引入jar
<!-- shiro核心jar -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.3.2</version>
</dependency>
<!-- shiro對web的支援 -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>1.3.2</version>
</dependency>
<!-- shiro與spring整合jar -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.3.2</version>
</dependency>
配置web.xml
<!-- shiro的filter -->
<!-- shiro過濾器,DelegatingFilterProxy通過代理模式将spring容器中的bean和filter關聯起來 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<!-- 設定true由servlet容器控制filter的生命周期 -->
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
<!-- 設定spring容器filter的bean id,如果不設定則找與filter-name一緻的bean-->
<init-param>
<param-name>targetBeanName</param-name>
<param-value>shiroFilter</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
配置spring-shiro.xml
注意:Shiro 內建 Spring 應該添加到父上下文中去,而不能添加到 Spring MVC 的子上下文中。
<!-- web.xml中shiro的filter對應的bean -->
<!-- Shiro 的Web過濾器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"
<!-- loginUrl認證送出位址,如果沒有認證将會請求此位址進行認證,請求此位址将由formAuthenticationFilter進行表單認證 -->
<property name="loginUrl" value="/login.action"
<!-- 認證成功統一跳轉到first.action,建議不配置,shiro認證成功自動到上一個請求路徑 -->
<property name="successUrl" value="/first.action"/>
<!-- 通過unauthorizedUrl指定沒有權限操作時跳轉頁面-->
<property name="unauthorizedUrl" value="/refuse.jsp"
<!-- 自定義filter配置 -->
<property name="filters">
<map>
<!-- 将自定義 的FormAuthenticationFilter注入shiroFilter中-->
<entry key="authc" value-ref="formAuthenticationFilter"
</map>
</property>
<!-- 過慮器鍊定義,從上向下順序執行,一般将/**放在最下邊 -->
<property name="filterChainDefinitions">
<value>
<!-- 對靜态資源設定匿名通路 -->
/images/** = anon
/js/** = anon
/styles/** = anon
<!-- 驗證碼,可匿名通路 -->
/validatecode.jsp = anon
<!-- 請求 logout.action位址,shiro去清除session-->
/logout.action = logout
<!--商品查詢需要商品查詢權限 ,取消url攔截配置,使用注解授權方式 -->
<!-- /items/queryItems.action = perms[item:query]
/items/editItems.action = perms[item:edit] -->
<!-- 配置記住我或認證通過可以通路的位址 -->
/index.jsp = user
/first.action = user
/welcome.jsp = user
<!-- /** = authc 所有url都必須認證通過才可以通路-->
/** = authc
<!-- /** = anon所有url都可以匿名通路 -->
</value>
</property>
</bean>
<!-- securityManager安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="customRealm"
<!-- 注入緩存管理器 -->
<property name="cacheManager" ref="cacheManager"/>
<!-- 注入session管理器 -->
<property name="sessionManager" ref="sessionManager"
<!-- 記住我 -->
<property name="rememberMeManager" ref="rememberMeManager"/>
</bean>
<!-- realm -->
<bean id="customRealm" class="cn.itcast.ssm.shiro.CustomRealm">
<!-- 将憑證比對器設定到realm中,realm按照憑證比對器的要求進行散列 -->
<property name="credentialsMatcher" ref="credentialsMatcher"/>
</bean>
<!-- 憑證比對器 -->
<bean id="credentialsMatcher"
class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<property name="hashAlgorithmName" value="md5"
<property name="hashIterations" value="1"
</bean>
<!-- 緩存管理器 -->
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile" value="classpath:shiro-ehcache.xml"/>
</bean>
<!-- 會話管理器 -->
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
<!-- session的失效時長,機關毫秒 -->
<property name="globalSessionTimeout" value="600000"/>
<!-- 删除失效的session -->
