Shiro 集成 Spring, 搭建 Shiro+Spring+SpringMVC+Mybatis 环境,数据源为 DruidDataSource
一. 步骤
传统的SSM框架不再叙述,直接集成Shiro配置
1. 首先在 web.xml 中加入 ShiroFilter
<!-- 1. 配置 shiro 的 shiroFilter
2. DelegatingFilterProxy 实际上是Filter的一个代理对象。
默认情况下, Spring 会到 IOC 容器中查找和 <filter-name> 对应的filter Bean.
也可以通过targetBeanName 的初始化参数来配置filter-name 的id。
-->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
<!-- <init-param>
<param-name>targetBeanName</param-name>
<param-value>abc</param-value>
</init-param> -->
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
- 在spring配置文件里加入shiro 相关配置
<!-- 1. 配置 securityManager -->
<!-- 2. 配置 cacheManager (缓存管理器)
2.1 需要加入ehcache 的jar包 及 配置文件
-->
<!-- 3.配置 Realm
直接配置了实现了org.apache.shiro.realm.Realm 接口 的bean
-->
<!-- 4. 配置 LifecycleBeanPostProcessor 可以自动的来调用配置在 spring IOC 容器中的shiro bean 的生命周期方法-->
<!-- 5. 启用IOC 容器的shiro注解, 但必须在配置了 LifecycleBeanPostProcessor 之后使用-->
<!-- 6. 配置shiroFilter
6.1 id必须和web.xml文件中的 DelegatingFilterProxy 的 <filter-name> 一致
若不一致,则会抛出: NoSuchBeanDefinitionException. 因为Shiro会 来IOC 容器中查找和<filter-name>名字对应的filterBean
<!--
配置哪些页面需要受保护。
以及访问这些页面需要的权限
1) anon 可以匿名访问
2) authc 必须认证(登录)之后才能访问
3) logout 登出
4) roles 角色过滤器
-->
-->
注:权限过滤器可以走数据表存储,将路径及权限属性放在map中存放,配置一个bean,该bean实际上是一个Map. 通过实际工厂方法的方式。
二. 工作原理
首先从前台发送请求,将登陆账号和加密密码发送到后台服务器,后台封装为包含账号和密码的UsernamePasswordToken对象
@RequestMapping("/login")
public String login(HttpServletRequest request, @RequestParam("userName") String userName, @RequestParam("password") String password){
// 1. 获取当前Subject
Subject currentUser = SecurityUtils.getSubject();
// 2.检测当前用户是否被认证, 即是否已登录。
if (!currentUser.isAuthenticated()) {
// 将用户名密码 封装为 UsernamePasswordToken 对象
UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
// rememberMe
token.setRememberMe(true);
try {
System.out.println("1. "+ token.hashCode());
//执行登录
currentUser.login(token);
}
// 所有认证信息的父类
catch (AuthenticationException ae) {
System.out.println("认证失败: "+ ae.getMessage());
}
}
return "redirect:/success.jsp";
}
shiro 的认证主体交由 realm 去实现。
我们访问shiro的安全数据的时候,需要用realm获取数据表里对应的记录,密码的对比也是通过shiro完成的。
总结:
1. 获取当前的 Subject. 调用SecurityUtils.getSubject();
2. 测试当前的用户是否已经被认证。 即 是否已经登录,调用 Subject 的isAuthenticated()
3. 若没有被认证,则把用户名和密码封装为 UsernamePasswordToken 对象
1). 创建一个表单页面,
2). 把请求提交到 SpringMVC 的 Handler
3). 获取用户名和密码。
4. 执行登录: 调用 Subject 的login(AuthenticationToken) 方法;
5. 自定义 Realm 的方法, 从数据库中获取对应的记录,返回给Shiro.
1). 实际上需要继承 org.apache.shiro.realm.AuthenticatingRealm 类
2). 实现 doGetAuthenticationInfo(AuthenticationToken) 方法。
3). 返回认证认证信息 SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);
return info;