spring 통합 shiro 프레임 워 크 의 실현 절차 기록
Shiro 는 Apache 의 다음 오픈 소스 프로젝트 로 Apache Shiro 라 고 부 릅 니 다.이것 은 자바 프로젝트 와 쉽게 사용 할 수 있 는 안전 프레임 워 크 로 인증,권한 수여,암호 화,세 션 관 리 를 제공 합 니 다.spring Security 와 마찬가지 로 권한 을 가 진 안전 프레임 워 크 이지 만 Spring Security 에 비해 Shiro 는 비교적 간단 하고 알 기 쉬 운 권한 수여 방식 을 사 용 했 습 니 다.shiro 는 경량급 프레임 워 크 로 security 보다 간단 하고 security 만큼 복잡 하지 않 습 니 다.더 자세 한 소 개 는 홈 페이지http://shiro.apache.org/에서 알 수 있 듯 이 그녀 는 주로 다음 과 같은 기능 을 제공한다.
(1)인증(인증)
(2)인증(권한 부여)
(3)세 션 관리(세 션 관리)
(4)암호 화(암호 화)
우선 인증 서 비 스 는 그녀 를 통 해 신분 인증 을 완성 하고 사용자 가 실제 회원 인지 아 닌 지 를 판단 할 수 있 도록 하 는 것 이다.
그 다음으로 권한 수여 서 비 스 는'방문 통제'서비스,즉 그녀 로 하여 금 사용자 가 어떤 권한 을 가지 고 있 는 지 식별 하 게 하 는 것 이다.다시 한 번 말하자면 사용자 가 어떤 역할 을 하 는 지 판단 함으로써 그 에 게 어떤 조작 권한 을 부여 하 는 것 이다.
그리고 세 션 관리 서비스 도 있 습 니 다.이때 독립 된 Session 관리 프레임 워 크 는 우리 가 잘 아 는 Http Session 과 다 릅 니 다.
마지막 으로 Cryptography(암호 화)서 비 스 를 제공 하여 많은 암호학 적 알고리즘 을 봉인 했다.
오늘 저 는 다 말 하지 않 겠 습 니 다.그녀의 회화 관리 기능 에 중심 을 두 었 습 니 다.사실은 이것 도 거의 모든 웹 이 관련 될 것 입 니 다.
shiro 의 세 션 관리 서 비 스 를 말 하기 전에 이전의 세 션 관리 가 우리 가 어떻게 했 는 지 되 돌아 보 세 요.
1.처음에 저 희 는 웹 서버 의 Http Session 을 직접 사 용 했 습 니 다.즉,사용자 가 처음 들 어 오 면 웹 용 기 는 이 요청 에 session 을 만 든 다음 에 이 session 을 저장 하고 해당 하 는 session Id 를 쿠키 로 클 라 이언 트 에 전달 합 니 다.
클 라 이언 트 가 이 서버 에 다시 요청 을 보 내 면 자동 으로 이 sessionId 를 가 져 옵 니 다.그리고 웹 서버 는 클 라 이언 트 가 가 져 온 sessionId 에 따라 메모리 에 있 는 지 여 부 를 판단 합 니 다.(session 은 만 료 시간 이 있 으 므 로 웹.xml 파일 에서 설정 할 수 있 습 니 다)대응 하 는 session 을 찾 지 못 하면session 실효 시간 이 지 났 음 을 설명 합 니 다.이 때 웹 서버 는 다시 session 을 만 들 고 이전 과 마찬가지 로 이 새로운 session Id 를 클 라 이언 트 에 게 전달 합 니 다.
따라서 저 희 는 이러한 체 제 를 통 해 프로그램 에서 사용자 의 로그 인 세 션 을 관리 할 수 있 습 니 다.예 를 들 어 저 희 는 사용자 가 첫 번 째 로그 인 에 성공 한 후에 사용자 의 기본 정 보 를 session 에 저장 할 수 있 습 니 다(예 를 들 어
session.setAttribute("user", "userInfo")
.다음 사용자 가 다시 방문 할 때 저 희 는 현재 session 의 user 정 보 를 얻 을 수 있 습 니 다.session.getAttribute("user")
사용자 가 만 료 되 었 는 지 판단 하고 얻 지 못 하면 다시 로그 인 하 라 고 알려 줍 니 다.2.두 번 째 방식 은 바로 우리 가 정 보 를 저장 하 는 곳 을 제3자 미디어 로 옮 기 는 것 이다.예 를 들 어 캐 시,memecache 또는 Redis 가 모두 가능 하 다.이런 방식 은 주로 분포 식 시스템 의 등장 으로 인해 사용 된다.
