SpringMVC整合Shiro

第一部分：SpringMVC框架的配置

配置步骤说明

　　（1）导入依赖的Jar包

　　（2）构建一个请求的界面

　　（3）创建业务控制器

　　（4）配置 web.xml 的核心控制器

　　（5）创建配置文件

　　（6）构建一个返回界面

第一步：导入依赖的Jar包

　　

第二步：构建一个请求界面

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
  <a href="${pageContext.request.contextPath }/admin/addAdmin">addAdmin</a>
</body>
</html>

第三步：创建业务控制器

package cn.mgy.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.context.annotation.SessionScope;

@Controller
@SessionScope
@RequestMapping(value="admin")
public class AdminController {
    
    @RequestMapping(value="/addAdmin")
    public String addAdmin(){
        System.out.println("=增加管理员=");
        return "/index.jsp";
    }

}

第四步：配置 web.xml 的核心控制器

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://xmlns.jcp.org/xml/ns/javaee"
    xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
    id="WebApp_ID" version="3.1">
    <display-name>shiro-demo-08-springmvc</display-name>

    <!-- 配置核心控制器。拦截器所有的请求 -->
    <servlet>
        <servlet-name>dispatcherServlet</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <!-- 指定配置文件的路径 -->
        <init-param>
          <param-name>contextConfigLocation</param-name>
          <param-value>classpath:spring-*.xml</param-value>
        </init-param>
        <!-- 配置启动的时候就创建对象 -->
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>dispatcherServlet</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>

    <welcome-file-list>
        <welcome-file>index.jsp</welcome-file>
    </welcome-file-list>
</web-app>

第五步：创建配置文件

---- SpringMVC 配置文件， spring-mvc.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:mvc="http://www.springframework.org/schema/mvc"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
        http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc-4.3.xsd">

   <!-- 启动默认注解支持 -->
   <mvc:annotation-driven />
   <!-- 放开静态资源访问 -->
   <mvc:default-servlet-handler/>

</beans>

---- Spring 容器配置文件，spring-context.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:context="http://www.springframework.org/schema/context"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
        http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-4.3.xsd">

  <!-- 扫描组件配置 -->
  <context:component-scan base-package="cn.mgy" />
</beans>

第二部分：Shiro 框架的配置

配置步骤说明：

　　（1）导入依赖的 Jar 包

　　（2）创建 Shiro.ini 配置文件

　　（3）创建一个入口测试类

　　（4）创建一个 Realm

第一步：导入依赖的 Jar 包

　　

第二步：创建 Shiro.ini 配置文件

[users]
  admin = 123456,adminRole
[roles]
  adminRole = admin:list,admin:add,admin:delete,admin:edit 

第三步：创建一个入口测试类

package cn.mgy.shiro.test;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;

public class ShiroTest {
    
    
    public static void main(String[] args) {
        //第一步：加载ini配置文件，获得SecurityManagerFactory对象
        IniSecurityManagerFactory factory=new IniSecurityManagerFactory("classpath:shiro.ini");
        //第二步：获得SecurityManager对象
        SecurityManager securityManager = factory.createInstance();
        //第三步：获得Subject身份对象
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        
        //第四步：构建一个身份信息对象（Token）
        UsernamePasswordToken token=new UsernamePasswordToken("admin","123456");
    
        //第五步：login操作。校验权限
        Subject resultSubject = securityManager.login(subject, token);
        
        //第六步：校验是否成功
        boolean  isAuth= resultSubject.isAuthenticated();
        System.out.println(isAuth);
        
    }

}

第四步：创建一个 Realm

---- 修改配置文件 shiro.ini

#[users]
#  admin = 123456,adminRole
#[roles]
#  adminRole = admin:list,admin:add,admin:delete,admin:edit   

[main]
  myRealm = cn.mgy.realm.MyRealm
  securityManager.realms=$myRealm

---- MyRealm 类

package cn.mgy.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class MyRealm extends AuthorizingRealm {

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("=权限校验=");
        try {
            if (token.getPrincipal().equals("admin")) {
                SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(token.getPrincipal(), "123456",
                        this.getName());
                return info;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }

        return null;
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        return null;
    }

}

第五步：测试结果

---- 运行 ShiroTest 测试类，结果为：

 　　

第三部分：SpringMVC 整合 Shiro (基于 XML)

1、说明

　　（1）权限控制是对谁的控制？ 就是对 url 访问权限的控制

　　（2）Filter 的优先级别高于 Servlet。而 Shiro 是使用 Filter 拦截的，SpringMVC 是使用 Servlet 拦截请求的。那么如何让 Shiro 交给 SpringMVC 代理呢？

