Spring 應用中集成 Apache Shiro

這一篇文章涵蓋了將 Shiro 集成到基于 Spring 的應用程序的方法。

Shiro 的 Java Bean兼容性使它非常適合通過 Spring XML 或其他基于 Spring 的配置機制進行配置。Shiro 的應用程序需要一個應用程序單例安全管理器 ( SecuriyManager) 實例。注意,這并不一定是靜態的單例,但是應用程序應該只使用一個實例,不管它是否是靜態的單例。

1.獨立的應用程序

以下是在 Spring 應用程序中啟用應用程序單例安全管理器的最簡單方法:

<!-- 定義連接到后端安全數據源的 Realm : -->
<bean id="myRealm" class="...">
    ...
</bean>

<bean id="securityManager" class="org.apache.shiro.mgt.DefaultSecurityManager">
    <!-- 單一 Realm 應用這樣寫。如果有多個 Realm ,可以使用 "realms" 屬性 -->
    <property name="realm" ref="myRealm"/>
</bean>

<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

<!-- 對于最簡單的集成方式,就像所有的 SecurityUtils 中的靜態
方法一樣,在所有情況下都適用,將 securityManager bean 聲明
為一個靜態的單例對象。但不要在 web 應用程序中這樣做。參見
下面的 “web 應用程序” 部分。  -->
<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
    <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
    <property name="arguments" ref="securityManager"/>
</bean>

2.Web 應用程序

Shiro 對 Spring web 應用程序有很棒的支持。在一個 web 應用程序中,所有的可用的 web 請求都必須經過 Shiro Filter。這個過濾器非常強大,允許基于 URL 路徑表達式執行的特殊自定義任何過濾器鏈。

在 Shiro 1.0之前,你必須在 Spring web 應用程序中使用一種混合的方法,定義 Shiro 的過濾器所有的配置屬性都在 web.xml 中。但是在 spring.xml中定義 securityManager,這有點不友好。

現在,在 Shiro 1.0 以上的版本中,所有的 Shiro 配置都是在Spring XML 中完成的,它提供了更健壯的 Spring 配置機制。
以下是如何在基于 spring 的 web 應用程序中配置 Shiro:

web.xml

除了其他的 spring 的一些標簽 ( ContextLoaderListener、Log4jConfigListener 等),還定義了以下過濾器和過濾器的映射:

<!-- 在 applicationContext.xml 中,過濾器名稱 “shiroFilter” bean的名稱匹配。-->
<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>

...

<!-- 確保你想要的任何請求都可以被過濾。/ * 捕獲所有
請求。通常,這個過濾器映射首先 (在所有其他的之前)定義,
確保 Shiro 在過濾器鏈的后續過濾器中工作:-->
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

applicationContext.xml

在 applicationContext.xml 文件,定義 web 適用的SecurityManager 和 “shiroFilter” bean,這個bean 在 web.xml 中會被引用。

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <!-- 根據具體情況定義以下幾個屬性:
    <property name="loginUrl" value="/login.jsp"/>
    <property name="successUrl" value="/home.jsp"/>
    <property name="unauthorizedUrl" value="/unauthorized.jsp"/> -->
    <!-- 如果聲明過任何的 javax.servlet,“filters” 屬性就是不必要的了-->
    <!-- <property name="filters">
        <util:map>
            <entry key="anAlias" value-ref="someFilter"/>
        </util:map>
    </property> -->
    <property name="filterChainDefinitions">
        <value>
            # 定義需要過濾的 url :
            /admin/** = authc, roles[admin]
            /docs/** = authc, perms[document:read]
            /** = authc
            </value>
    </property>
</bean>
<!-- 可以在上下文中定義的任何 javax.servlet.Filter bean,它們會自動被上面的 “shiroFilter” bean 所捕獲,并為“filterChainDefinitions” 屬性所用。如果需要的話,可以手動添加/顯式添加到 shiroFilter 的 “filters” Map 上。-->
<bean id="someFilter" class="..."/>
<bean id="anotherFilter" class="..."> ... </bean>
...

