java开发之shiro

在我们开发项目的过程中，一般对于请求会做过滤，有些页面或者数据在没有权限的时候是不允许随意访问的。以前呢，我的理解是会用Filter来对请求做过滤，然后做权限检查。然而，在开发项目的时候，发现dalao做好了这个用户登录的模块，我却找不到Filter。最后定为到shiro，说实话看着挺懵，但是慢慢研究发现确实好用。

Shiro，可以简单理解为，把系统的权限管理都交给他来处理。管理过程我们就可以忽略的，权限验证我们重写它定义好的回调方法写下怎么算验证通过，通过这种方式做权限验证。
大家可以参考http://jinnianshilongnian.iteye.com/blog/2018936/做一个初步了解，看完前两章基本就个大概概念了。

现在只简单聊聊怎么使用，因为深挖是有很多内容的，后面有时间再了解。
1、在maven中依赖shiro

<!-- shiro相关 -->    <dependency>          <groupId>junit</groupId>          <artifactId>junit</artifactId>          <version>4.9</version>      </dependency>      <dependency>          <groupId>commons-logging</groupId>          <artifactId>commons-logging</artifactId>          <version>1.1.3</version>      </dependency>      <dependency>      <groupId>org.apache.shiro</groupId>      <artifactId>shiro-core</artifactId>      <version>${shiro.version}</version>    </dependency>    <dependency>      <groupId>org.apache.shiro</groupId>      <artifactId>shiro-web</artifactId>      <version>${shiro.version}</version>    </dependency>    <dependency>      <groupId>org.apache.shiro</groupId>      <artifactId>shiro-spring</artifactId>      <version>${shiro.version}</version>    </dependency>     <dependency>      <groupId>org.apache.shiro</groupId>      <artifactId>shiro-ehcache</artifactId>      <version>${shiro.version}</version>    </dependency>

很明显有个shiro核心包，shiro-spring对接包，shiro-ehcache缓存包

2.然后在src/main/resource下提供spring-shiro.xml

<beans xmlns="http://www.springframework.org/schema/beans"    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:mvc="http://www.springframework.org/schema/mvc"    xmlns:context="http://www.springframework.org/schema/context"    xmlns:aop="http://www.springframework.org/schema/aop" xmlns:tx="http://www.springframework.org/schema/tx"    xsi:schemaLocation="http://www.springframework.org/schema/beans         http://www.springframework.org/schema/beans/spring-beans.xsd         http://www.springframework.org/schema/mvc         http://www.springframework.org/schema/mvc/spring-mvc.xsd         http://www.springframework.org/schema/context         http://www.springframework.org/schema/context/spring-context.xsd         http://www.springframework.org/schema/aop         http://www.springframework.org/schema/aop/spring-aop.xsd         http://www.springframework.org/schema/tx         http://www.springframework.org/schema/tx/spring-tx.xsd ">    <!-- 配置shiroFilter,它是一个工厂，可以生产很多过滤器 -->    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">        <!-- 安全管理器 -->        <property name="securityManager" ref="securityManager"></property>        <!-- loginUrl认证提交地址，如果没有认证将会请求此地址认证，请求此地址将由authc进行表单认证，如果不配置loginUrl，默认使用/login.jsp,            强调：当请求/login.action时，由anthc拦截后并且进行认证，login.action必须要提交账号和密码authc方可认证 -->        <property name="loginUrl" value="/login" />        <!-- 认证成功后统一跳转到index.jsp，建议不配置，shiro认证成功后自动到上一个路径 -->        <!--<property name="successUrl" value="/pages/home.jsp"></property>-->        <!-- 没有权限跳转的地址 -->          <property name="unauthorizedUrl" value="/refuse.jsp" />          <!-- 自定义filter配置,将自定义 的FormAuthenticationFilter注入shiroFilter中 -->        <!--  <property name="filters">              <map>                  <entry key="authc" value-ref="formAuthenticationFilter" />              </map>          </property>  -->          <!-- 过虑器链定义，从上向下顺序执行，最上边配置anon匿名过虑器一般将/** = authc放在最下边 -->        <property name="filterChainDefinitions">            <value>                <!-- 对静态资源设置匿名访问 -->                /myres/** = anon                <!-- 登陆提交 -->                /login = anon                <!-- 退出拦截，请求logout.mv执行退出操作 -->                /logout = logout                <!-- /** = authc 所有url都必须认证通过才可以访问 -->                /** = authc            </value>        </property>    </bean>    <!-- 安全管理器 -->    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">        <!--加载realm-->        <property name="realm" ref="authRealm"></property>        <!--添加缓存管理器-->        <property name="cacheManager" ref="cacheManager"></property>        <!--会话管理器-->        <!--<property name="sessionManager" ref="sessionManager"></property>-->    </bean>    <!--自定义realm-->    <bean id="authRealm" class="com.vzr.VShow.web.controller.AuthRealm">        <!-- 将凭证匹配器设置到realm中，realm按照凭证匹配器的要求进行散列 realm从数据库查询md5加密后的密码，需要将明文按照md5加密，将md5的凭证匹配器credentialsMatcher注入给realm -->        <!--<property name="credentialsMatcher" ref="credentialsMatcher"></property>-->    </bean>    <!--凭证匹配器-->    <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">        <!--指定散列算法为MD5-->        <property name="hashAlgorithmName" value="md5"></property>    </bean>    <!--缓存管理器-->    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">        <property name="cacheManagerConfigFile" value="classpath:shiro-ehcache.xml"></property>    </bean>    <!--会话管理器-->    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">        <!--session的失效时长，单位为毫秒-->        <property name="globalSessionTimeout" value="1800000"></property>        <!--删除失效的session-->        <property name="deleteInvalidSessions" value="true"></property>        <!--更改默认的JSESSIONID标识为sid，避免shiro的session和普通的session冲突-->        <property name="sessionIdCookie.name" value="sid"></property>    </bean></beans>