　　答：Spring 提供了一个 Filter 代理类，可以让 Spring 容器代理 Filter 的操作，该 Filter 代理是 DelegatingFilterProxy。实现了在过滤里面可以调用 Spring 容器的对象，把原来配置在 web.xml 的过滤器配置在 Spring 配置文件里面。

2、Shiro 提供的过滤器说明

　　在 org.apache.shiro.web.filter.mgt.DefaultFilter 枚举里面定义可以使用的过滤器以及对应的枚举值

　　anon：匿名过滤器，该过滤器的作用就是用于配置不需要授权就可以直接访问的路径

　　authc：校验过滤器，该过滤器的作用就是用于必须经过校验才可以访问的路径（url）

　　logout：注销过滤器，该过滤器的作用就是用于注销退出登录

　　perms：权限验证过滤器，用于权限验证的

3、配置步骤说明

　　（1）在 web.xml 配置过滤器代理类 DelegatingFilterProxy，让 Filter 交给 Spring 容器代理

　　（2）创建一个 spring-shiro.xml 配置文件

第一步：配置 web.xml

<filter>
  <filter-name>securityFilterBean</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  <!-- 将生命周期交给Spring代理 -->
  <init-param>
     <param-name>targetFilterLifecycle</param-name>
     <param-value>true</param-value>
   </init-param>
</filter>
<filter-mapping>
    <filter-name>securityFilterBean</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

第二步：创建一个 spring-shiro.xml 配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">

    <!-- 配置拦截器调用的对象 注意事项：bean的名字必须要和web.xml的DelegatingFilterProxy的过滤的name属性一一对应。 -->
    <bean name="securityFilterBean" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 指定跳转到校验不成功的路径 ，不指定会跳转上一次访问菜单页面 -->
        <!-- <property name="unauthorizedUrl" value="/undo"></property> -->
        <!-- 指定依赖的securityManager对象 -->
        <property name="securityManager" ref="securityManager"></property>
        <!-- 指定 登录请求的路径 -->
        <property name="loginUrl" value="/admin/loginAdmin"></property>
        <!-- 登录成功跳转的路径 -->
        <property name="successUrl" value="/index"></property>
        <!-- 用于指定执行的过滤器链 ，配置多个过滤器连接对的url -->
        <property name="filterChainDefinitions">
            <value>
                <!-- 指定url与过滤器的关系 -->
                <!-- 所有的路径都要拦截 -->
                /admin/toLogin = anon
                /** = authc
            </value>
        </property>

    </bean>

    <!-- 2.指定securityManager的对象 -->
    <bean name="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

        <property name="realm" ref="myRealm" />

    </bean>

    <!-- 3.创建一个Realm对象 -->
    <bean name="myRealm" class="cn.mgy.realm.MyRealm"></bean>
    
    <!-- 4.Spring容器对shiro生命周期的管理 ,基于注解权限拦截需要配置-->
    <bean name="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>

</beans>

第三部分：SpringMVC 整合 Shiro(基于注解)

第一步：配置 web.xml

<filter>
      <filter-name>securityFilterBean</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
      <!-- 将生命周期交给Spring代理 -->
      <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
      </init-param>
    </filter>
    <filter-mapping>
       <filter-name>securityFilterBean</filter-name>
      <url-pattern>/*</url-pattern>
    </filter-mapping>

第二步：配置 Shiro 配置类

package cn.mgy.config;

import java.util.LinkedHashMap;
import java.util.Map;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import cn.mgy.realm.ShiroRealm;

@Configuration
public class ShiroConfig {
    
    //1.配置securityFilterBean对象
    @Bean(name="securityFilter")
    public Object getShiroFilterFactory() {
        ShiroFilterFactoryBean factory=new ShiroFilterFactoryBean();
        
        //设置属性
        factory.setLoginUrl("/login");
        factory.setSuccessUrl("/index");
        factory.setSecurityManager(this.getSecurityManager());
        //基于配置的权限过滤器，顺序执行，所以使用LinkedHashMap
        Map<String, String> filterChainDefinition=new LinkedHashMap<>();
        filterChainDefinition.put("/**", "authc");
        factory.setFilterChainDefinitionMap(filterChainDefinition);
    
        Object securityFilter=null;
        try {
            securityFilter = factory.getObject();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return securityFilter;
    }
    
    //2.获得securityManager对象
    @Bean(name="securityManager")
    public DefaultWebSecurityManager getSecurityManager() {
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        //设置需要的realm对象
        securityManager.setRealm(this.getRealm());
        return securityManager;
    }
    
    //3.配置realm对象
    @Bean
    public ShiroRealm getRealm(){
        ShiroRealm realm=new ShiroRealm();
        return realm;
    }

}