shiroFilter配置详解

Shiros是我们开发中常用的用来实现权限控制的一种工具包，它主要有认证、授权、加密、会话管理、与Web集成、缓存等功能。

Shiro  权限配置一般使用的有两种，一种是采用注解的方式，在我们的  Controller  方法上，或者Action 方法上写入一些权限判断注解，具体怎么使用，我不做介绍，我主要推荐使用配置的方式。这也是我们现在要讲到的配置方式加载系统基础权限控制，采用对Url 进行控制。

一、Shiro配置文件配置方式

1. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
2. <property name="securityManager" ref="securityManager" />
3. <property name="loginUrl" value="/u/login.shtml" />
4. <property name="successUrl" value="/" />
5. <property name="unauthorizedUrl" value="/?login" />
7. <!-- 基本系统级别权限配置-->
8. <property name="filterChainDefinitions" >
9. <value>
10. /page/login.jsp = anon <!-- 登录相关不拦截 -->
11. /page/register/* = anon
12. /page/index.jsp = authc
13. /page/addItem* = authc,roles[数据管理员]
14. /page/file* = authc,roleOR[普通用户,数据管理员]
15. /page/listItems* = authc,roleOR[数据管理员,普通用户]
16. /page/showItem* = authc,roleOR[数据管理员,普通用户]
17. /page/updateItem*=authc,roles[数据管理员]
18. /** = anon <!-- 其他不拦截 -->
19. </value>
20. </property>
21. <!-- 自定义shiro 的 Filter -->
22. <property name="filters">
23. <util:map>
24. <entry key="login" value-ref="login"></entry>
25. </util:map>
26. </property>
27. </bean>

主要看上面的 filterChainDefinitions 部分，这里是配置我们的的url 和对应的Filter 关系配置。

重要：这里的加载顺序是自上而下，所以看到我们/** 写到最后，因为匹配不中最后都让这个匹配中。后面我们会讲到采用配置文件加载怎么有序加载。

二、Shiro filterChainDefinitions 中配置讲解

栗子1，带参数配置方式：

1. /admin/ask/editor.shtml = role[2008,2009]

上面配置的意义：就是在请求/admin/ask/editor.shtml 链接时候进入别名为 role 的Shiro Filter ，并且参数为数组[2008,2009] ，这里参数的意思是角色编号。具体这个参数怎么取，最下面的 5.2 点看代码。

栗子2，简单配置方式：

1. /admin/ask/editor.shtml = role

上面的配置意义： 就是在请求/admin/ask/editor.shtml 链接时候进入别名为 role 的Shiro Filter。

栗子3，多个Shiro Filter配置方式：

1. /admin/ask/editor.shtml = login,role[2008,2009]

上面配置意义： 就是在请求/admin/ask/editor.shtml 链接时候先进入 别名为 login 的Filter ，并且无参数。别名为login 的Filter 如果没通过，就不会走别名为role 的Filter ，如果别名为login 的Filter返回true ，则进入别名为role 的Filter 。也就是从前到后。

这样的场景是很正常的业务场景，就是先判断登录，再判断角色权限。

栗子4，Shiro Filter的执行顺序：

记住这句话， “ 自上而下，从左到右” 即可。如下代码：

1. /admin/ask/editor.shtml = login,role[2008,2009]
2. /admin/ask/** = login,role[007]

如果来了一个链接为“/admin/ask/update.shtml ” ，先对比 /admin/ask/editor.shtml 是否匹配，如果匹配不中再走下面的通配/admin/ask/**  匹配中了后，再执行 login Filter ，然后通过login Filter 后再执行 role[007] Filter 。

所以记住一点，权限为金字塔状，先精确匹配或是权限稍小在前面，权限大（模糊匹配）的在后面。具体可以看栗子5.


栗子5，通配（模糊匹配）：

1. /admin/ask/** = login,role[007]
2. /admin/** = login,role[008]
3. /** = login

上面是一个典型的金字塔式匹配方式，/** 是匹配所有，也就是如果上面的/admin/ask/**  和/admin/** 都匹配不中的时候，才走 /** = login 。如果反过来配置，如下：

1. /** = login
2. /admin/** = login,role[008]
3. /admin/ask/** = login,role[007]

这样配置的话，全部都走 /** = login了，下面的2个不可能会走。再看下面：

1. /admin/** = login,role[008]
2. /admin/ask/** = login,role[007]
3. /** = login

这样配置的话，那就永远都不会走 /admin/ask/**，因为都给 /admin/** 拦截了。

三、Shiro 的默认Filter 对应的类

Filter名称	类路径（点击可以进入官方介绍，强烈建议看看 ）
anon	org.apache.shiro.web.filter.authc.AnonymousFilter
authc	org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic	org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
logout	org.apache.shiro.web.filter.authc.LogoutFilter
noSessionCreation	org.apache.shiro.web.filter.session.NoSessionCreationFilter
perms	org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port	org.apache.shiro.web.filter.authz.PortFilter
rest	org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles	org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl	org.apache.shiro.web.filter.authz.SslFilter
user	org.apache.shiro.web.filter.authc.UserFilter

