shiro入门

一、 介绍：

shiro是apache提供的强大而灵活的开源安全框架，它主要用来处理身份认证，授权，企业会话管理和加密。

shiro功能：用户验证、用户执行访问权限控制、在任何环境下使用session API，如cs程序。可以使用多数据源如同时使用oracle、mysql。单点登录(sso)支持。remember me服务。详细介绍还请看官网的使用手册：http://shiro.apache.org/reference.html

与spring security区别，个人觉得二者的主要区别是：

1、shiro灵活性强，易学易扩展。同时，不仅可以在web中使用，可以工作在任务环境内中。

2、acegi灵活性较差，比较难懂，同时与spring整合性好。

如果对权限要求比较高的项目，个人建议使用shiro，主要原因是可以很容易按业务需求进行扩展。

附件是对与shiro集成的jar整合及源码。

二、shiro与spring集成

      shiro默认的配置，主要是加载ini文件进行初始化工作，具体配置，还请看官网的使用手册（http://shiro.apache.org/web.html）init文件不支持与spring的集成。此处主要是如何与spring及springmvc集成。

    1、web.xml中配置shiro过滤器，web.xml中的配置类使用了spring的过滤代理类来完成。

<filter>
   <filter-name>shiroFilter</filter-name>
    <filter-class>
        org.springframework.web.filter.DelegatingFilterProxy
    </filter-class>		
</filter>
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern
</filter-mapping>

    2、在spring中的application.xml文件中添加shiro配置：

<!--securityManager是shiro的核心，初始化时协调各个模块运行-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
   <!--单个realm使用realm,如果有多个realm，使用realms属性代替--> 
   <property name="realm" ref="leopardRealm" />
   <property name="cacheManager" ref="shiroEhcacheManager" />
</bean>
    <!--realm配置，realm是shiro的桥梁，它主要是用来判断subject是否可以登录及权限等-->
    <bean id="leopardRealm" class="com.leopard.shiro.realm.LeopardRealm" />
    <!--shiro过滤器配置，bean的id值须与web中的filter-name的值相同-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
	<property name="securityManager" ref="securityManager" />
         <!-- 没有权限或者失败后跳转的页面 -->
	 <property name="loginUrl" value="/login/login.jsp" /> 
	 <property name="successUrl" value="/main/index.jsp" />
	 <property name="unauthorizedUrl" value="/login/unauthorized" />
		<property name="filterChainDefinitions">
			<value>
				/login/logout=logout
				/login/**=anon
				/**=authc,rest
			</value>
		</property>
	</bean>
	<!-- 用户授权/认证信息Cache, 采用EhCache 缓存 -->
	<bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
		<property name="cacheManagerConfigFile" value="classpath:ehcache-shiro.xml"/>
	</bean>

 配置说明：

•  securityManager是shiro的核心，初始化时协调各个模块运行。
• realm是shiro的桥梁，进行数据源配置，shrio提供了常用的realm数据源配置，如LDAP的JndiLdapRealm，JDBC的JdbcRealm，ini文件的IniRealm，properties文件的PropertiesRealm等，也可以插入自己的 Realm实现来代表自定义的数据源。此处使用了自定义的leopardRealm进行配置，java代码如下：

  public class LeopardRealm extends AuthorizingRealm {
  	/**
  	 * 授权方法，在配有缓存的情况下，只加载一次。
  	 */
  	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
  		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
                   //获取用户信息的所有资料，如权限角色等.
                   //info.setStringPermissions(权限集合);
  		//info.setRoles(角色集合);
  		return info;
  	}
  	/**
  	 * 登陆认证
  	 */
  	@Override
  	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
                 throws AuthenticationException {
  	    UsernamePasswordToken usernamePasswordToke = (UsernamePasswordToken)token;
  	    String username = usernamePasswordToke.getUsername();
  	    return new SimpleAuthenticationInfo(new ShiroUser("admin", "admin"), "admin",
                          ByteSource.Util.bytes("admin"), getName());
  		
  	}
  }

•  shiroFilter：shiro的权限过滤器配置，可自定义过滤器并关联至filterChainDefinitions中。shiro过滤器说明：
  shiro过滤器对应的类：
  过滤器名称 对应的java类

  anon	org.apache.shiro.web.filter.authc.AnonymousFilter
  authc	org.apache.shiro.web.filter.authc.FormAuthenticationFilter
  authcBasic	org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
  logout	org.apache.shiro.web.filter.authc.LogoutFilter
  noSessionCreation	org.apache.shiro.web.filter.session.NoSessionCreationFilter
  perms	org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
  port	org.apache.shiro.web.filter.authz.PortFilter
  rest	org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
  roles	org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
  ssl	org.apache.shiro.web.filter.authz.SslFilter
  user	org.apache.shiro.web.filter.authc.UserFilter

