spring mvc+Mybatis整合shiro 第一章 整體配置

原創 新时代的程序猿 2020-02-24 03:22

前段時間研究了一下shiro,因爲看不懂英文所以學習過程頗爲曲折,後來整合shiro想寫一個sso結果這段時間又寫不下去了只好來寫寫博客了。

最初學shiro是在百度搜教程,說實話那些教程除了開濤寫的其它人寫的確實不怎麼樣,而且開濤的教程也不是特別詳細的那種,所以我在這給大家寫一個整合後的完整教程。

shiro的設計思想我在這就不多說了,實話我說只明白一小半甚至一小半都沒有,要說思想開濤的博客的前幾章講的很好,所以我在這不重複了這裏我只講些實用的東西能讓你快速上手的。

先上個Spring mvc的配置文件,具體都是什麼配置請自行百度這個教程太多了我在這就不講了。

 

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
		xmlns:tx="http://www.springframework.org/schema/tx"
		xmlns:context="http://www.springframework.org/schema/context"
		xsi:schemaLocation="http://www.springframework.org/schema/beans
		http://www.springframework.org/schema/beans/spring-beans-2.5.xsd
		http://www.springframework.org/schema/tx
		http://www.springframework.org/schema/tx/spring-tx-2.5.xsd
		http://www.springframework.org/schema/context"
	default-lazy-init="false">

	<description>Spring公共配置 </description>

	<!-- 定義受環境影響易變的變量 -->
	<bean class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer">
		<property name="systemPropertiesModeName" value="SYSTEM_PROPERTIES_MODE_OVERRIDE" />
		<property name="ignoreResourceNotFound" value="true" />
		<property name="locations">
			<list>
				<!-- 標準配置 -->
				<value>classpath*:/application.properties</value>
				<value>classpath*:/config/shiro.properties</value>
			</list>
		</property>
	</bean>
	
	<!--  激活 @Required @Autowired,JSR 250's @PostConstruct, @PreDestroy and @Resource 等標註 -->
	<context:annotation-config />

	<!-- 使用annotation 自動註冊bean,並保證@Required,@Autowired的屬性被注入 -->
	<context:component-scan base-package="com.sso" >
	 	 <context:exclude-filter type="annotation" expression="org.springframework.stereotype.Controller"/>
	</context:component-scan>

	<!-- 數據源配置,使用應用內的DBCP數據庫連接池 -->
	<bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close">
		<!-- Connection Info -->
		<property name="driverClassName" value="${jdbc.driver}" />
		<property name="url" value="${jdbc.url}" />
		<property name="username" value="${jdbc.username}" />
		<property name="password" value="${jdbc.password}" />

		<!-- Connection Pooling Info -->
		<property name="initialSize" value="${dbcp.initialSize}" />
		<property name="maxActive" value="${dbcp.maxActive}" />
		<property name="maxIdle" value="${dbcp.maxIdle}" />
		<property name="defaultAutoCommit" value="false" />
	</bean>

	<!-- 數據源配置,使用應用服務器的數據庫連接池 -->
	<!--<jee:jndi-lookup id="dataSource" jndi-name="java:comp/env/jdbc/ExampleDB" />-->

	<!-- Mybatis配置 -->
	<bean id="sqlSessionFactory" class="org.mybatis.spring.SqlSessionFactoryBean">
		<property name="dataSource" ref="dataSource" />
		<property name="typeAliasesPackage" value= "com.sso.entity,;" />
	</bean>
	
	<!-- scan for mappers and let them be autowired -->
    <bean class="org.mybatis.spring.mapper.MapperScannerConfigurer">
        <property name="basePackage" value= "com.sso.dao,;" />
    </bean>
    

	<!-- Transaction manager for a single JDBC DataSource -->
    <bean id="transactionManager" class="org.springframework.jdbc.datasource.DataSourceTransactionManager">
        <property name="dataSource" ref="dataSource"/>
    </bean>
    
	<!-- 使用annotation定義事務 -->
	<tx:annotation-driven transaction-manager="transactionManager" proxy-target-class="true" />	
	
	<!-- SpringContext Holder -->
	<bean id="springContextHolder" class="com.sso.sys.SpringContextHolder" lazy-init="false"/>
</beans>

下面這個是重點shiro的spring配置:

 

 

