Spring集成Shiro

简介

Spring是一个开源框架，最早由Rod Johnson创建，Spring是为了解决企业级应用开发的复杂性而创建的，使用Spring可以让简单的JavaBean实现之前只有EJB才能完成的事情。但Spring不仅仅局限于服务器端开发，任何Java应用都能在简单性，可测试性和松耦合等方面从Spring获益。

Shiro是一个简单易用的Java安全框架，Shiro对JavaBean的兼容性使得Shiro适合Sping的XML配置机制，在web开发中常常在Spring MVC中集成Shiro，加固我们的web应用。

本文主要演示通过Idea创建Spring集成Shiro项目的过程，并对其中的原理进行分析。

创建应用

创建与配置项目

1、首先通过Idea创建一个maven项目。然后配置其Facts为Spring项目，Web 应用。
操作为：点击项目Structure。添加Spring Facets，Spring MVC Facets，Web 。

图1、配置项目结构的位置

图2、配置项目的Facets

2、添加项目的依赖
修改pom.xml，在文件中添加如下依赖：

    

        
            org.apache.shiro
            shiro-web
            1.2.3
        
        
        
            org.apache.shiro
            shiro-spring
            1.2.3
        

        
            org.apache.shiro
            shiro-core
            1.2.3
        

        
            org.slf4j
            slf4j-api
            1.7.24
        

        
            org.slf4j
            slf4j-simple
            1.7.5
        

        
            javax.servlet
            servlet-api
            2.5
        
    

3、 然后配置项目的Tomcat服务器。参考使用Idea管理Tomcat，在web应用中不要忘了添加依赖的Maven库。

图3、配置服务器

增加必要的文件

在Resources目录下新建Spring配置文件，名字分别为applicationContext.xml，Sping-mvc.xml。
1、Spring-mvc文件内容如下：

2、ApplicationContext.xml 文件内容如下：

    
    
    
        
    
    
    
    
        
        
    


    
        
        
        
        
        
            
                /login.jsp  = anon
                /login = anon
                /logout = logout
                /** = authc
            
        
    

3、web.xml内容

    Spring Shiro Tutorial

    
    
        contextConfigLocation
        classpath:applicationContext.xml
    
    
        org.springframework.web.context.ContextLoaderListener
    

    
    
        springServlet
        org.springframework.web.servlet.DispatcherServlet
        
            contextConfigLocation
            classpath:spring-mvc.xml
        
        1
    
    
        springServlet
        /
    

    
    
        shiroFilter
        org.springframework.web.filter.DelegatingFilterProxy
        
            targetFilterLifecycle
            true
        
    

    
        shiroFilter
        /*
    

添加Realm类文件

Realm是shiro获取安全数据的地方，从这里获取用户信息。

package me.aihe;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class UserRealm extends AuthorizingRealm {
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 从数据库获取认证信息
      //一般token为用户输入的表单，此次我们演示简单的daemon，忽略。

        String user = "aihe";
        String password = "aihe";

        //交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配，如果觉得人家的不好可以自定义实现
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                user, //用户名
                password, //密码
                null,//不加盐
                getName()  //realm name
        );

        return authenticationInfo;


    }
}

添加登录控制器

package me.aihe;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

/**
 * Created by aihe on 2017/6/15.
 */
@Controller
public class LoginCtrl {

    @RequestMapping(value = "/login",method = RequestMethod.POST)
    public String login(HttpServletRequest req , HttpSession session){

        String username = req.getParameter("username");
        String password = req.getParameter("password");
        Subject subject = SecurityUtils.getSubject();

        try {

            subject.login(new UsernamePasswordToken(username, password));
            if (subject.isAuthenticated()) {
                String principal = (String) subject.getPrincipal();

                session.setAttribute("username", principal);

                return "redirect:/success";
            }

        } catch (Exception e) {
            req.setAttribute("shiroLoginFailure", e.getClass().getName());
        }

        return "redirect:login.jsp";
    }

    @RequestMapping("/success")
    public String sucess(){
        return "success";
    }
}

编写基本视图页面

1、Login.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>


    


登录界面

        

            
        
        

            
        
        
        

2、登录成功界面

<%@ page contentType="text/html;charset=UTF-8" language="java" %>


    


内容页面
   退出当前用户 

项目结构

最后整个项目的结构如图

图4、项目最终结构图

其它的页面，可以自己随便写。

测试

1、程序启动时，直接进入登录页面

图5、程序启动界面

2、登录失败，登录失败之后，程序会重定向到登录页面

图6、登录失败

3、访问其它页面 没有登录的时候，访问其它页面，也会重定向到login.jsp

图7、访问其它页面重定向

4、登录成功，登录成功的时候，进入到success.jsp页面。

登录成功页面

5、当我们登录成功之后，可以再次访问这个/success页面以及应用中其它的authc页面，而不会重定向到login.jsp页面

6、点击退出登录之后，我们仍需再次登录才能访问其它页面。

总结

shiro可以做的不仅仅如图演示，我已经简化了很多这次操作，但仍然占据了很大篇幅。感兴趣的朋友可以尝试扩充更多。如以下可以扩充的地方

• Realm从数据库中获取信息
• Shiro角色授权
• 额外的shiro配置等，缓存配置，多Realm配置
• Shiro源码分析
• Shiro过滤器分析

本篇主要演示了如何在Spring或Spring MVC中集成Shiro，进行请求拦截，认证操作，最后对程序进行了测试。

参考：
shiro入门教程
Idea配置Tomcat服务器