Spring集成Shiro

  1. 云栖社区>
  2. 博客>
  3. 正文

Spring集成Shiro

艾贺 2017-06-15 20:44:00 浏览360
展开阅读全文

简介

Spring是一个开源框架,最早由Rod Johnson创建,Spring是为了解决企业级应用开发的复杂性而创建的,使用Spring可以让简单的JavaBean实现之前只有EJB才能完成的事情。但Spring不仅仅局限于服务器端开发,任何Java应用都能在简单性,可测试性和松耦合等方面从Spring获益。

Shiro是一个简单易用的Java安全框架,Shiro对JavaBean的兼容性使得Shiro适合Sping的XML配置机制,在web开发中常常在Spring MVC中集成Shiro,加固我们的web应用。

本文主要演示通过Idea创建Spring集成Shiro项目的过程,并对其中的原理进行分析。

创建应用

创建与配置项目

1、首先通过Idea创建一个maven项目。然后配置其Facts为Spring项目,Web 应用。
操作为:点击项目Structure。添加Spring Facets,Spring MVC Facets,Web 。

img_47fb153298346530ecaf40827d5c93ff.png
图1、配置项目结构的位置
img_dbde32492b6574bce932054acaf469a6.png
图2、配置项目的Facets

2、添加项目的依赖
修改pom.xml,在文件中添加如下依赖:

    <dependencies>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.2.3</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.2.3</version>
        </dependency>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.3</version>
        </dependency>

        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-api</artifactId>
            <version>1.7.24</version>
        </dependency>

        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-simple</artifactId>
            <version>1.7.5</version>
        </dependency>

        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>servlet-api</artifactId>
            <version>2.5</version>
        </dependency>
    </dependencies>

3、 然后配置项目的Tomcat服务器。参考使用Idea管理Tomcat,在web应用中不要忘了添加依赖的Maven库。

img_81561e0364b5bce7e4ae304806d726bf.png
图3、配置服务器

增加必要的文件

在Resources目录下新建Spring配置文件,名字分别为applicationContext.xml,Sping-mvc.xml。
1、Spring-mvc文件内容如下:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:context="http://www.springframework.org/schema/context"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd">

    <!--在classpath路径下扫描注解的Bean-->
    <context:component-scan base-package="me.aihe" />
    <mvc:annotation-driven />
    <mvc:default-servlet-handler />

    <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
        <property name="prefix" value="/WEB-INF/views/" />
        <property name="suffix" value=".jsp" />
    </bean>

</beans>

2、ApplicationContext.xml 文件内容如下:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">

    <bean id="UserRealm" class="me.aihe.UserRealm" />
    <!--里面可以有额外的属性-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="UserRealm"></property>
    </bean>
    <!--必须要有这样一个实例,管理shiro中常见对象-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
    <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
        <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
        <property name="arguments" ref="securityManager"/>
    </bean>


    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login.jsp"/>
        <property name="successUrl" value="/success.jsp"/>
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        <property name="filterChainDefinitions">
            <value>
                /login.jsp  = anon
                /login = anon
                /logout = logout
                /** = authc
            </value>
        </property>
    </bean>
</beans>

3、web.xml内容

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
         version="3.1">

    <display-name>Spring Shiro Tutorial</display-name>

    <!-- Spring 配置 -->
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:applicationContext.xml</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>

    <!-- Spingg MVC 配置 -->
    <servlet>
        <servlet-name>springServlet</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <init-param>
            <param-name>contextConfigLocation</param-name>
            <param-value>classpath:spring-mvc.xml</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>springServlet</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>

    <!--Shiro配置-->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>

    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

</web-app>

添加Realm类文件

Realm是shiro获取安全数据的地方,从这里获取用户信息。

package me.aihe;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class UserRealm extends AuthorizingRealm {
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 从数据库获取认证信息
      //一般token为用户输入的表单,此次我们演示简单的daemon,忽略。

        String user = "aihe";
        String password = "aihe";

        //交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配,如果觉得人家的不好可以自定义实现
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                user, //用户名
                password, //密码
                null,//不加盐
                getName()  //realm name
        );

        return authenticationInfo;


    }
}

添加登录控制器

package me.aihe;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

/**
 * Created by aihe on 2017/6/15.
 */
@Controller
public class LoginCtrl {

    @RequestMapping(value = "/login",method = RequestMethod.POST)
    public String login(HttpServletRequest req , HttpSession session){

        String username = req.getParameter("username");
        String password = req.getParameter("password");
        Subject subject = SecurityUtils.getSubject();

        try {

            subject.login(new UsernamePasswordToken(username, password));
            if (subject.isAuthenticated()) {
                String principal = (String) subject.getPrincipal();

                session.setAttribute("username", principal);

                return "redirect:/success";
            }

        } catch (Exception e) {
            req.setAttribute("shiroLoginFailure", e.getClass().getName());
        }

        return "redirect:login.jsp";
    }

    @RequestMapping("/success")
    public String sucess(){
        return "success";
    }
}

编写基本视图页面

1、Login.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>登录</title>
</head>
<body>
<h1>登录界面</h1>
<form role="form" action="${pageContext.request.contextPath}/login" method="post">
        <div class="form-group">
            <input class="form-control" placeholder="账户名" name="username" autofocus>
        </div>
        <div class="form-group">
            <input class="form-control" placeholder="密码" name="password" type="password">
        </div>
        <!-- Change this to a button or input when using this as a form -->
        <input type="submit" value="登录" class="btn btn-primary form-control">
</form>

</body>
</html>

2、登录成功界面

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>成功</title>
</head>
<body>
<h1>内容页面</h1>
<a href="${pageContext.request.contextPath}/logout">   退出当前用户 </a>
</body>
</html>

项目结构

最后整个项目的结构如图

img_5c7f3753f85643f616819491c25e9496.png
图4、项目最终结构图

其它的页面,可以自己随便写。

测试

1、程序启动时,直接进入登录页面

img_e8701965384a8464de326b767db8dc97.png
图5、程序启动界面

2、登录失败,登录失败之后,程序会重定向到登录页面


img_6533db1de80bf90cadad9f7dad2a3dfb.png
图6、登录失败

3、访问其它页面 没有登录的时候,访问其它页面,也会重定向到login.jsp

img_bb8b1348b9c0e0c4d39603251f907fec.png
图7、访问其它页面重定向

4、登录成功,登录成功的时候,进入到success.jsp页面。

img_9bf40f04c0aef0d1466ae9f06760db26.png
登录成功页面

5、当我们登录成功之后,可以再次访问这个/success页面以及应用中其它的authc页面,而不会重定向到login.jsp页面

6、点击退出登录之后,我们仍需再次登录才能访问其它页面。

总结

shiro可以做的不仅仅如图演示,我已经简化了很多这次操作,但仍然占据了很大篇幅。感兴趣的朋友可以尝试扩充更多。如以下可以扩充的地方

  • Realm从数据库中获取信息
  • Shiro角色授权
  • 额外的shiro配置等,缓存配置,多Realm配置
  • Shiro源码分析
  • Shiro过滤器分析

本篇主要演示了如何在Spring或Spring MVC中集成Shiro,进行请求拦截,认证操作,最后对程序进行了测试。

参考:
shiro入门教程
Idea配置Tomcat服务器

网友评论

登录后评论
0/500
评论
艾贺
+ 关注