标签:shiro filter spring security
由于项目的需要,最近开始研究shiro这个框架。shiro是一个安全框架,主要是验证和授权管理,和它类似的有spring security框架,当然,spring security框架更加强大,但是shiro更加灵活(一般小的东西都比较灵活)。
对于shiro,网上的资料可谓是少之又少。基本上算是被开涛大魔王的一个《跟我学shiro》垄断,当然这个教程是很全面,楼主也是跟着这个教程一点点学的(没办法,没有别的资料啊,很多看不懂的地方没地方找啊,shiro官网的英文看不懂啊卧槽)。虽然过程很痛苦,还好最近对这个框架基本上了解了一些,所以现在敢记录记录。
这里就不从头开始介绍什么ini配置了,一般都是集成在spring项目里面的,使用maven进行项目管理,这一章先简单的写点基础配置吧。代码是学习的时候写的,还有待修改的地方,不过学习足够了。
<!-- 配置shiro的核心拦截器 --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
@Component public class UserRealm extends AuthorizingRealm { @Autowired private IUserService userService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { String username= (String) principalCollection.getPrimaryPrincipal(); User user=userService.findByUsername(username); //System.out.println("授权"+user); if (user!=null) { SimpleAuthorizationInfo info=new SimpleAuthorizationInfo(); // System.out.println(userService.findRole(username)); info.addRole(userService.findRole(username)); info.addStringPermission(userService.findPermissions(username)); // System.out.println(info); return info; } else throw new IncorrectCredentialsException(); } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { String username= (String) authenticationToken.getPrincipal(); String password=new String((char[])authenticationToken.getCredentials()); User user=userService.findByUsername(username); System.out.println(user); if(user!=null) { if(password.equals(user.getPassword())){ Session session= SecurityUtils.getSubject().getSession(); session.setAttribute("username",user.getUsername()); return new SimpleAuthenticationInfo(username,password,getName()); } else throw new UnknownAccountException(); } else { throw new UnknownAccountException(); } }
<!--配置shiroFilter--> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <!-- 登录路径--> <property name="loginUrl" value="/jsp/login.jsp"/> <!--登录成功路径--> <property name="successUrl" value="/jsp/loginSuccess.jsp"/> <!--授权失败路径--> <property name="unauthorizedUrl" value="/jsp/unauthorized.jsp"/> <property name="filters"> <util:map> <entry key="authc" value-ref="formAuthenticationFilter"/> <entry key="stateless" value-ref="statelessFilter"/> <!--<entry key="ssl" value-ref="sslFilter"/>--> </util:map> </property> <!--过滤链定义--> <property name="filterChainDefinitions"> <value> /jsp/login.jsp=anon /jsp/loginSuccess.jsp=authc /jsp/logout.jsp=logout /jsp/success.jsp=user /static/**=anon /hello**=stateless </value> </property> </bean>
2)它还得需要一个叫安全管理器的东东:
<!--配置securityManager--> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="userRealm"/> </bean>3)安全管理器需要一个Realm的东东,就是刚才自己写的那个,配置上就可以了:
<!--Realm实现--> <bean id="userRealm" class="com.pps.sps.realm.UserRealm" > </bean>4)shiro的生命周期管理器,人家都加了,我不加也不好看:
<!-- Shiro生命周期处理器--> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
倘若需要使用注解,在springMVC的配置文件中引入这个配置文件,加上注解的配置就可以了:
<!--使用shiro注解--> <import resource="spring-shiro.xml"/> <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"> <property name="proxyTargetClass" value="true"></property> </bean> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"></property> </bean>
标签:shiro filter spring security
原文地址:http://blog.csdn.net/js_sky/article/details/45565493