springmvc集成shrio

直接上代码

web.xml

	<!-- 配置Shiro过滤器,先让Shiro过滤系统接收到的请求 -->
	<!-- 这里filter-name必须对应applicationContext.xml中定义的<bean id="shiroFilter" /> -->
	<!-- 使用[/*]匹配所有请求,保证所有的可控请求都经过Shiro的过滤 -->
	<!-- 通常会将此filter-mapping放置到最前面(即其他filter-mapping前面),以保证它是过滤器链中第一个起作用的 -->
	<!-- targetFilterLifecycle该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->
	<!---->
	<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
		<init-param>
			<param-name>targetFilterLifecycle</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

springmvc.xml

<!-- 当前对象用于创建shiro框架需要的过滤器对象 -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<!-- 注入安全管理器 -->
		<property name="securityManager" ref="securityManager"></property>

		<!-- 登录成功之后跳转的页面，一般这个逻辑都是自己控制的，所以此处不需要 <property name="successUrl" value="/WEB-INF/views/error/success.jsp"></property> -->
		<!-- 如果用户尚未登录，跳转到的界面 -->
		<property name="loginUrl" value="/loginUrl"></property>
		<!-- 如果未授权，跳转到的界面 -->
		<property name="unauthorizedUrl" value="/error"></property>

		<property name="filterChainDefinitions">
			<value>
				<!--访问权限配置，admin角色才可以操作/suiyuan/page -->
				/suiyuan/page = authc,roles[admin]
			</value>
		</property>
	</bean>

	<!-- 定义安全管理器 -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<!-- 注入realm -->
		<property name="realm" ref="userRealm"></property>
	</bean>

	<!-- 自定义Realm -->
	<bean id="userRealm" class="com.suiyuan521.cms.web.authority.UserRealm">
	</bean>
<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

	<bean
		class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />
	</bean>
	
	<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
		depends-on="lifecycleBeanPostProcessor">
		<property name="proxyTargetClass" value="true" />
	</bean>

自定义Realm

@Component("userRealm")
public class UserRealm extends AuthorizingRealm {

    @Autowired
    private UserMapper userDao;

    /**
     * 授权方法
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // 获取当前登录的用户名,等价于(String)principals.fromRealm(this.getName()).iterator().next()
        String currentUsername = (String) super.getAvailablePrincipal(principals);
        List<String> roleList = new ArrayList<String>();
        List<String> permissionList = new ArrayList<String>();
        // 如果是suiyuan用户，增加角色和权限
        if(currentUsername.equals("suiyuan")) {
            roleList.add("admin");
            permissionList.add("suiyuan/page");
        } else {
            roleList.add("normal");
            permissionList.add("normal");
        }
        

        // 为当前用户设置角色和权限
        SimpleAuthorizationInfo simpleAuthorInfo = new SimpleAuthorizationInfo();
        simpleAuthorInfo.addRoles(roleList);
        simpleAuthorInfo.addStringPermissions(permissionList);
        return simpleAuthorInfo;
    }

    /**
     * 认证方法
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
        // 获取基于用户名和密码的令牌
        // 实际上这个authcToken是从LoginController里面currentUser.login(token)传过来的
        // 两个token的引用都是一样的
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
        System.out.println("验证当前Subject时获取到token为"
                + ReflectionToStringBuilder.toString(token, ToStringStyle.MULTI_LINE_STYLE));
        List<SysUser> allExistUser = this.userDao.getByName(token.getUsername());
        int allExistUserSize = allExistUser.size();
        SysUser existUser = null;
        // 用户不存在
        if (allExistUserSize == 0) {
            throw new UnknownAccountException();
        } else if (allExistUserSize > 1) {
            // 用户重复
            throw new UnknownAccountException();
        } else {
            existUser = allExistUser.get(0);
        }

        String existUserPass = existUser.getPassword();
        if (existUserPass.equals(String.valueOf(token.getPassword()))) {
            AuthenticationInfo authcInfo =
                    new SimpleAuthenticationInfo(existUser.getName(), existUser.getPassword(), this.getName());
            setSession("userName", existUser.getName());
            setSession("isLogin", true);
            return authcInfo;
        } else {
            throw new IncorrectCredentialsException();
        }
    }

    /**
     * 将一些数据放到ShiroSession中,以便于其它地方使用
     * 
     * @see 比如Controller,使用时直接用HttpSession.getAttribute(key)就可以取到
     */
    private void setSession(Object key, Object value) {
        Subject currentUser = SecurityUtils.getSubject();
        if (null != currentUser) {
            Session session = currentUser.getSession();
            if (null != session) {
                session.setAttribute(key, value);
            }
        }
    }

}

在Controller中如何使用注解？

方法前加上：@RequiresRoles("admin")

问题：

1、对于注解类，没有权限的时候会报错，而不是跳转到指定界面，如何处理？ 可以做全局异常处理。参考网页：http://my.oschina.net/sniperLi/blog/650627?p={{currentPage-1}}

2、二次代理问题的解释及处理方法：http://jinnianshilongnian.iteye.com/blog/1894465