shiro和cas集成下配置过滤器
2016-08-14 21:18
323 查看
项目需求:
我们系统的权限管理使用单点登录cas与权限管理框架Shiro集成。shiro需要在spring bean中装配,就是把之前的shiro,ini的东西配成spring bean,就是在spring的配置文件中进行的。我们的项目是分模块开发,大家在开发自己的模块的时候都会过一次cas,就可以访问所有的模块,我们会在session中写一些常用的内容,例如用户名称,数据库信息等。有些后台管理登陆的模块,不需要cas,我们就要考虑如何不拦截这些模块。
比如,我们的企业注册模块,当然不需要登陆了,那我们就配置一下过滤器就OK了。这样就不需要身份验证就可以访问模块内容。
<!-- shiro管理核心类 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="shiroRealm"></property> <property name="sessionMode" value="http"></property> <property name="subjectFactory" ref="casSubjectFactory"></property> <property name="cacheManager" ref="redisCacheManager" /> <property name="sessionManager" ref="sessionManager"></property> </bean> <!-- shiro过滤器 start --> <bean id="shiroSecurityFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"></property> <property name="loginUrl" value="${loginUrl}"></property> <property name="filters"> <map> <entry key="casFilter"> <bean class="org.apache.shiro.cas.CasFilter"> <!--配置验证错误时的失败页面 /main 为系统登录页面 --> <property name="failureUrl" value="/message.jsp" /> </bean> </entry> </map> </property> <!-- 过滤器链,请求url对应的过滤器 --> <property name="filterChainDefinitions"> <value> /mobile_**/**=anon /message.jsp=anon /shiro-cas=casFilter <!-- /shirologout=logoutFilter --> /logout=logout /**=user </value> </property> </bean> <!-- shiro过滤器 end -->
我们前台使用的是springmvc,这样就可以统一requestmapping的命名,如果是/mobile_back/ 开头的controller请求,shiro都不会进行拦截,会放行的。
知识拓展:
在解决项目的同时,顺便普及了一下shiro的知识,本来是翻墙去看了看官网上的介绍,就知道了apache shiro 是一个java权限管理平台框架,有四个啥功能,认证,授权,加密和对session的会话管理,再看第二段我就方了== 哎,,还是要好好学习英语,才能不被这个时代嫌弃。其他的深入了解,就去中文网站看了。下面是shiro的基本功能点:
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的 如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可 以是普通JavaSE环境的,也可以是如Web环境的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:Web支持,可以非常容易的集成到Web环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
Shiro不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过相应的接口注入给Shiro即可。
总结:
shiro的配置相对来说比较简单,需要引入三个jar包,较大的系统少不了权限,目前java里面的权限框架,shiro的扩展性强,功能强大,大家都爱它。相关文章推荐
- Spring Shiro CAS 客户端集成配置
- CAS配置(二)- 集成 oracle BerkeleyDB
- 单点登录cas与权限管理框架shiro集成------spring项目方式
- Apache Shiro 集成-Cas
- shiro-cas集成实战
- 单点登录cas与权限管理框架shiro集成-spring项目方式
- Grails项目与CAS、GWT集成配置指南(上)
- Spring Boot 集成Shiro和CAS
- Apache shiro(3)—cas + shiro配置说明
- CAS和Shiro在spring中集成
- spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
- Apache Shiro 集成-Cas
- spring boot 集成shiro的配置
- Spring Security定制开发 单点登录CAS定制开发 集成 配置文件
- CAS和Shiro在spring中集成
- 单点登录cas与权限管理框架shiro集成------普通web项目方式
- spring 集成shiro 之 自定义过滤器
- 在 Web 项目中应用 Apache Shiro 并集成 CAS 单点登录
- CAS和Shiro在spring中集成
- 详解Spring Boot 集成Shiro和CAS