户身份集合
     * @return 当前用户授权信息
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SpmPrincipal spmPrincipal = (SpmPrincipal) super.getAvailablePrincipal(principals);
        log.info("授权当前:{}", ReflectionToStringBuilder.toString(spmPrincipal));

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        List<SysRole> sysRoleList = sysUserService.listSysRoleByUserId(spmPrincipal.getId());
        for (SysRole sysRole : sysRoleList) {
            info.addRole(sysRole.getRoleType());

            List<SysMenu> sysMenuList = sysRoleService.listSysMenuByRoleId(sysRole.getUuid());
            for (SysMenu sysMenu : sysMenuList) {
                info.addStringPermission(sysMenu.getPermisson());
            }
        }
        info.addStringPermission("user");
        return info;
    }

    /**
     * 设定密码校验的Hash算法与迭代次数
     */
    @PostConstruct
    public void initCredentialsMatcher() {
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher("SHA-1");
        matcher.setHashIterations(1024);
        setCredentialsMatcher(matcher);
    }
}
复制代码

    请求的后台服务,在这里你可以在进行一点业务逻辑

复制代码 
   /**
     * shiro 登录请求控制,真正的请求由 shiroFilter --> formAuthenticationFilter 进行处理
     * 登录成功: 跳转配置的 succssUrl,不触发该方法;
     * 登录失败: 触发该方法,可以从扩展的 formAuthenticationFilter 中获取具体的错误信息;
     */
    @PostMapping("/sys/login")
    public Object postSysLogin(HttpServletRequest httpRequest, ModelAndView modelAndView) {
        String exceptionName = (String) httpRequest.getAttribute(FormAuthenticationFilter.DEFAULT_ERROR_KEY_ATTRIBUTE_NAME);

        String errorMsg = null;
        if (IncorrectCaptchaException.class.getName().equals(exceptionName)) {
            errorMsg = "验证码错误!";
        } else if (UnknownAccountException.class.getName().equals(exceptionName)) {
            errorMsg = "用户不存在!";
        } else if (IncorrectCredentialsException.class.getName().equals(exceptionName)) {
            errorMsg = "用户或密码错误!";
        } else if (exceptionName != null && StrUtil.startWith(exceptionName, "msg:")) {
            errorMsg = StrUtil.removeAll(exceptionName, "msg:");
        }
        return setModelAndView(modelAndView, "sys/sysLogin", errorMsg);
    }
复制代码

     整个集成工作就结束了,是不是简单的不要不要的。

     等下次项目经理指派你做用户管理的时候,只需要花半天的时间做设计。

     借助Shiro 半天时间实现代码。

     然后将剩下的时间,做做自己喜欢的其他研究工作。

本文转自Orson博客园博客,原文链接:http://www.cnblogs.com/java-class/p/5475373.html,如需转载请自行联系原作者

文章标签:
Apache
Spring
安全
Java
数据安全/隐私保护
前端开发
容器
搜索推荐
程序员
API
关键词:
Spring shiro
Spring实践
Spring集成
Spring MVC
mvc集成
文艺小青年
目录
相关文章
最好zzz
|
19天前
|
数据采集 Java 数据安全/隐私保护
Spring Boot 3.3中的优雅实践:全局数据绑定与预处理
【10月更文挑战第22天】 在Spring Boot应用中,`@ControllerAdvice`是一个强大的工具,它允许我们在单个位置处理多个控制器的跨切面关注点,如全局数据绑定和预处理。这种方式可以大大减少重复代码,提高开发效率。本文将探讨如何在Spring Boot 3.3中使用`@ControllerAdvice`来实现全局数据绑定与预处理。
最好zzz
55 2
最好zzz
|
22天前
|
SQL Java 数据库
Spring Boot与Flyway:数据库版本控制的自动化实践
【10月更文挑战第19天】 在软件开发中,数据库的版本控制是一个至关重要的环节,它确保了数据库结构的一致性和项目的顺利迭代。Spring Boot结合Flyway提供了一种自动化的数据库版本控制解决方案,极大地简化了数据库迁移管理。本文将详细介绍如何使用Spring Boot和Flyway实现数据库版本的自动化控制。
最好zzz
21 2
明弟有理想
|
1月前
|
JSON 前端开发 Java
SSM:SpringMVC
本文介绍了SpringMVC的依赖配置、请求参数处理、注解开发、JSON处理、拦截器、文件上传下载以及相关注意事项。首先,需要在`pom.xml`中添加必要的依赖,包括Servlet、JSTL、Spring Web MVC等。接着,在`web.xml`中配置DispatcherServlet,并设置Spring MVC的相关配置,如组件扫描、默认Servlet处理器等。然后,通过`@RequestMapping`等注解处理请求参数,使用`@ResponseBody`返回JSON数据。此外,还介绍了如何创建和配置拦截器、文件上传下载的功能,并强调了JSP文件的放置位置,避免404错误。
明弟有理想
32 1
刘大猫.
|
13天前
|
JavaScript NoSQL Java
CC-ADMIN后台简介一个基于 Spring Boot 2.1.3 、SpringBootMybatis plus、JWT、Shiro、Redis、Vue quasar 的前后端分离的后台管理系统
CC-ADMIN后台简介一个基于 Spring Boot 2.1.3 、SpringBootMybatis plus、JWT、Shiro、Redis、Vue quasar 的前后端分离的后台管理系统
刘大猫.
28 0
椰椰椰耶
|
1月前
|
前端开发 Java 应用服务中间件
【Spring】Spring MVC的项目准备和连接建立
【Spring】Spring MVC的项目准备和连接建立
椰椰椰耶
53 2
程序员小海绵
|
2月前
|
缓存 前端开发 Java
【Java面试题汇总】Spring,SpringBoot,SpringMVC,Mybatis,JavaWeb篇(2023版)
Soring Boot的起步依赖、启动流程、自动装配、常用的注解、Spring MVC的执行流程、对MVC的理解、RestFull风格、为什么service层要写接口、MyBatis的缓存机制、$和#有什么区别、resultType和resultMap区别、cookie和session的区别是什么?session的工作原理
程序员小海绵
90 4
【Java面试题汇总】Spring,SpringBoot,SpringMVC,Mybatis,JavaWeb篇(2023版)
dream_ready
|
1月前
|
XML 前端开发 Java
Spring,SpringBoot和SpringMVC的关系以及区别 —— 超准确,可当面试题!!!也可供零基础学习
本文阐述了Spring、Spring Boot和Spring MVC的关系与区别,指出Spring是一个轻量级、一站式、模块化的应用程序开发框架,Spring MVC是Spring的一个子框架,专注于Web应用和网络接口开发,而Spring Boot则是对Spring的封装,用于简化Spring应用的开发。
dream_ready
109 0
Spring,SpringBoot和SpringMVC的关系以及区别 —— 超准确,可当面试题!!!也可供零基础学习
杀死一只知更鸟debug
|
2月前
|
XML 缓存 前端开发
springMVC02,restful风格,请求转发和重定向
文章介绍了RESTful风格的基本概念和特点,并展示了如何使用SpringMVC实现RESTful风格的请求处理。同时,文章还讨论了SpringMVC中的请求转发和重定向的实现方式,并通过具体代码示例进行了说明。
杀死一只知更鸟debug
33 0
springMVC02,restful风格,请求转发和重定向
小周sir
|
2月前
|
Java 应用服务中间件 开发者
深入探索并实践Spring Boot框架
深入探索并实践Spring Boot框架
小周sir
43 2
热爱技术的小郑
|
3月前
|
Java 数据库连接 Spring
后端框架入门超详细 三部曲 Spring 、SpringMVC、Mybatis、SSM框架整合案例 【爆肝整理五万字】
文章是关于Spring、SpringMVC、Mybatis三个后端框架的超详细入门教程,包括基础知识讲解、代码案例及SSM框架整合的实战应用,旨在帮助读者全面理解并掌握这些框架的使用。
热爱技术的小郑
94 1
后端框架入门超详细 三部曲 Spring 、SpringMVC、Mybatis、SSM框架整合案例 【爆肝整理五万字】

