6.Shiro入门实践笔记

轻量级的权限框架

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。
三个核心组件：Subject, SecurityManager 和 Realms.
Subject：即“当前操作用户”。但是，在Shiro中，Subject这一概念并不仅仅指人，也可以是第三方进程、

后台帐户（Daemon Account）或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数
目的和用途，你可以把它认为是Shiro的“用户”概念。
　　Subject代表了当前用户的安全操作，SecurityManager则管理所有用户的安全操作。
　　SecurityManager：它是Shiro框架的核心，典型的Facade模式，Shiro通过SecurityManager来管理内
部组件实例，并通过它来提供安全管理的各种服务。
　　Realm： Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说，当对用户执行认证
（登录）和授权（访问控制）验证时，Shiro会从应用配置的Realm中查找用户及其权限信息。
　　从这个意义上讲，Realm实质上是一个安全相关的DAO：它封装了数据源的连接细节，并在需要时将相
关数据提供给Shiro。当配置Shiro时，你必须至少指定一个Realm，用于认证和（或）授权。配置多个Realm
是可以的，但是至少需要一个。
　　Shiro内置了可以连接大量安全数据源（又名目录）的Realm，如LDAP、关系数据库（JDBC）、类似INI
的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求，你还可以插入代表自定义数据源的自己的Realm实现。

一、ApacheShiro运行流程
Subject -> SecurityManager -> Realm

二、配置ShiroFilter实现URL级别权限控制
准备工作：导入坐标  shiro-all
1、配置web.xml  shiroFilter
    
2、配置applicationContext.xml
    1）配置Shiro核心Filter 
       注意点：shiro URL控制过滤器规则filterChainDefinitions 键值对 键：访问资源路径 值：过滤器的缩写
    2）配置安全管理器securityManager  配置Realm
    3）配置Shiro生命周期处理器lifecycleBeanPostProcessor
        
            
            
            
            
            
            
            
            
            
            
                
                    /login.html* = anon
                    /css/**/ = anon
                    /js/**/ = anon
                    /images/**/ = anon
                    /validatecode.jsp* = anon
                    /services/**/ = anon
                    /user_login.action* = anon
                    /**/ = authc
                
            
        
        
        
        
        1）shiro封装cacheManager 
        
             
        
        注意，这里的ehCacheManager是Spring管理的ehcacheManager，参考下面的配置：
        
            
        

    2）securityManager封装的cacheManager，管理Realm
        
            
            
        
    
    3）配置Realm，在Realm上指定缓存区
        
            
            
        
    
    4）Shiro生命周期处理器  
        
    
    5）开启shiro注解模式
        
            
        
        
             
        
        
        
        @Action(value = "user_login", results = {
        @Result(name = "login", type = "redirect", location = "login.html"),
        @Result(name = "success", type = "redirect", location = "index.html") })
        public String login() {
            // 基于shiro实现登录
            Subject subject = SecurityUtils.getSubject();
            // 用户名和密码信息
            AuthenticationToken token = new UsernamePasswordToken(model.getUsername(), model.getPassword());
            subject.login(token);
            return SUCCESS;
        }
        
        @Action(value = "user_logout", results = { @Result(name = "success", type = "redirect", location = "login.html") })
        public String logout() {
            // 基于shiro完成退出
            Subject subject = SecurityUtils.getSubject();
            subject.logout();
            return SUCCESS;
        }