이 경우 우리 스스로 sessionId 를 만들어 야 합 니 다.일반적으로 우 리 는 정 의 된 접두사
user:login:token
에 userid 를 추가 하거나 시간 스탬프 를 추가 해도 됩 니 다.그리고 저 희 는 이 sessionId 를 캐 시 키 로 하고 사용자 의 정 보 를 value 로 하여 캐 시 에 저장 하 며 실효 시간 을 설정 합 니 다.
jedisClient.set(tokenKey, JsonUtil.toJSONString(userInfo));
jedisClient.expire(tokenKey, TOKEN_LOSE_SECONDS);
저 희 는 생 성 된 이 tokenkey 를 쿠키 를 통 해 클 라 이언 트 에 전달 해 야 합 니 다.CookieUtils.setCookie(request, response, "TT_TOKEN", tokenKey);
이렇게 하면 저 희 는 사용자 가 다음 에 방문 할 때(차단기 정의)쿠키 에서 해당 하 는 tokenKey 를 꺼 낸 다음 에 이 tokenKey 로 캐 시 에 해당 하 는 값 을 가 져 올 수 있 습 니 다.가 져 오지 못 하면 이 key 가 효력 을 잃 었 음 을 나타 내 고 사용자 에 게 다시 등록 하 라 고 알려 줍 니 다.주:tokenKey 는 매우 중요 합 니 다.캐 시 와 클 라 이언 트 를 연결 하 는 관건 입 니 다.
3.마지막 하 나 는 바로 우리 shiro 방식 입 니 다.생각 도 비슷 하고 코드 도 간단 합 니 다.그럼 제 가 바로 코드 를 올 리 겠 습 니 다.
1)、applicationContext-shiro.xml 파일 을 새로 만 듭 니 다.
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:context="http://www.springframework.org/schema/context" xmlns:p="http://www.springframework.org/schema/p"
xmlns:aop="http://www.springframework.org/schema/aop" xmlns:tx="http://www.springframework.org/schema/tx"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-4.0.xsd
http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-4.0.xsd
http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-4.0.xsd http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-4.0.xsd
http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-4.0.xsd">
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"></property>
<property name="loginUrl" value="/loginPage"></property>
<property name="unauthorizedUrl" value="/pages/unauthorized.jsp"/>
<property name="filterChainDefinitions">
<value>
/jcaptcha* = anon
/logout = anon
</value>
</property>
</bean>
<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
<property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"></property>
<property name="arguments" ref="securityManager"></property>
</bean>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="cacheManager" ref="cacheManager"></property>
<property name="sessionManager" ref="sessionManager"></property>
</bean>
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
<property name="sessionDAO" ref="sessionDAO"></property>
</bean>
<bean id="sessionDAO" class="com.smart.core.shiro.MySessionDAO"></bean> //
<bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"></bean>
</beans>
2),웹.xml 에 해당 하 는 filter 를 설정 합 니 다:
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
3)실현 클래스 를 작성 하여 AbstractSessionDAO 를 계승 하여 해당 하 는 방법 을 실현 한다.
package com.jdd.core.shiro;
import com.smart.core.redis.RedisManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.UnknownSessionException;
import org.apache.shiro.session.mgt.eis.AbstractSessionDAO;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.SerializationUtils;
import java.io.*;
import java.util.ArrayList;
import java.util.Collection;
public class MySessionDAO extends AbstractSessionDAO {
@Autowired
private RedisManager redisManager;
@Override
public void update(Session session) throws UnknownSessionException {
redisManager.set(SerializationUtils.serialize(session.getId().toString()), SerializationUtils.serialize(session));
redisManager.expire(SerializationUtils.serialize(session.getId().toString()), 60);
}
@Override
public void delete(Session session) {
redisManager.del(SerializationUtils.serialize(session.getId().toString()));
}
@Override
public Collection<Session> getActiveSessions() {
return new ArrayList<Session>();
}
@Override
protected Serializable doCreate(Session session) { // , sessionId
Serializable sid = this.generateSessionId(session);
assignSessionId(session, sid);
redisManager.set(SerializationUtils.serialize(session.getId().toString()), SerializationUtils.serialize(session));
redisManager.expire(SerializationUtils.serialize(session.getId().toString()), 60);
return sid;
}
@Override
protected Session doReadSession(Serializable serializable) { // sessionId session, ,
byte[] aa = redisManager.get(SerializationUtils.serialize(serializable.toString()));
Session session = (Session) SerializationUtils.deserialize(aa);
redisManager.set(SerializationUtils.serialize(serializable.toString()), SerializationUtils.serialize(session));
redisManager.expire(SerializationUtils.serialize(serializable.toString()), 60);
return session;
}
}
4)다음 단 계 는 로그 인 에 성공 한 후의 논리 에서 shiro 의 session 을 얻 은 다음 에 사용자 정 보 를 설정 하 는 것 입 니 다.
