简介
Spring是一个开源框架,最早由Rod Johnson创建,Spring是为了解决企业级应用开发的复杂性而创建的,使用Spring可以让简单的JavaBean实现之前只有EJB才能完成的事情。但Spring不仅仅局限于服务器端开发,任何Java应用都能在简单性,可测试性和松耦合等方面从Spring获益。
Shiro是一个简单易用的Java安全框架,Shiro对JavaBean的兼容性使得Shiro适合Sping的XML配置机制,在web开发中常常在Spring MVC中集成Shiro,加固我们的web应用。
本文主要演示通过Idea创建Spring集成Shiro项目的过程,并对其中的原理进行分析。
创建应用
创建与配置项目
1、首先通过Idea创建一个maven项目。然后配置其Facts为Spring项目,Web 应用。
操作为:点击项目Structure。添加Spring Facets,Spring MVC Facets,Web 。
图1、配置项目结构的位置
图2、配置项目的Facets
2、添加项目的依赖
修改pom.xml,在文件中添加如下依赖:
<dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.2.3</version> </dependency> <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-api</artifactId> <version>1.7.24</version> </dependency> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-simple</artifactId> <version>1.7.5</version> </dependency> <dependency> <groupId>javax.servlet</groupId> <artifactId>servlet-api</artifactId> <version>2.5</version> </dependency> </dependencies>
3、 然后配置项目的Tomcat服务器。参考使用Idea管理Tomcat,在web应用中不要忘了添加依赖的Maven库。
图3、配置服务器
增加必要的文件
在Resources目录下新建Spring配置文件,名字分别为applicationContext.xml,Sping-mvc.xml。
1、Spring-mvc文件内容如下:
<?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:mvc="http://www.springframework.org/schema/mvc" xmlns:context="http://www.springframework.org/schema/context" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd"> <!--在classpath路径下扫描注解的Bean--> <context:component-scan base-package="me.aihe" /> <mvc:annotation-driven /> <mvc:default-servlet-handler /> <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver"> <property name="prefix" value="/WEB-INF/views/" /> <property name="suffix" value=".jsp" /> </bean></beans>
2、ApplicationContext.xml 文件内容如下:
<?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd"> <bean id="UserRealm" class="me.aihe.UserRealm" /> <!--里面可以有额外的属性--> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="UserRealm"></property> </bean> <!--必须要有这样一个实例,管理shiro中常见对象--> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" /> <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean"> <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/> <property name="arguments" ref="securityManager"/> </bean> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <property name="loginUrl" value="/login.jsp"/> <property name="successUrl" value="/success.jsp"/> <property name="unauthorizedUrl" value="/unauthorized.jsp"/> <property name="filterChainDefinitions"> <value> /login.jsp = anon /login = anon /logout = logout /** = authc </value> </property> </bean></beans>
3、web.xml内容
<?xml version="1.0" encoding="UTF-8"?><web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd" version="3.1"> <display-name>Spring Shiro Tutorial</display-name> <!-- Spring 配置 --> <context-param> <param-name>contextConfigLocation</param-name> <param-value>classpath:applicationContext.xml</param-value> </context-param> <listener> <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class> </listener> <!-- Spingg MVC 配置 --> <servlet> <servlet-name>springServlet</servlet-name> <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class> <init-param> <param-name>contextConfigLocation</param-name> <param-value>classpath:spring-mvc.xml</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet> <servlet-mapping> <servlet-name>springServlet</servlet-name> <url-pattern>/</url-pattern> </servlet-mapping> <!--Shiro配置--> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <param-name>targetFilterLifecycle</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping></web-app>
添加Realm类文件
Realm是shiro获取安全数据的地方,从这里获取用户信息。
package me.aihe;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.AuthenticationInfo;import org.apache.shiro.authc.AuthenticationToken;import org.apache.shiro.authc.SimpleAuthenticationInfo;import org.apache.shiro.authz.AuthorizationInfo;import org.apache.shiro.authz.SimpleAuthorizationInfo;import org.apache.shiro.realm.AuthorizingRealm;import org.apache.shiro.subject.PrincipalCollection;import org.apache.shiro.util.ByteSource;public class UserRealm extends AuthorizingRealm { protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { return null; } protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 从数据库获取认证信息 //一般token为用户输入的表单,此次我们演示简单的daemon,忽略。 String user = "aihe"; String password = "aihe"; //交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配,如果觉得人家的不好可以自定义实现 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( user, //用户名 password, //密码 null,//不加盐 getName() //realm name ); return authenticationInfo; } }
添加登录控制器
package me.aihe;import org.apache.shiro.SecurityUtils;import org.apache.shiro.authc.UsernamePasswordToken;import org.apache.shiro.mgt.SecurityManager;import org.apache.shiro.subject.Subject;import org.springframework.stereotype.Controller;import org.springframework.ui.Model;import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.RequestMethod;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpSession;/** * Created by aihe on 2017/6/15. */@Controllerpublic class LoginCtrl { @RequestMapping(value = "/login",method = RequestMethod.POST) public String login(HttpServletRequest req , HttpSession session){ String username = req.getParameter("username"); String password = req.getParameter("password"); Subject subject = SecurityUtils.getSubject(); try { subject.login(new UsernamePasswordToken(username, password)); if (subject.isAuthenticated()) { String principal = (String) subject.getPrincipal(); session.setAttribute("username", principal); return "redirect:/success"; } } catch (Exception e) { req.setAttribute("shiroLoginFailure", e.getClass().getName()); } return "redirect:login.jsp"; } @RequestMapping("/success") public String sucess(){ return "success"; } }
编写基本视图页面
1、Login.jsp
<%@ page contentType="text/html;charset=UTF-8" language="java" %><html><head> <title>登录</title></head><body><h1>登录界面</h1><form role="form" action="${pageContext.request.contextPath}/login" method="post"> <div class="form-group"> <input class="form-control" placeholder="账户名" name="username" autofocus> </div> <div class="form-group"> <input class="form-control" placeholder="密码" name="password" type="password"> </div> <!-- Change this to a button or input when using this as a form --> <input type="submit" value="登录" class="btn btn-primary form-control"></form></body></html>
2、登录成功界面
<%@ page contentType="text/html;charset=UTF-8" language="java" %><html><head> <title>成功</title></head><body><h1>内容页面</h1><a href="${pageContext.request.contextPath}/logout"> 退出当前用户 </a></body></html>
项目结构
最后整个项目的结构如图
图4、项目最终结构图
其它的页面,可以自己随便写。
测试
1、程序启动时,直接进入登录页面
图5、程序启动界面
2、登录失败,登录失败之后,程序会重定向到登录页面
图6、登录失败
3、访问其它页面 没有登录的时候,访问其它页面,也会重定向到login.jsp
图7、访问其它页面重定向
4、登录成功,登录成功的时候,进入到success.jsp页面。
登录成功页面
5、当我们登录成功之后,可以再次访问这个/success页面以及应用中其它的authc页面,而不会重定向到login.jsp页面
6、点击退出登录之后,我们仍需再次登录才能访问其它页面。
总结
shiro可以做的不仅仅如图演示,我已经简化了很多这次操作,但仍然占据了很大篇幅。感兴趣的朋友可以尝试扩充更多。如以下可以扩充的地方
Realm从数据库中获取信息
Shiro角色授权
额外的shiro配置等,缓存配置,多Realm配置
Shiro源码分析
Shiro过滤器分析
本篇主要演示了如何在Spring或Spring MVC中集成Shiro,进行请求拦截,认证操作,最后对程序进行了测试。