<property name="deleteInvalidSessions" value="true"/>
</bean>
<!-- 自定義form認證過慮器 -->
<!-- 基于Form表單的身份驗證過濾器,不配置将也會注冊此過慮器,表單中的使用者賬号、密碼及loginurl将采用預設值,建議配置 -->
<bean id="formAuthenticationFilter"
class="cn.itcast.ssm.shiro.CustomFormAuthenticationFilter ">
<!-- 表單中賬号的input名稱 -->
<property name="usernameParam" value="username"
<!-- 表單中密碼的input名稱 -->
<property name="passwordParam" value="password"
<!-- 記住我input的名稱 -->
<property name="rememberMeParam" value="rememberMe"/>
</bean>
<!-- rememberMeManager管理器,寫cookie,取出cookie生成使用者資訊 -->
<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
<property name="cookie" ref="rememberMeCookie"
</bean>
<!-- 記住我cookie -->
<bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
<!-- rememberMe是cookie的名字 -->
<constructor-arg value="rememberMe"
<!-- 記住我cookie生效時間30天 -->
<property name="maxAge" value="2592000"
</bean>
配置springmvc.xml
<!-- 開啟aop,對類代理 -->
<aop:config proxy-target-class="true"></aop:config>
<!-- 開啟shiro注解支援 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"
</bean>
對靜态資源設定逆名通路
<!-- 對靜态資源設定匿名通路 -->
登陸原理
使用FormAuthenticationFilter過慮器實作 ,原理如下:
将使用者沒有認證時,請求loginurl進行認證,使用者身份和使用者密碼送出資料到loginurl
FormAuthenticationFilter攔截住取出request中的username和password(兩個參數名稱是可以配置的)
FormAuthenticationFilter調用realm傳入一個token(username和password)
realm認證時根據username查詢使用者資訊(在Activeuser中存儲,包括 userid、usercode、username、menus)。
如果查詢不到,realm傳回null,FormAuthenticationFilter向request域中填充一個參數(記錄了異常資訊)
登陸頁面
由于FormAuthenticationFilter的使用者身份和密碼的input的預設值(username和password),修改頁面的賬号和密碼 的input的名稱為username和password
也可以配置:
<!-- 自定義form認證過慮器 -->
<!-- 基于Form表單的身份驗證過濾器,不配置将也會注冊此過慮器,表單中的使用者賬号、密碼及loginurl将采用預設值,建議配置 -->
<bean id="formAuthenticationFilter"
class="cn.itcast.ssm.shiro.CustomFormAuthenticationFilter ">
<!-- 表單中賬号的input名稱 -->
<property name="usernameParam" value="username"
<!-- 表單中密碼的input名稱 -->
<property name="passwordParam" value="password"
<!-- 記住我input的名稱 -->
<property name="rememberMeParam" value="rememberMe"/>
</bean>
登入代碼實作
//登陸送出位址,和spring-shiro.xml中配置的loginurl一緻
@RequestMapping("login")
public String login(HttpServletRequest request)throws Exception{
//如果登陸失敗從request中擷取認證異常資訊,shiroLoginFailure就是shiro異常類的全限定名
String exceptionClassName = (String)
request.getAttribute("shiroLoginFailure");
//根據shiro傳回的異常類路徑判斷,抛出指定異常資訊
if(exceptionClassName!=null){
if (UnknownAccountException.class.getName()
.equals(exceptionClassName)) {
//最終會抛給異常處理器
throw new CustomException("賬号不存在");
} else if (IncorrectCredentialsException.class.getName()
.equals(exceptionClassName)) {
throw new CustomException("使用者名/密碼錯誤");
} else if("randomCodeError".equals(exceptionClassName)){
throw new CustomException("驗證碼錯誤 ");
}else {
throw new Exception();//最終在異常處理器生成未知錯誤
}
}
//此方法不處理登陸成功(認證成功),shiro認證成功會自動跳轉到上一個請求路徑
//登陸失敗還到login頁面
return "login";
}
退出使用LogoutFilter
不用我們去實作退出,隻要去通路一個退出的url(該 url是可以不存在),由LogoutFilter攔截住,清除session。
在spring-shiro.xml配置LogoutFilter:
<!-- 請求 logout.action位址,shiro去清除session-->
問題總結
- 在spring-shiro.xml中配置過濾器連結,需要将全部的url和權限對應起來進行配置,比較發麻不友善使用。
- 每次授權都需要調用realm查詢資料庫,對于系統性能有很大影響,可以通過shiro緩存來解決。
shiro的過慮器