package com.smart.controller;
import com.smart.pojo.User;
import com.smart.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
@Controller
@RequestMapping("/user")
public class UserController {
@Autowired
private UserService userService;
@Autowired
private SecurityManager sm; // SecurityManager
private Logger logger = LoggerFactory.getLogger(UserController.class);
@RequestMapping(value = "/loginPage")
public String loginPage(){
return "user/userLogin";
}
@RequestMapping(value = "/userLogin", method = RequestMethod.POST)
public String userLogin(@RequestParam(value="name") String name, @RequestParam(value="pwd") String pwd, Model model){
logger.info("enter userLogin...");
User user = userService.getUserByNameAndPassword(name, pwd);
if(user == null){
logger.info("user is not exist...");
model.addAttribute("login_error", " ");
return "user/userLogin";
}
SecurityUtils.setSecurityManager(sm);
Subject currentUser = SecurityUtils.getSubject();
currentUser.getSession().setAttribute("LOGIN_USER", user);
return "redirect:/employee/list";
}
}
현재 사용 자 를 가 져 옵 니 다.shiro 에서 테 마 를 가 져 온 다음 에 해당 하 는 session 을 가 져 오고 사용자 정 보 를 설정 합 니 다.약간 Http session 의 동작 처럼 느껴 지지 않 습 니까?하하.5)마지막 으로 springmvc 의 차단 기 를 정의 합 니 다.차단기 에서 해당 하 는 session 의 사용자 정 보 를 얻 고 얻 지 못 하면 로그 인 인터페이스 로 이동 합 니 다.
package com.smart.core.shiro;
import com.smart.pojo.User;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class LoginInterceptor implements HandlerInterceptor {
private Logger logger = LoggerFactory.getLogger(LoginInterceptor.class);
@Autowired
private SecurityManager sm;
@Override
public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
logger.info("enter LoginInterceptor...");
HttpServletRequest request = httpServletRequest;
HttpServletResponse response = httpServletResponse;
logger.info("request uri===>"+request.getRequestURI()); // , ,
if(request.getRequestURI().contains("loginPage") || request.getRequestURI().contains("userLogin")){
return true;
}else{
SecurityUtils.setSecurityManager(sm);
Subject currentUser = SecurityUtils.getSubject();
Object obj = currentUser.getSession().getAttribute("LOGIN_USER");
if(obj==null){
response.sendRedirect("http://localhost:8080/user/loginPage");
return false;
}else{
User user = (User)obj;
if(user==null || user.getName()==null){
response.sendRedirect("http://localhost:8080/user/loginPage");
return false;
}else{
return true;
}
}
}
}
@Override
public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
}
}
여기까지 하면 거의 끝 납 니 다.지금 홈 페이지 정 보 를 직접 방문 하면 자동 으로 로그 인 페이지 로 넘 어 갑 니 다.총결산
이상 은 이 글 의 전체 내용 입 니 다.본 논문 의 내용 이 여러분 의 학습 이나 업무 에 어느 정도 참고 학습 가치 가 있 기 를 바 랍 니 다.궁금 한 점 이 있 으 시 면 댓 글 을 남 겨 주 셔 서 저희 에 대한 지지 에 감 사 드 립 니 다.
이 내용에 흥미가 있습니까?
현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:
shiro 권한 부여Shiro 는 세 가지 방식 의 인증 을 지원 합 니 다. 본 교육 프로그램 은 첫 번 째 프로 그래 밍 방식 을 사용 하고 실제 와 웹 시스템 을 통합 하여 사용 한 후 두 가지 방식 을 사용 하도록 권한 을 부여...
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.