   

  anon:例子/admins/**=anon 没有参数，表示可以匿名使用。
  authc:例如/admins/user/**=authc表示需要认证(登录)才能使用，没有参数。
  authcBasic：例如/admins/user/**=authcBasic没有参数表示httpBasic认证。
  roles：例子/admins/user/**=roles[admin],参数可以写多个，多个时必须加上引号，并且参数之间用逗号分割，当有多个参数时，例如admins/user/**=roles["admin,guest"],每个参数通过才算通过，相当于hasAllRoles()方法。
  perms：例子/admins/user/**=perms[user:add:*],参数可以写多个，多个时必须加上引号，并且参数之间用逗号分割，例如/admins/user/**=perms["user:add:*,user:modify:*"]，当有多个参数时必须每个参数都通过才通过，想当于isPermitedAll()方法。
  rest：例子/admins/user/**=rest[user],根据请求的方法，相当于/admins/user/**=perms[user:method] ,其中method为post，get，delete等。
  port：例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等，serverName是你访问的host,8081是url配置里port的端口，queryString是你访问的url里的？后面的参数。
  ssl:例子/admins/user/**=ssl没有参数，表示安全的url请求，协议为https
  user:例如/admins/user/**=user没有参数表示必须存在用户，当登入操作时不做检查
  
  
  注：这些过滤器中anon，authcBasic，auchc，user是认证过滤器，perms，roles，ssl，rest，port是授权过滤器
  
  至此配置工作已完成。

      简单登录操作：

      login.jsp代码

<%@ page language="java" pageEncoding="UTF-8"%>
<html>
<body>
	<form  action="${pageContext.request.contextPath}/login" method="post">
		用户名：<input id="username" name="username" />
                密码：<input id="password" type="password" name="password" />
         	记住我：<input type="checkbox" name="rememberMe" />
                <input type="submit" name="submit" value="submit"/>
	</form>
</body>
</html>

   springMVC控制层代码：

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.servlet.ModelAndView;
@Controller("loginAction")
@RequestMapping("/login")
public class LoginAction  {
	@RequestMapping("")
       //登录
	public ModelAndView execute(HttpServletRequest request,
			HttpServletResponse response,String username,String password) {
		UsernamePasswordToken token = new UsernamePasswordToken(username,password);
		//记录该令牌
		token.setRememberMe(false);
		//subject权限对象
		Subject subject = SecurityUtils.getSubject();
		try {
			subject.login(token);
		} catch (UnknownAccountException ex) {//用户名没有找到
			ex.printStackTrace();
		} catch (IncorrectCredentialsException ex) {//用户名密码不匹配
			ex.printStackTrace();
		}catch (AuthenticationException e) {//其他的登录错误
			e.printStackTrace();
		}
		
		//验证是否成功登录的方法
		if (subject.isAuthenticated()) {
			return new ModelAndView("/main/index.jsp");
		}
		return new ModelAndView("/login/login.jsp");
	}
	
        //退出
	@RequestMapping("/logout")
	public void logout() {
		Subject subject = SecurityUtils.getSubject();
		subject.logout();
	}
}

 最后启动服务登录，实验证明，失败返回登录页，成功进入主页。

 

 

评论

11 楼 xuezhanghuzhen 2016-09-30  

    

10 楼 darren_nizna 2016-09-08  

http://gitlore.com/darren/shiro/    apache-shiro-1.2.x-reference

9 楼 masuweng 2016-07-11  

javaey中怎么查看自己发表的评论呢?

8 楼 masuweng 2016-07-11  

先赞一个,多谢楼主分享.暂时不用将来会涉及到再回过头来学习

7 楼 dtl19921202 2016-07-05  

不错。给一个赞

6 楼 wubingyang527 2016-06-29  

怎么腰斩了..

5 楼 zhuhe422 2016-05-13  

没有源码啊，看不到缓存部分

4 楼 sp42 2016-01-23  

非常有用，感谢！

3 楼 Arrays9 2015-12-24  

2 楼 Arrays9 2015-12-24  

1 楼 wtaisi 2015-06-18