【shiro权限管理】3.shiro集成spring

xiaoxiaoHer

浏览: 323552 次
性别:
来自: 南京

最近访客更多访客>>

long-zhigang

kxlele

vvdeng

cht的大摩托

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

shiro

shiro在web环境下最简单的使用。现在大部分项目都在是spring环境下开发的，这里在spring和springMVC框架下使用shiro

1.新建web项目，加入spring、springMVC、shiro相关包。

要引入的包见附件中的pom文件

2.配置spring以及springMVC

配置spring：

守在在web.xml中配置spring

<context-param>
	<param-name>contextConfigLocation</param-name>
	<param-value>classpath:applicationContext.xml</param-value>
</context-param> 
<listener>
	<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

然后在src下新建applicationContext.xml文件：

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
	http://www.springframework.org/schema/beans/spring-beans.xsd">
 
</beans>

配置SpringMVC：

在Web.xml添加SpringMVC的前端控制器DispatcherServlet

<servlet>
    <servlet-name>spring</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <init-param>
      <param-name>contextConfigLocation</param-name>
      <param-value>classpath:spring-mvc.xml</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
    <servlet-name>spring</servlet-name>
    <url-pattern>/</url-pattern>
  </servlet-mapping>

其中加入包扫描、视图前后缀、注解的处理器适配器和映射器，以及基本的servletHandler。

然后在webapp下新建一个user.jsp

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <title>USER</title>
  </head>
  <body>
    This is User page. <br>
  </body>
</html>

部署项目，访问地址 localhost:8080/user.jsp 访问成功，证明我们的spring和springMVC基本环境搭建成功

3.配置shiro环境

首先在web.xml中添加shiro的核心过滤

<!-- 
1. 配置  Shiro 的 shiroFilter.  
2. DelegatingFilterProxy 实际上是 Filter 的一个代理对象. 默认情况下, Spring 会到 IOC 容器中查找和 
<filter-name> 对应的 filter bean. 也可以通过 targetBeanName 的初始化参数来配置 filter bean 的 id. 
这里注意一点filter的位置最好放在listener前面
-->
<filter>
	<filter-name>shiroFilter</filter-name>
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	<init-param>
		<param-name>targetFilterLifecycle</param-name>
		<param-value>true</param-value>
	</init-param>
</filter>
<filter-mapping>
	<filter-name>shiroFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

在Spring的配置文件applicationContext.xml下加入Shiro的配置，由于文件中的配置比较多，不过不用着急，我们一个一个添加并分析。

(1)配置SecurityManager

首先配置的第一个是Shiro的核心组件SecurityManager，在该配置中配置了三个属性，分别是cacheManager、authenticator以及realms。之前提到过CacheManager为缓存控制器，来管理如用户、角色、权限等信息的缓存，而authenticator负责Subject认证，Realm为安全实体数据源。

<!--1. 配置 SecurityManager-->     
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="cacheManager" ref="cacheManager"/>
    <property name="realm" ref="shiroRealm"/>
</bean>

(2)配置CacheManager

紧跟着下面就是cacheManager的配置，这里需要使用第三方的缓存API，如Redis或ehcache。这里我们使用的是ehcache，其jar包在附件中pom文件已经引用，在cacheManager的配置中指定cacheManagerConfigFile的配置文件为ehcache的配置文件即可：

<!--  
2. 配置 CacheManager. 
2.1 需要加入 ehcache 的 jar 包及配置文件. 
-->     
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
	<property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/> 
</bean>

ehcache.xml配置文件在附件中，直接放在资源根目录下，其中defaultCache是默认配置，其余的是我们后面需要测试时使用的cache配置。

(3)配置Realm
然后配置紧跟着是Realm的配置，由于测试样例目前不连接数据库，所以这里我们自定义一个Realm
配置：

<!-- 
3. 配置 Realm 
3.1 直接配置实现了 com.test.shiro.realms.ShiroRealm 接口的 bean
-->     
<bean id="shiroRealm" class="com.test.shiro.realms.ShiroRealm"></bean>

里面就是我们自定义的Realm数据源，具体逻辑如下：

public class ShiroRealm implements Realm{
	@Override
	public AuthenticationInfo getAuthenticationInfo(AuthenticationToken arg0)
			throws AuthenticationException {
		return null;
	}
	@Override
	public String getName() {
		return null;
	}
 
	@Override
	public boolean supports(AuthenticationToken arg0) {
		return false;
	}
}

实现Realm数据源类，必须继承Realm提供的org.apache.shiro.realm.Realm接口，并实现getAuthenticationInfo、getName以及supports方法(这里主要讲解框架的搭建，具体方法细节在之后会详细介绍)。

(4)配置LifecycleBeanPostProcessor

然后配置LifecycleBeanPostProcessor(Bean生命周期过程处理器，可以自动来调用配置在Spring IOC容器中shiro bean的生命周期方法. )

