简介
Spring是一个开源框架,最早由Rod Johnson创建,Spring是为了解决企业级应用开发的复杂性而创建的,使用Spring可以让简单的JavaBean实现之前只有EJB才能完成的事情。但Spring不仅仅局限于服务器端开发,任何Java应用都能在简单性,可测试性和松耦合等方面从Spring获益。
Shiro是一个简单易用的Java安全框架,Shiro对JavaBean的兼容性使得Shiro适合Sping的XML配置机制,在web开发中常常在Spring MVC中集成Shiro,加固我们的web应用。
本文主要演示通过Idea创建Spring集成Shiro项目的过程,并对其中的原理进行分析。
创建应用
创建与配置项目
1、首先通过Idea创建一个maven项目。然后配置其Facts为Spring项目,Web 应用。
操作为:点击项目Structure。添加Spring Facets,Spring MVC Facets,Web 。
图1、配置项目结构的位置
图2、配置项目的Facets
2、添加项目的依赖
修改pom.xml,在文件中添加如下依赖:
<dependencies>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>1.2.3</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-api</artifactId>
<version>1.7.24</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-simple</artifactId>
<version>1.7.5</version>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>servlet-api</artifactId>
<version>2.5</version>
</dependency>
</dependencies>
3、 然后配置项目的Tomcat服务器。参考使用Idea管理Tomcat,在web应用中不要忘了添加依赖的Maven库。
图3、配置服务器
增加必要的文件
在Resources目录下新建Spring配置文件,名字分别为applicationContext.xml,Sping-mvc.xml。
1、Spring-mvc文件内容如下:
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:mvc="http://www.springframework.org/schema/mvc"
xmlns:context="http://www.springframework.org/schema/context"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd">
<!--在classpath路径下扫描注解的Bean-->
<context:component-scan base-package="me.aihe" />
<mvc:annotation-driven />
<mvc:default-servlet-handler />
<bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
<property name="prefix" value="/WEB-INF/views/" />
<property name="suffix" value=".jsp" />
</bean>
</beans>
2、ApplicationContext.xml 文件内容如下:
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
<bean id="UserRealm" class="me.aihe.UserRealm" />
<!--里面可以有额外的属性-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="UserRealm"></property>
</bean>
<!--必须要有这样一个实例,管理shiro中常见对象-->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
<property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
<property name="arguments" ref="securityManager"/>
</bean>
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/login.jsp"/>
<property name="successUrl" value="/success.jsp"/>
<property name="unauthorizedUrl" value="/unauthorized.jsp"/>
<property name="filterChainDefinitions">
<value>
/login.jsp = anon
/login = anon
/logout = logout
/** = authc
</value>
</property>
</bean>
</beans>
3、web.xml内容
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
version="3.1">
<display-name>Spring Shiro Tutorial</display-name>
<!-- Spring 配置 -->
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:applicationContext.xml</param-value>
</context-param>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<!-- Spingg MVC 配置 -->
<servlet>
<servlet-name>springServlet</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring-mvc.xml</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>springServlet</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping>
<!--Shiro配置-->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
添加Realm类文件
Realm是shiro获取安全数据的地方,从这里获取用户信息。
package me.aihe;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
public class UserRealm extends AuthorizingRealm {
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
return null;
}
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
// 从数据库获取认证信息
//一般token为用户输入的表单,此次我们演示简单的daemon,忽略。
String user = "aihe";
String password = "aihe";
//交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配,如果觉得人家的不好可以自定义实现
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
user, //用户名
password, //密码
null,//不加盐
getName() //realm name
);
return authenticationInfo;
}
}
添加登录控制器
package me.aihe;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
/**
* Created by aihe on 2017/6/15.
*/
@Controller
public class LoginCtrl {
@RequestMapping(value = "/login",method = RequestMethod.POST)
public String login(HttpServletRequest req , HttpSession session){
String username = req.getParameter("username");
String password = req.getParameter("password");
Subject subject = SecurityUtils.getSubject();
try {
subject.login(new UsernamePasswordToken(username, password));
if (subject.isAuthenticated()) {
String principal = (String) subject.getPrincipal();
session.setAttribute("username", principal);
return "redirect:/success";
}
} catch (Exception e) {
req.setAttribute("shiroLoginFailure", e.getClass().getName());
}
return "redirect:login.jsp";
}
@RequestMapping("/success")
public String sucess(){
return "success";
}
}
编写基本视图页面
1、Login.jsp
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>登录</title>
</head>
<body>
<h1>登录界面</h1>
<form role="form" action="${pageContext.request.contextPath}/login" method="post">
<div class="form-group">
<input class="form-control" placeholder="账户名" name="username" autofocus>
</div>
<div class="form-group">
<input class="form-control" placeholder="密码" name="password" type="password">
</div>
<!-- Change this to a button or input when using this as a form -->
<input type="submit" value="登录" class="btn btn-primary form-control">
</form>
</body>
</html>
2、登录成功界面
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>成功</title>
</head>
<body>
<h1>内容页面</h1>
<a href="${pageContext.request.contextPath}/logout"> 退出当前用户 </a>
</body>
</html>
项目结构
最后整个项目的结构如图
图4、项目最终结构图
其它的页面,可以自己随便写。
测试
1、程序启动时,直接进入登录页面
图5、程序启动界面
2、登录失败,登录失败之后,程序会重定向到登录页面
图6、登录失败
3、访问其它页面 没有登录的时候,访问其它页面,也会重定向到login.jsp
图7、访问其它页面重定向
4、登录成功,登录成功的时候,进入到success.jsp页面。
登录成功页面
5、当我们登录成功之后,可以再次访问这个/success页面以及应用中其它的authc页面,而不会重定向到login.jsp页面
6、点击退出登录之后,我们仍需再次登录才能访问其它页面。
总结
shiro可以做的不仅仅如图演示,我已经简化了很多这次操作,但仍然占据了很大篇幅。感兴趣的朋友可以尝试扩充更多。如以下可以扩充的地方
- Realm从数据库中获取信息
- Shiro角色授权
- 额外的shiro配置等,缓存配置,多Realm配置
- Shiro源码分析
- Shiro过滤器分析
本篇主要演示了如何在Spring或Spring MVC中集成Shiro,进行请求拦截,认证操作,最后对程序进行了测试。
网友评论
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/login.jsp"/>
<property name="successUrl" value="/success.jsp"/>
如果工程不是用的jsp,用的是别的模板引擎(freemarker,themyleaf),这里必须就必须是指向一个springmvc的路径了。shiro这里好像只能定向到jsp页面,不能定向到别的模板引擎的页面。