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="
		http://www.springframework.org/schema/beans 
		http://www.springframework.org/schema/beans/spring-beans.xsd"
	default-lazy-init="false">
	<!-- shiroDbRealm -->
	<bean id="shiroDbRealm" class="com.sso.shiro.RealmManager"></bean>
	<!-- 安全管理器 -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="shiroDbRealm" />
		<property name="sessionManager" ref="sessionManager" />
		<!-- 緩存管理器 -->
		<property name="cacheManager" ref="shiroCacheManager" />
	</bean>
	<!-- apache默認的session管理定時器 -->
	<bean name="sessionValidationScheduler " class="org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler">
	</bean>
	<bean id="sessionManager" class="com.sso.shiro.MySessionManager">
		<!-- 超時時間 -->
		<property name="globalSessionTimeout" value="${sessionTimeout}" /><!-- 這是shrio管理session的超時時間 -->
		<property name="sessionDAO" ref="shiroSessionDao" /><!-- 這裏對session的CURD操作 -->
		<property name="sessionIdCookie" ref="sharesession" /><!-- shiro自己的cookie管理器 -->
		<!-- 啓動shiro自己的session檢查定時器 定時檢查失效的session 默認半小時執行一次-->
		<property name="sessionValidationSchedulerEnabled" value="true" />
	</bean>
	<bean id="sharesession" class="org.apache.shiro.web.servlet.SimpleCookie">
		<property name="name" value="${domain}" />
	</bean>
	<bean id="shiroSessionDao" class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO" />
	<!-- 單機session -->
	<bean id="shiroCacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" />
	<!-- 自定義的權限加載機制 -->
	<bean id="chainDefinitionSectionMetaSource" class="com.sso.shiro.DefaultChainDefinitionsFactoryBean" />
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="/gotoLoginView" />
		<property name="successUrl" value="/viewAllContacts.do" />
		<property name="unauthorizedUrl" value="/meiquanxian" />
		<property name="filterChainDefinitionMap" ref="chainDefinitionSectionMetaSource" />
		<property name="filters">
			<map>
				<entry key="perms">
					<bean class="com.sso.shiro.MyPermsAuthorizationFilter"/>
				</entry>
				<entry key="authc">
					<bean class="com.sso.shiro.MyFormAuthenticationFilter"/>
				</entry>
				<entry key="ws">
					<bean class="com.sso.shiro.WebServiceAuthorizationFilter"/>
				</entry>
			</map>
		</property>

	</bean>
	<!-- 起效權限註解,這個很少在web項目中用到,一般是控制url的訪問,不是在controller中聲明權限註解 -->
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
</beans>

從上到下依次給大家講解。

 

1、shiroDbRealm:這是一個自定義的realm,realm的作用我的理解就是用來給用戶登陸和設置權限的。具體講解請看第二章。

2、securityManager:安全管理器,從它的注入屬性來看,他管理着用戶的realm、session、cache,我的理解是可以將他看作是一箇中心,所有的操作都要經過它的調度。

 

3、sessionValidationScheduler:他是shiro自己的一個session管理器,從源碼可以看出它其實就是一個線程,這個東西不需要手動注入,這裏列出來是因爲我覺得默認30分鐘一次的刷新頻率太低了,當初想通過這種方式來改掉他的默認時間,大家從我只寫了一行代碼可以看出結果當然是失敗的。

4、sessionManager:這是對session所有操作的一個管理類。

5、sharsession:用來設置當前會話的cookie設置,屬性包括cookie所的屬性。

6、shiroCacheMnanager:chche管理器,這裏面是一個單機版的管理器,如果是集羣據說要重寫sessionDAO這個組件,具體的沒有研究過,過後再研究一下。

7、chainDefinitionSectionMetaSource:這個是我自己寫資源加載器,大家都知道shiro的標準配置方式是在xml裏面配置資源地址而在xml裏面配置地址會有很多的不便,經過研究最終寫出了通過項目啓動時訪問數據庫來加載地址的方式。具體的實現方式在後面會講到。

8、shiroFilter:這是shiro攔截器的入口位置,用來初始化所有需要的組件及參數。

9、lifecycleBeanPostProcessor:說實話不知道這是幹嘛的,看註釋意思是使用註解來控制權限。

下面是web.xml的一個設置:

 

<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:web="http://xmlns.jcp.org/xml/ns/javaee" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" version="2.4">
  <display-name>member</display-name>
  <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath*:/applicationContext*.xml</param-value>
  </context-param>
  <filter>
    <filter-name>encodingFilter</filter-name>
    <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
    <init-param>
      <param-name>encoding</param-name>
      <param-value>UTF-8</param-value>
    </init-param>
    <init-param>
      <param-name>forceEncoding</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>encodingFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  <listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
  </listener>
  <listener>
    <listener-class>org.springframework.web.util.IntrospectorCleanupListener</listener-class>
  </listener>
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  <servlet>
    <servlet-name>appServlet</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <init-param>
      <param-name>contextConfigLocation</param-name>
      <param-value>classpath*:/springmvc-servlet.xml</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
    <servlet-name>appServlet</servlet-name>
    <url-pattern>/</url-pattern>
  </servlet-mapping>
</web-app>

前半部分是對編碼的一個設置,中間部分是shiro的設置,在這裏要說一下shiro攔截器的加載方法與普通攔截器不一樣具體原理沒明白但有一點filter-name必須要與xml裏面定義的bean id一樣否則會報錯。在shiro的後面就是spring自己的配置了跟正常的一樣沒什麼好說的。

 

在這要說一句,shiro裏面接管了session默認的應該是30分鐘,如果在這裏設置的話應該就不起作用了需要在shiro的配置項裏面去設置globalSessionTimeOut。
 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

