一、前言

    Apache Shiro与Spring Security一样是Java的一个安全框架。那为什么与Spring整合却用Shiro?不要问为什么,任性!开个玩笑:D 其实我个人是认为Spring Security太过于笨重,要写太多的过滤器。我是个怕麻烦的人,Shiro的配置简单这就是我选择的理由,何况Spring官方自己都推荐使用Shiro。而Shiro权限控制与CAS单点登录的组合更是堪称Java安全中的***~( ̄_, ̄ )……但本文只介绍它们三者的整合配置(说白了就是给自己留个学习笔记啦),若对此方面内容感兴趣的可以到网上搜索学习,在此推荐开涛大神的:《跟我学shiro》

    再次强调,以下内容仅为个人学习笔记,不是篇教程。


二、配置

    Shiro最主要的就是认证与授权,而CAS的重点在于单点登录,其实CAS与Shiro整合的话就是关于认证那块的整合。

    我们先来看web.xml中Shiro与CAS的配置:

<!-- 引入详情配置 -->
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
            classpath*:/cas-client-shiro.xml
        </param-value>
    </context-param>
    
    <!-- shiro配置 (需写在Spring MVC Servlet配置之前)-->
    <filter>  
        <filter-name>shiroFilter</filter-name>  
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
        <init-param>  
            <param-name>targetFilterLifecycle</param-name>  
            <param-value>true</param-value>  
        </init-param>  
    </filter>  
    <filter-mapping>  
        <filter-name>shiroFilter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>
    
    spring mvc servlet配置……
    
    <!-- 退出 -->
    <filter>
        <filter-name>logoutFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter> 
        <filter-mapping>
        <filter-name>logoutFilter</filter-name>
        <url-pattern>/logout</url-pattern>
    </filter-mapping>
    
    <!-- 该过滤器用于实现单点登出功能,可选配置。-->
    <filter>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetBeanName</param-name>
            <param-value>singleSignOutFilter</param-value>
        </init-param>
    </filter>
    
    <filter-mapping>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    
    ………………其它配置省略………………

    在上面的配置中是否有留意到这货:DelegatingFilterProxy,它会自动的把filter请求交给相应名称的bean处理。例如在启动时,spring会有一个filter请求,这个请求转交给了shiroFilter这个bean去处理了。so^接下来我们就得去找找看shiroFilter在哪?

    此为上文加载的cas-client-shiro.xml配置:

    <!-- shiro配置 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <!-- 设定角色的登录链接,这里为cas登录页面的链接和可配置回调地址  -->
        <property name="loginUrl" value="${cas.casServerLoginUrl}?service=${cas.service}login/" />
        <property name="successUrl" value="/" />
        <property name="filters">
            <util:map>
                <!-- 添加casFilter到shiroFilter整合 -->
                <entry key="casFilter" value-ref="casFilter"/>
            </util:map>
        </property> 
        <property name="filterChainDefinitions">
            <value>               
                /login/ = casFilter
                /logout = anon
                /** = authc
            </value>
        </property>
    </bean>
    
    <!-- CasFilter为自定义的单点登录Fileter -->
    <bean id="casFilter" class="com.test.shiro.filter.CasFilter">
        <!-- 配置验证错误时的失败页面  -->
        <property name="failureUrl" value="${cas.casServerLogoutUrl}?service=${cas.logoutRedirectUrl}"/>
        <property name="realm" ref="casRealm"/>
    </bean>
    
    <!-- MyRealm为自定义的Realm -->
    <bean id="casRealm" class="com.test.shiro.realm.MyRealm">
        <property name="cacheManager" ref="shiroMemcacheManager" />
        <property name="appId" value="${roomy.uap.client.appId}"/>
        <property name="casServerUrlPrefix" value="${cas.host}"/>
        <!-- 客户端的回调地址设置 -->
        <property name="casService" value="${cas.service}login/"/>
    </bean>
    
    <!-- 缓存管理器 -->
        ………………
    <!-- 会话sessionDAO -->
        ………………
    <!-- 会话管理器sessionManager --> 
        ………………
    <!-- 会话验证调度器sessionValidationScheduler -->
        ………………
    <!-- 安全管理器securityManager -->
        ………………
    <!-- Shiro生命周期处理器lifecycleBeanPostProcessor-->
        ………………
        
    <!-- 退出 -->
    <bean name="logoutFilter" class="com.test.cas.client.filter.LogoutFilterWithShiro">
        <property name="casServerLogoutUrl" value="${cas.casServerLogoutUrl}"></property>
        <property name="redirectUrl" value="${cas.logoutRedirectUrl}"></property>
    </bean>
    
    <!-- 单点登出 -->
    <bean name="singleSignOutFilter"  
        class="com.test.cas.client.session.SingleSignOutFilter">  
        <property name="sessionMappingStorage" ref="sessionMappingStorage">
        </property>
    </bean>  
    
    <bean id="sessionMappingStorage" class="com.test.cas.client.session.ShiroBackedSessionMappingStorage">
           <property name="cacheManager" ref="shiroMemcacheManager" />
        <property name="sessionManager" ref="sessionManager" />
    </bean>

    以上内容众多省略,其实我想强调的是MyRealm。恩,我们要实现的认证、预授权操作都在此自定义的Realm中实现操作。MyRealm继承了CasRealm,CasRealm又继承了AuthorizingRealm。所以,MyRealm中具体写了授权实现逻辑,而认证则调用了CasRealm中的方法……


三、结语

    为什么不好好的写一篇博文教程?首先,这方面的东西内容非常多,不是一两篇能说的清楚的。其次,自己也是刚开始学习,并未完全掌握。最后,本人特别懒,目前只是想给自己留个学习笔记而已。