四、自定义Shiro Filter 配置

定义Shiro Filter bean ，在  Spring  相关配置文件中配置。

1. <!-- 自定义Filter bean-->
2. <bean id="login" class="com.sojson.core.shiro.filter.LoginFilter">
3. <property name="customShiroSessionDAO" ref="customShiroSessionDAO"/>
4. </bean>
5. <bean id="role" class="com.sojson.core.shiro.filter.RoleFilter"/>
6. <bean id="permission" class="com.sojson.core.shiro.filter.PermissionFilter"/>
7. <bean id="simple" class="com.sojson.core.shiro.filter.SimpleAuthFilter"/>

定义Shiro Filter Bean  对应关系。

1. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
2.     <!-- 省略配置，参考上面的代码 -->
3. <!-- 自定义shiro 的 Filter -->
4. <property name="filters">
5. <util:map>
6. <!-- key 定义 Filter的别名，而 value-ref 对应上面bean的id -->
7. <entry key="login" value-ref="login"></entry>
8. <entry key="role" value-ref="role"></entry>
9. <entry key="simple" value-ref="simple"></entry>
10. <entry key="permission" value-ref="permission"></entry>
11. <entry key="kickout" value-ref="kickoutSessionFilter"></entry>
12. </util:map>
13. </property>
14. </bean>

这样就配置完成了。

五、自定义Shiro Filter

上面配置了Shiro Filter ，那下面举个栗子，然后以判断角色（role） 的Filter 的代码。

5.1 摘取配置文件中对Filter的配置：

1. /admin/ask/editor.shtml = role[2008,2009]

解释一下上面代码的意思，就是在请求/admin/ask/editor.shtml 链接时候进入别名为 role 的Shiro Filter ，并且参数为数组[2008,2009] ，这里参数的意思是角色编号。


5.2 Java代码，RoleFilter的定义：

1. package com.sojson.core.shiro.filter;
3. import javax.servlet.ServletRequest;
4. import javax.servlet.ServletResponse;
5. import javax.servlet.http.HttpServletResponse;
7. import org.apache.shiro.subject.Subject;
8. import org.apache.shiro.util.StringUtils;
9. import org.apache.shiro.web.filter.AccessControlFilter;
10. import org.apache.shiro.web.util.WebUtils;
11. /**
12. *
13. * 开发公司：SOJSON在线工具 <p>
14. * 版权所有：© www.sojson.com<p>
15. * 博客地址：http://www.sojson.com/blog/ <p>
16. * <p>
17. *
18. * 角色判断校验
19. *
20. * <p>
21. *
22. * 区分　责任人　日期　　　　说明<br/>
23. * 创建　周柏成　2016年6月2日 　<br/>
24. *
25. * @author zhou-baicheng
26. * @email so@sojson.com
27. * @version 1.0,2016年6月2日 <br/>
28. *
29. */
30. public class RoleFilter extends AccessControlFilter {
32. static final String LOGIN_URL = "http://www.sojson.com/user/open/toLogin.shtml";
33. static final String UNAUTHORIZED_URL = "http://www.sojson.com/unauthorized.html";
35. @Override
36. protected boolean isAccessAllowed(ServletRequest request,
37. ServletResponse response, Object mappedValue) throws Exception {
38. //取到参数[2008,2009] ，强制转换判断。
39. String[] arra = (String[])mappedValue;
41. Subject subject = getSubject(request, response);
42. for (String role : arra) {
43. //判断是否有拥有当前权限，有则返回true
44. if(subject.hasRole("role:" + role)){
45. return true;
46. }
47. }
48. return false;
49. }
51. @Override
52. protected boolean onAccessDenied(ServletRequest request,
53. ServletResponse response) throws Exception {
55. Subject subject = getSubject(request, response);
56. if (subject.getPrincipal() == null) {//表示没有登录，重定向到登录页面
57. saveRequest(request);
58. WebUtils.issueRedirect(request, response, LOGIN_URL);
59. } else {
60. if (StringUtils.hasText(UNAUTHORIZED_URL)) {//如果有未授权页面跳转过去
61. WebUtils.issueRedirect(request, response, UNAUTHORIZED_URL);
62. } else {//否则返回401未授权状态码
63. WebUtils.toHttp(response).sendError(HttpServletResponse.SC_UNAUTHORIZED);
64. }
65. }
66. return false;
67. }
69. }

这样说的很清楚了吧。再有问题加群交流。

原文地址：https://www.sojson.com/blog/199.html