記錄一次cnvd事件型證書漏洞挖掘

事件起因是因爲要搞畢設了,在爲這個苦惱,突然負責畢設的老師說得到cnvd下發的證書結合你的漏洞挖掘的過程是可以當成畢設的,當時又學習了一段時間的web滲透方面的知識,於是踏上了廢寢忘食的cnvd證書漏洞挖掘的日子。 前言:聽羣友們說,一般可

原創 2024-05-28 11:16:19

舊的Spring Security OAuth已停止維護,全面擁抱最新解決方案Spring SAS

Spring Authorization Server 替換 Shiro 指引 背景 Spring 團隊正式宣佈 Spring Security OAuth 停止維護,該項目將不會再進行任何的迭代 目前 Spring 生態中的 OA

原創 2024-03-01 13:24:07

JeecgBoot 框架升級Spring Boot 3.1.5步驟

JeecgBoot 框架升級 Spring Boot 3.1.5 步驟 Spring Boot 從 2.7.10升級到3.1.5有以下幾個點需要注意。 JDK版本支持從JDK 17-19版本 javax.servlet切換到jakarta

原創 2023-11-13 13:48:37

敲敲雲與JeecgBoot、明道雲、簡道雲 等低代碼平臺對比,那個更好用?

敲敲雲、JeecgBoot、明道雲和簡道雲都是目前市場上比較受歡迎的產品,它們都提供了一些相似的功能,但也有一些不同之處。下面將對這四款產品進行對比。 功能特點 敲敲雲 敲敲雲是一款雲端APaaS零代碼平臺,幫助企業快速搭建個性化業務應

原創 2023-11-02 01:59:58

shiro登錄過程

工作流程: 瀏覽器將用戶名、密碼、是否記住登錄等信息發送給登錄controller , new UsernamePasswordToken()獲取token,將用戶名、加密後的密碼、rememberMe,set到token中。Securit

原創 2023-02-10 11:53:38

122. springboot整合shiro

1.效果 2.說明 3.代碼 鏈接:https://pan.baidu.com/s/1RXSRglSym12d2WzWS08Eyg  提取碼:m1j6    

原創 2022-04-30 05:34:24

Shiro 使用 Token進行認證

引言 在一些老項目中,可能使用shiro進行權限認證和校驗,而shiro是基於cookie/session的, 在現在前後端分離開發的場景下,前端開發人員需要在本地和後端進行調試,勢必會遇到跨域的問題。 而現在隨着谷歌瀏覽器升級,已經禁止在

原創 2021-12-25 21:40:28

不會吧,你還不會用RequestId看日誌 ?

引言 在日常的後端開發工作中,最常見的操作之一就是看日誌排查問題,對於大項目一般使用類似ELK的技術棧統一搜集日誌,小項目就直接把日誌打印到日誌文件。那不管對於大項目或者小項目,查看日誌都需要通過某個關鍵字進行搜索,從而快速定位到異常日誌的

原創 2021-12-25 21:40:28

springboot整合shiro入門及學習筆記

入門demo index.html <!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="

原創 2021-12-25 21:28:20

OA 系統源碼模塊設計方案

1.模型管理    :web在線流程設計器、預覽流程xml、導出xml、部署流程 2.流程管理    :導入導出流程資源文件、查看流程圖、根據流程實例反射出流程模型、激活掛起 、自由跳轉 3.運行中流程:查看流程信息、當前任務節點、當前流程

原創 2021-12-25 21:14:34

springboot mybatis 後臺框架平臺模塊設計方案

1.模型管理    :web在線流程設計器、預覽流程xml、導出xml、部署流程 2.流程管理    :導入導出流程資源文件、查看流程圖、根據流程實例反射出流程模型、激活掛起 、自由跳轉 3.運行中流程:查看流程信息、當前任務節點、

原創 2021-10-18 21:12:31

java springboot spring cloud 設計方案

------------------------------------------- 系統模塊 1. 權限管理:點開二級菜單進入三級菜單顯示 角色(基礎權限)和按鈕權限 角色(基礎權限): 分角色組和角色,獨立分配菜單權限和增刪改查權限。

原創 2021-10-13 21:12:33

shiro+jwt 認證登錄

本文章主要用於shiro權限做登錄 運用到的技術: 多數據源、Redis、 mybatisplus、swagger、jwt、shiro 具體代碼 :https://gitee.com/git_yl/jwt-shiro-boot (含數據庫表

原創 2021-09-24 21:31:05

apache shiro 反序列化漏洞復現

一,環境搭建 使用docker搭建測試環境 docker pull medicean/vulapps:s_shiro_1 systemclt restart docker docker run -d -p 8081:8080 medicea

原創 2021-09-14 21:18:14

SpringBoot 整合 Shiro 實現登錄攔截

一、搭建一個SpringBoot 項目。 二、導入shiro 相關座標: <dependency> <groupId>org.apache.shiro</groupId>

原創 2021-09-13 21:12:17