一步一步教你用shiro——1引入shiro框架

shiro这个权限框架确实很实用很方便,网上关于它的分析也很多,但是有很多资料都太老了。尚硅谷的视频教程中关于session管理的部分有错误。《一头扎进shiro》是老版本shiro而且太浅了(硬是说session用web容器的就够了,没必要改,敢情你家应用都是单实例的?),慕课网的视频最全面,但是不够细。有很多问题只能自己看源码,做尝试解决。

所以将shiro的一些经验记录下来,希望能帮助到读到本文的你,本文环境shiro1.3.2、spring4.3.5没有使用boot、jdk8、tomcat8.5、mysql5.6、redis3.2.11

目标:通过shiro实现对后端接口进行权限控制,所有静态资源都不需要权限验证,使用redis实现session共享,避免session单点问题

  • shiro1.4.0在17年5月份就有了,但是现在shiro官网上还是说1.3.2是最后的稳定版,为了保险,还是用这个老版本
  • shiro不推荐使用shiro-all这个总包,可能会造成maven工作不正常,一般常用的是core、spring、web这三个包
        <!--工程中单独引入了slf4j,不去除的话jar包冲突-->
        <!--可以使用该命令查看jar包是否有冲突,mvn dependency:tree -Dverbose|grep conflict-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.3.2</version>
            <exclusions>
                <exclusion>
                    <groupId>org.slf4j</groupId>
                    <artifactId>slf4j-api</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.3.2</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.3.2</version>
        </dependency>
  • web.xml中增加spring的代理filter,实际filter是shiro的ShiroFilterFactoryBean(后面说ShiroFilterFactoryBean的具体配置),targetFilterLifecycle为true代表由spring控制该filter的生命周期。
  • 一般这段配置不需要改,只需要改url-pattern。shiro源码中的sample配的是/*,因为我只想控制用户访问后端接口的权限,静态资源可以随便访问,所以后端接口都用的api开头,让shiro过滤器只对api开头的请求生效(这样还可以避免频繁访问session,造成redis压力过大的问题,具体后面说)
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/api/*</url-pattern>
    </filter-mapping>
  • 在spring的配置文件中配置ShiroFilterFactoryBean,注意id一定要和web.xml中 的filter-name一致,否则proxyFilter找不到实际filter。
  • shiro的内置过滤器可以百度每个的含义和配制方法,这里需要说下authc。使用authc的接口是一定要输入用户名密码登陆后才能访问,哪怕通过shiro的rememberMe自动登录的用户也需要重新输入用户名密码重新登录后才能访问。
  • 就像我们平时访问淘宝,一进网站就自动登录了,但是第一次做敏感操作的时候还是要输入用户名密码登陆进行一次认证,然后再做敏感操作都不需要输入用户名密码了。
    <!--配置全局权限过滤器-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!--shiro最核心组件,具体后面说-->
        <property name="securityManager" ref="securityManager"/>
        <!--设置没有登录时的跳转地址-->
        <property name="loginUrl" value="/static/html/login.html"/>
        <!--设置权限不足时的跳转地址-->
        <property name="unauthorizedUrl" value="/static/html/noPerm.html"/>
        <!--对哪个后端接口使用哪个过滤器进行配置,等号后边是shiro内置过滤器的名字-->
        <property name="filterChainDefinitions">
            <value>
                <!--匿名访问,/api/login是登陆接口,当然可以随便访问-->
                /api/login = anon
                /api/test? = authc
                <!--本工程中上传文件的接口,只允许有common角色的用户访问-->
                /api/file = roles[common]
                <!--用户退出登录的接口,后端不需要实现该接口,logout拦截到/api/logout的url后,就自动清除登录状态回到首页了-->
                <!--因为在web.xml中设置的url-parttern是/api/*,随意只有api开头的url才会被拦截-->
                /api/logout = logout
                <!--使用自定义拦截器的接口-->
                <!--/api/selfFilter = myFilter-->
                <!--其他所有接口都需要认证,也就是需要之前输入过账号密码登录过-->
                /** = authc
            </value>
        </property>
        <!--加入自定义filter,在filterChainDefinitions可以通过key来引用-->
        <!--<property name="filters">-->
            <!--<map>-->
                <!--<entry key="myFilter">-->
                    <!--<bean class="MyFilter"/>-->
                <!--</entry>-->
            <!--</map>-->
        <!--</property>-->
    </bean>
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,348评论 6 491
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,122评论 2 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 156,936评论 0 347
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,427评论 1 283
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,467评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,785评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,931评论 3 406
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,696评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,141评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,483评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,625评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,291评论 4 329
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,892评论 3 312
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,741评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,977评论 1 265
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,324评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,492评论 2 348

推荐阅读更多精彩内容