`
ria2008
  • 浏览: 1453 次
最近访客 更多访客>>
文章分类
社区版块
存档分类
最新评论

如何将Apache Shiro集成到基于Spring的应用

阅读更多
本文主要介绍如何将Apache Shiro集成到基于Spring的应用。

Shiro兼容javabean使得它能很好的与Spring XML或其他基于Spring的配置方式集成。在基于Shiro的应用程序中的SecurityManager是单例的。不过,SecurityManager不一定是静态单例,但是不论是否是静态单例,必须保证一个应用程序中只有一个SecurityManager的实例。

独立的应用程序

下面是在Spring的应用程序中以最简单的方式配置单例SecurityManager:

<!-- 定义连接后台安全数据源的realm -->
<bean id="myRealm" class="...">
   ...
</bean>
<bean id="securityManager" class="org.apache.shiro.mgt.DefaultSecurityManager">
   <!-- 单realm应用。如果有多个realm,使用‘realms’属性代替 -->
   <property name="realm" ref="myRealm"/>
</bean>
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<!-- 最简单的集成,是将securityManager bean配置成一个静态单例,也就是让            SecurityUtils.*
下的所有方法在任何情况下都起作用。在web应用中不要将securityManager bean配置为静态单例,
具体方式请参阅下文中的‘Web Application’部分 -->
<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
   <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
   <property name="arguments" ref="securityManager"/>
</bean>
Web应用程序

Shiro对基于Spring的Web应用提供了完美的支持,web应用中,Shiro可控制的web请求必须经过Shiro主过滤器的拦截。Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行。

Shiro1.0版本前,Spring web应用使用混合方式进行配置,在web.xml中定义Shiro的过滤器和它所有的配置,而在Spring XML中定义SecurityManager。这样有些别扭,因为第一你没办法将所有的配置放到一个位置;第二没法最大发挥Spring提供配置上的优点,比如PropertyPlaceholderConfigurer或者通过抽象beans来合并配置。

在Shiro1.0或更高版本中,所有的Shiro配置都放到Spring XML中,这样做进一步发挥了Spring配置机制的优势。

下面是如何在基于Spring的web应用中配置Shiro:

web.xml
除了定义ContextLoaderListener, Log4jConfigListener等Spring元素外,只要在web.xml中增加如下的filter和filter-mapping:

<!-- filter-name对应applicationContext.xml中定义的名字为“shiroFilter”的bean -->
<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>
...
<!-- 使用“/*”匹配所有请求,保证所有的可控请求都经过Shiro的过滤。通常这个filter-mapping
放置到最前面(其他filter-mapping前面),保证它是过滤器链中第一个起作用的 -->
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
applicationContext.xml
在applicationContext.xml中定义SecurityManager和web.xml中使用的名字叫shiroFilter的bean

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <!-- 可根据项目的URL进行替换 -->
    <property name="loginUrl" value="/login.jsp"/>
    <property name="successUrl" value="/home.jsp"/>
    <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
    <!-- 因为每个已经定义的javax.servlet.Filter类型的bean都可以在链的定义中通过bean名
    称获取,所以filters属性不是必须出现的。但是可以根据需要通过filters属性替换filter
    实例或者为filter起别名 -->
    <property name="filters">
        <util:map>
            <entry key="anAlias" value-ref="someFilter"/>
        </util:map>
    </property>
    <property name="filterChainDefinitions">
        <value>
            # some example chain definitions:
            /admin/** = authc, roles[admin]
            /docs/** = authc, perms[document:read]
            /** = authc
            # more URL-to-FilterChain definitions here
        </value>
    </property>
</bean>
<!-- 定义应用上下文的 javax.servlet.Filter beans。这些beans 会被上面定义的shiroFilter自
动感知,并提供给“filterChainDefinitions”属性使用。或者也可根据需要手动的将他们添加在
shiroFilter bean的“filters”属性下的Map标签中。 -->
<bean id="someFilter" class="..."/>
<bean id="anotherFilter" class="..."> ... </bean>
...
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!-- 单realm应用。如果需要配置多个realm,使用“realms”属性 -->
    <property name="realm" ref="myRealm"/>
    <!-- 默认使用servlet容器session。下面是使用shiro 原生session的例子(细节请参考帮助文档)-->
    <!-- <property name="sessionMode" value="native"/> -->
</bean>
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<!-- 定义连接后台安全数据源的realm -->
<bean id="myRealm" class="...">
...
</bean>
开启Shiro的注解
不论独立的应用程序还是web应用程序,都可以使用Shiro提供的注解进行安全检查。比如@RequiresRoles, @RequiresPermissions等。这些注解需要借助Spring的AOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证。