这里面需要配置的一些内容是:
1> loginUrl，当发现没有登录的时候会跳转到这里，比如我配置了/login，到时候就会跳转ip:port/login
2> unauthorizedUrl类似
3> 然后比较重要的是filterChainDefinitions，从字面上看，它就是一堆filter，形成了链条，依次做过滤。它定义了过滤的顺序和规则，我们简单用下，/myres/** = anon代表这些资源是可以随意访问的，/logout = logout绑定了/logout为退出操作，此时会让session失效， /** = authc表示其他都需要权限过滤
4>authRealm就是前面所说需要重写shiro的回调方法的类，告诉shiro怎么算验证通过
5>cacheManager指定缓存类即配置，会用到shiro-ehcache.xml。

3.同样添加shiro-ehcache.xml

<?xml version="1.1" encoding="UTF-8"?><ehcache name="shirocache">    <diskStore path="java.io.tmpdir"/>     <defaultCache         maxElementsInMemory="2000"        eternal="true"        timeToIdleSeconds="120"        timeToLiveSeconds="120"        overflowToDisk="true"/>    <cache name="passwordRetryCache"           maxElementsInMemory="2000"           eternal="false"           timeToIdleSeconds="300"           timeToLiveSeconds="0"           overflowToDisk="false">    </cache>    <cache name="authorizationCache"           maxElementsInMemory="2000"           eternal="false"           timeToIdleSeconds="1800"           timeToLiveSeconds="0"           overflowToDisk="false">    </cache>    <cache name="authenticationCache"           maxElementsInMemory="2000"           eternal="false"           timeToIdleSeconds="1800"           timeToLiveSeconds="0"           overflowToDisk="false">    </cache>    <cache name="shiro-activeSessionCache"           maxElementsInMemory="2000"           eternal="false"           timeToIdleSeconds="1800"           timeToLiveSeconds="0"           overflowToDisk="false">    </cache></ehcache>

从字面上也不难猜出这些配置的作用。

4.让配置生效，同样也是通过定义spring的bean，方式是一样的。
web.xml的这个配置会让其生效

<context-param>        <param-name>contextConfigLocation</param-name>        <param-value>            classpath:spring-*.xml;        </param-value>    </context-param>

5.使用方法。由于看起来采用的是托管方式，所以呢，我们在页面登录的时候，同时提交给shiro做一次登录。

// 调用工具类得到与当前线程绑定的用户(模拟用户)        Subject subject = SecurityUtils.getSubject();        // 提供token令牌进行认证        UsernamePasswordToken token = new UsernamePasswordToken(company.getAccount(),                MD5Tools.MD5(company.getPassword()));        subject.login(token);

并把登录信息保存到shiro，也就是这个token，当用户发起一个请求时，通过前面说的filter链条开始过滤，如果声明为anon的资源直接放行不管，如果声明为authc的资源，shiro就会做登录验证，依据就是这个token。如果声明为logout的资源，那shiro就会释放这个token，这个时候再请求资源时会被认定为未登录状态。同时shiro对会话还有管理，比如一段时间后失效等。

6.shiro通过我们自定义的AuthRealm完成验证。简单点用

package com.vzr.VShow.web.controller;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.AuthenticationInfo;import org.apache.shiro.authc.AuthenticationToken;import org.apache.shiro.authc.IncorrectCredentialsException;import org.apache.shiro.authc.SimpleAuthenticationInfo;import org.apache.shiro.authc.UnknownAccountException;import org.apache.shiro.authz.AuthorizationInfo;import org.apache.shiro.realm.AuthorizingRealm;import org.apache.shiro.subject.PrincipalCollection;import org.springframework.beans.factory.annotation.Autowired;import com.vzr.VShow.model.Company;import com.vzr.VShow.service.CompanyService;/** *  * 自定义realm * @author Administrator * */public class AuthRealm extends AuthorizingRealm {    @Autowired    private CompanyService companyService;    //身份认证    @Override    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {        //获取token中的账号        String account = (String) token.getPrincipal();        String password = new String((char[])token.getCredentials()); //得到密码          //根据账号查询用户        Company company = companyService.findCompanyByAccount(account);        if(company == null) {            throw new UnknownAccountException(); //如果用户名错误         }        if(!company.getPassword().equals(password)) {              throw new IncorrectCredentialsException(); //如果密码错误          }          //如果身份认证验证成功，返回一个AuthenticationInfo实现；          return new SimpleAuthenticationInfo(company, password, getName());    }    //授权认证    @Override    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {        return null;    }}

到此，简单的使用shiro做登录验证就完成了。