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!-- 單一 Realm 應用這樣寫。如果有多個 Realm ,可以使用 "realms" 屬性. -->
    <property name="realm" ref="myRealm"/>
    <!-- 認情況下,適用 servlet 容器的 session 。取消對這一行的注釋后則使用 shiro的原生 session  -->
    <!-- <property name="sessionMode" value="native"/> -->
</bean>
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

<!-- 通過自定義 Shiro Realm 的子類來使用后臺的數據源 -->
<bean id="myRealm" class="...">
    ...
</bean>

啟用 Shiro 的注解

在應用程序中,可能需要使用 Shiro 的注釋來進行安全檢查(例如,@RequiresRole、@requiresPermission 等等。這需要 Shiro的 Spring AOP 集成,以掃描適當的帶注釋的類,并在必要時執行安全邏輯。下面是如何啟用這些注釋,將這兩個 bean 定義添加到 applicationContext.xml 中:

<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
</bean>
最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個濱河市,隨后出現的幾起案子,更是在濱河造成了極大的恐慌,老刑警劉巖,帶你破解...
    沈念sama閱讀 228,739評論 6 534
  • 死咒
    序言:濱河連續發生了三起死亡事件,死亡現場離奇詭異,居然都是意外死亡,警方通過查閱死者的電腦和手機,發現死者居然都...
    沈念sama閱讀 98,634評論 3 419
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人,你說我怎么就攤上這事。” “怎么了?”我有些...
    開封第一講書人閱讀 176,653評論 0 377
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長。 經常有香客問我,道長,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 63,063評論 1 314
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮,結果婚禮上,老公的妹妹穿的比我還像新娘。我一直安慰自己,他們只是感情好,可當我...
    茶點故事閱讀 71,835評論 6 410
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著,像睡著了一般。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發上,一...
    開封第一講書人閱讀 55,235評論 1 324
  • 城市分裂傳說
    那天,我揣著相機與錄音,去河邊找鬼。 笑死,一個胖子當著我的面吹牛,可吹牛的內容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 43,315評論 3 442
  • 雙鴛鴦連環套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了?” 一聲冷哼從身側響起,我...
    開封第一講書人閱讀 42,459評論 0 289
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后,有當地人在樹林里發現了一具尸體,經...
    沈念sama閱讀 49,000評論 1 335
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內容為張勛視角 年9月15日...
    茶點故事閱讀 40,819評論 3 355
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發現自己被綠了。 大學時的朋友給我發了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 43,004評論 1 370
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖,靈堂內的尸體忽然破棺而出,到底是詐尸還是另有隱情,我是刑警寧澤,帶...
    沈念sama閱讀 38,560評論 5 362
  • ?日本核電站爆炸內幕
    正文 年R本政府宣布,位于F島的核電站,受9級特大地震影響,放射性物質發生泄漏。R本人自食惡果不足惜,卻給世界環境...
    茶點故事閱讀 44,257評論 3 347
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧,春花似錦、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 34,676評論 0 26
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至,卻和暖如春,著一層夾襖步出監牢的瞬間,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 35,937評論 1 288
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人。 一個月前我還...
    沈念sama閱讀 51,717評論 3 393
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 48,003評論 2 374

推薦閱讀更多精彩內容

  • Spring Cloud為開發人員提供了快速構建分布式系統中一些常見模式的工具(例如配置管理,服務發現,斷路器,智...
    卡卡羅2017閱讀 134,786評論 18 139
  • Spring Boot 參考指南 介紹 轉載自:https://www.gitbook.com/book/qbgb...
    毛宇鵬閱讀 46,899評論 6 342
  • 什么是Spring Spring是一個開源的Java EE開發框架。Spring框架的核心功能可以應用在任何Jav...
    jemmm閱讀 16,515評論 1 133
  • 海邊,遠處,樓宇上空。 一朵巨猿模樣的白色云彩。 游客們指著天空拍照,忽然集體臉色大變驚慌地逃走。 他翻過身來。 ...
    徐非凡閱讀 300評論 0 0