热门文章

最新文章

  • 1
    丰富、连接、待集成—MaxCompute 生态再出发
  • 2
    java集成opencv(不踩坑),实现人脸检测小demo(含上传人像图片识别接口),windows,IDEA,Springboot
  • 3
    ABP理论学习之EntityFramework集成
  • 4
    快速集成阿里云资源到企业CMDB-配置审计
  • 5
    [技巧]使用Xcode集成的HeaderDoc自动生成注释和开发文档
  • 6
    devops-在jenkins-slave(k8s)中集成Jmeter使用
  • 7
    如何选择数据集成方式-离线&实时
  • 8
    IOS快速集成下拉上拉刷新
  • 9
    开源跨平台IOT通讯框架ServerSuperIO,集成到NuGet程序包管理器,以及Demo使用说明
  • 10
    13.14 SpringBoot集成JSP模板引擎:JSP页面样式乱掉
  • 1
    Spring MVC框架概述
    82
  • 2
    什么是MVC三层结构
    50
  • 3
    19:Web开发模式与MVC设计模式-Java Web
    97
  • 4
    Vue中mvvm/mvc/mvp三者区别
    64
  • 5
    云LIS系统源码JavaScript+B/S架构MVC+SQLSugar医院版检验科云LIS系统源码 可提供演示
    91
  • 6
    JavaScript云LIS系统源码ASP.NET CORE 3.1 MVC + SQLserver + Redis医院实验室信息系统源码 医院云LIS系统源码
    78
  • 7
    Java从入门到精通:2.2.1学习Java Web开发,了解Servlet和JSP技术,掌握MVC设计模式
    75
  • 8
    信息系统架构模型(1) MVC
    80
  • 9
    IAM升级身份与访问管理(MVC)
    108
  • 10
    安卓架构模式:MVC、MVP、MVVM及更多
    285

    • 相关课程

    更多
  • 全面讲解Spring Cloud Alibaba技术栈(知识精讲+项目实战)第一阶段
  • 精通Spring Cloud Alibaba
  • 微服务框架 Spring Cloud 快速入门
  • Java Web开发系列课程 - Spring框架入门
  • Spring Boot 2.5.x开发实战
  • Spring Cloud微服务架构设计与开发实战

    • 相关电子书

    更多
  • 云栖社区特邀专家徐雷Java Spring Boot开发实战系列课程(第20讲):经典面试题与阿里等名企内部招聘求职面试技巧
  • 微服务架构模式与原理Spring Cloud开发实战
  • 阿里特邀专家徐雷Java Spring Boot开发实战系列课程(第18讲):制作Java Docker镜像与推送到DockerHub和阿里云Docker仓库

    • 相关实验场景

    更多
  • Spring-cloud-bus-rocketmq入门与实践
  • Rocketmq-spring入门与实践
  • 从零搭建Spring Boot的Hello World
    • 下一篇
    阿里云OSS设置跨域访问