下面让我们看下如何开启注解,其实很简单,只要在applicationContext.xml中定义两个bean即可。

<!-- 开启Shiro注解的Spring配置方式的beans。在lifecycleBeanPostProcessor之后运行 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
</bean>
Spring远程安全
Shiro的Spring远程支持有两部分组成:远程调用的客户端配置和接收、处理远程调用的服务器端配置。

Server端配置

当Shiro的Server端接收到一个远程方法调用时,与远程调用相关的Subject必须在接收线程执行时绑定到接收线程上,这项工作通过在applicationContext.xml中定义SecureRemoteInvocationExecutor bean完成。

<!-- Spring远程安全确保每个远程方法调用都与一个负责安全验证的Subject绑定 -->
<bean id="secureRemoteInvocationExecutor" class="org.apache.shiro.spring.remoting.SecureRemoteInvocationExecutor">
    <property name="securityManager" ref="securityManager"/>
</bean>
SecureRemoteInvocationExecutor定义完成后,需要将它加入到Exporter中,这个Exporter用于暴露向外提供的服务,而且Exporter的实现类由具体使用的远程处理机制和协议决定。定义Exporter beans请参照Spring的Remoting章节。

以基于HTTP的远程SecureRemoteInvocationExecutor为例。(remoteInvocationExecutor属性引用自secureRemoteInvocationExecutor)

<bean name="/someService" class="org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter">
    <property name="service" ref="someService"/>
    <property name="serviceInterface" value="com.pkg.service.SomeService"/>
    <property name="remoteInvocationExecutor" ref="secureRemoteInvocationExecutor"/>
</bean>
Client端配置

当远程调用发生时,负责鉴别信息的Subject需要告知server远程方法是谁发起的 。如果客户端是基于Spring的,那么这种关联可以通过Shiro的SecureRemoteInvocationFactory 完成。

<bean id="secureRemoteInvocationFactory" class="org.apache.shiro.spring.remoting.SecureRemoteInvocationFactory"/>
然后将SecureRemoteInvocationFactory 添加到与协议相关的Spring远程ProxyFactoryBean 中。

以基于HTTP协议的远程ProxyFactoryBean为例。(remoteInvocationExecutor属性引用自secureRemoteInvocationExecutor)

<bean id="someService" class="org.springframework.remoting.httpinvoker.HttpInvokerProxyFactoryBean">
    <property name="serviceUrl" value="http://host:port/remoting/someService"/>
    <property name="serviceInterface" value="com.pkg.service.SomeService"/>
    <property name="remoteInvocationFactory" ref="secureRemoteInvocationFactory"/>
</bean>
分享到:
评论

相关推荐

    Apache Shiro 集成-spring

    4. 集成Spring:通过Spring的Bean管理,将Shiro的组件声明为Spring Bean,实现依赖注入。 5. 配置Spring AOP:使用Shiro的注解或切面来控制方法级别的访问权限。 6. 编写安全逻辑:在业务代码中调用Subject的API进行...

    让Apache Shiro保护你的应用

    5. **良好的集成性**:Shiro的API设计和架构模式使得与其他框架和应用的集成变得轻松,例如与Spring、Grails、Wicket等框架的无缝对接。 6. **强大的社区支持**:作为Apache软件基金会的一员,Shiro拥有活跃的开发者...

    Apache Shiro教程

    - **Spring整合**:Shiro可以无缝集成到Spring应用中,利用Spring的依赖注入管理Shiro组件。 - **Web框架集成**:如Struts、Spring MVC等,通过拦截器实现Shiro的安全控制。 7. **学习资源** - **官方文档**:...

    spring mvc、apache shiro、mysql 框架搭建,基于maven构建

    在Spring MVC应用中,Shiro可以轻松地集成,提供用户登录、权限控制等功能。例如,它可以验证用户凭证,确保只有授权的用户才能访问特定资源。Shiro的API简单易用,能够灵活地定义角色和权限,实现细粒度的访问控制...

    让Apache_Shiro保护你的应用.pdf

    6. **与其他框架的集成**:Shiro与Spring、Grails、Wicket等多种流行的Java框架有着良好的集成能力,使得开发者可以在现有的项目结构中无缝引入Shiro,提升应用的安全性。 #### 实践案例 假设我们有一个企业级的...

    shiro-redis集成的spring的web项目

    本项目是一个将Apache Shiro与Redis缓存系统整合到Spring框架中的实例,旨在提升应用程序的安全性和性能。以下是对这个项目及其相关技术的详细解读。 **Apache Shiro** Apache Shiro是一个强大且易用的Java安全框架...

    SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限

    4、优点:快速上手、全面支持验证、授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成spring等优点。可以用来用户验证、用户授权、用户session管理、安全加密等 5、基于RBAC五张表:用户表 tb_user、...

    Spring Boot+Maven+Spring Data JPA+apache Shiro+Easyui实现通用用户权限管理系统

    本项目基于"Spring Boot+Maven+Spring Data JPA+apache Shiro+Easyui",这些技术栈的选择旨在简化开发过程,提供强大的功能,并确保系统的安全性和用户体验。 1. **Spring Boot**: Spring Boot是Spring框架的简化版...

    spring、springmvc、shiro集成空框架

    总的来说,Spring、SpringMVC和Shiro的集成为空框架提供了一个坚实的基础,开发者可以在此基础上快速搭建企业级应用,提高开发效率并保证系统的安全性。理解这三个框架的核心概念和它们之间的协作方式,对于Java Web...

    spring boot 集成 shiro

    而 Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地与 Spring Boot 结合使用,为我们的应用程序提供安全控制。 在 Spring Boot 中集成 Shiro,主要涉及以下...

    管理系统系列--人事管理系统,基于Spring+SpringMVC+Mybatis框架,该项目两级权限管理员与普通员.zip

    此外,权限管理部分可能会利用Spring Security或Apache Shiro等安全框架,实现更为复杂的角色和权限控制。 综上所述,这个项目涵盖了Java Web开发中的核心技术,包括Spring框架的使用、Web层的SpringMVC处理以及...

    利用Spring Boot的自动化配置特性来实现快速的将Shiro集成到SpringBoot应用中.zip

    本资料包“利用Spring Boot的自动化配置特性来实现快速的将Shiro集成到SpringBoot应用中.zip”聚焦于如何将安全框架Shiro与Spring Boot无缝融合,从而提升企业级应用的安全性。 Shiro是Apache组织提供的一款轻量级...

    Spring Boot+Apache Shiro+Spring MVC+MyBatis+Quartz+Druid DEMO

    这是一个基于Spring Boot、Apache Shiro、Spring MVC、MyBatis、Quartz和Druid的数据源管理框架的示例项目,名为"renren-security"。这个DEMO提供了完整的权限管理和任务调度解决方案,下面是这些技术栈的核心知识点...

    cas结合 springmvc shiro 单点登录

    3. **Shiro集成**:接下来,我们需要将Shiro与CAS集成,使得Shiro能够理解并处理由CAS服务器发出的认证票据。这通常涉及到创建自定义的 Realm 和 Filter,比如CasRealm 和 CasFilter,它们负责解析CAS服务器返回的...

    apache shiro 实例

    5. **Web 支持**:Shiro 提供了处理 Web 应用安全的特性,如过滤器,可以方便地集成到 Servlet 容器中,实现登录、权限控制等功能。在实际应用中,Shiro 过滤器链配置是关键,它定义了请求如何被不同过滤器处理。 6...

    将_Shiro_作为应用的权限基础_五:SpringMVC+Apache_Shiro+JPA(hibernate)整合配置

    本文旨在详细介绍如何将Apache Shiro整合到基于SpringMVC和JPA(hibernate)的应用程序中,为系统提供安全控制机制。通过本教程,您将了解关键配置文件的作用及其配置细节,包括`web.xml`、`applicationContext.xml`...

    Spring MVC+Mybatis+Ehcache+Apache Shiro+Bootstrap整合开发java仓库管理系统源码

    这是一个基于Java技术栈的仓库管理系统源码,使用了Spring MVC作为MVC框架,Mybatis作为持久层框架,Ehcache作为缓存管理工具,Apache Shiro进行权限控制,以及Bootstrap作为前端UI框架。下面将详细解析这些技术在...

    基于maven构建 spring mvc + apache shiro + mysql 框架搭建

    Shiro可以轻松集成到Spring MVC应用中,为用户提供认证(登录验证)、授权(权限控制)和会话管理功能。例如,通过配置Shiro的Filter链,我们可以拦截特定的URL,实现对不同角色的访问控制。Shiro还支持Remember Me...

    apache-shiro教程完整版.7z

    Apache Shiro 是一个强大且易用的...书中的目录将指导你逐个章节深入学习,从基础概念到高级应用,确保你能够全面掌握Apache Shiro 的精髓。通过实践书中给出的例子,相信你将能更好地理解和运用这个强大的安全框架。

Global site tag (gtag.js) - Google Analytics