<!--  
4. 配置 LifecycleBeanPostProcessor. 可以自动来调用配置在 Spring IOC 容器中 shiro bean 的生命周期方法. 
-->       
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

(5)启用shiro 的注解

启用IOC容器中使用shiro的注解。但必须在配置了LifecycleBeanPostProcessor之后才可以使用：

<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
	  depends-on="lifecycleBeanPostProcessor"/>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
	<property name="securityManager" ref="securityManager"/>
</bean>

(6)配置ShiroFilter

记得之前我们在web.xml中加入了Shiro的过滤器，名称为“ShiroFilter”，而该bean就配置在applicationContext.xml中：

<!--  
6. 配置 ShiroFilter. 
6.1 id 必须和 web.xml 文件中配置的 DelegatingFilterProxy 的 <filter-name> 一致.
若不一致, 则会抛出: NoSuchBeanDefinitionException. 因为 Shiro 会来 IOC 容器中查找和 <filter-name> 名字对应的 filter bean.
-->     
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
	<property name="securityManager" ref="securityManager"/>
	<property name="loginUrl" value="/login.jsp"/>
	<property name="successUrl" value="/list.jsp"/>
	<property name="unauthorizedUrl" value="/unauthorized.jsp"/>
	<!--  
		配置哪些页面需要受保护. 
		以及访问这些页面需要的权限. 
		1). anon 可以被匿名访问
		2). authc 必须认证(即登录)后才可能访问的页面. 
	-->	
       <property name="filterChainDefinitions">
		<value>
			/login.jsp = anon
			# everything else requires authentication:
			/** = authc
		</value>
	</property>
</bean>

在上面的配置中，其中securityManager就是最上面的配置对应的bean，而loginUrl、successUrl以及unauthorizedUrl配置的是登录页面、登录成功页以及用户访问了没有被授权的资源自动跳转到的页面的路径，这里我们分别在webapp下添加这三个页面

下面的filterChainDefinitions表示的是配置哪些页面需要受保护，以及访问这些页面需要的权限。说白了它就是代表一个过滤器的过滤数据集合。在filterChainDefinitions中我们仅配置login.jsp页面为可匿名访问的页面，其它所有页面都必须认证后才可访问。

上面完整的Shiro基础配置如下：

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
 
 
    <!--1. 配置 SecurityManager-->     
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="cacheManager" ref="cacheManager"/>
        <property name="realm" ref="shiroRealm"/>
    </bean>
 
    <!--  
    2. 配置 CacheManager. 
    2.1 需要加入 ehcache 的 jar 包及配置文件. 
    -->     
    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/> 
    </bean>
 
 
    <!-- 
    	3. 配置 Realm 
    	3.1 直接配置实现了 org.apache.shiro.realm.Realm 接口的 bean
    -->     
    <bean id="shiroRealm" class="com.test.shiro.realms.ShiroRealm"></bean>
 
    <!--  
    4. 配置 LifecycleBeanPostProcessor. 可以自定的来调用配置在 Spring IOC 容器中 shiro bean 的生命周期方法. 
    -->       
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
 
    <!--  
    5. 启用 IOC 容器中使用 shiro 的注解. 但必须在配置了 LifecycleBeanPostProcessor 之后才可以使用. 
    -->     
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor"/>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>
 
    <!-- 6. 配置 ShiroFilter. 
    6.1 id 必须和 web.xml 文件中配置的 DelegatingFilterProxy 的 <filter-name> 一致.
       若不一致, 则会抛出: NoSuchBeanDefinitionException. 因为 Shiro 会来 IOC 容器中查找和 <filter-name> 名字对应的 filter bean.
    -->     
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login.jsp"/>
        <property name="successUrl" value="/list.jsp"/>
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        <!--  
        	配置哪些页面需要受保护. 
        	以及访问这些页面需要的权限. 
        	1). anon 可以被匿名访问
        	2). authc 必须认证(即登录)后才可能访问的页面. 
        -->
        <property name="filterChainDefinitions">
            <value>
                /login.jsp = anon
                # everything else requires authentication:
                /** = authc
            </value>
        </property>
    </bean>
 
</beans>

目前已经将Shiro所有的基础配置编写完毕，这里保存applicationContext.xml文件，并重启项目。

根据Shiro的shiroFilter中的filterChainDefinitions配置，只能访问login.jsp页面，访问其它页面都应该被重定向到login.jsp页面：至此，一个基本的Spring与Shiro的集成的效果就出来了。关于配置方面，还有很多配置以及细节没有讲解，在后面的总结中会一一拓展和讲解。

annex.zip (3.8 KB)
下载次数: 0

分享到：

【shiro权限管理】4.shiro如何发挥作用 | 【shiro权限管理】2.shiro的HelloWorld

2019-05-30 11:23
浏览 376
评论(0)
分类:企业架构
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论