shiro和cas集成下配置过滤器

项目需求：

       

        我们系统的权限管理使用单点登录cas与权限管理框架Shiro集成。shiro需要在spring bean中装配，就是把之前的shiro,ini的东西配成spring bean，就是在spring的配置文件中进行的。我们的项目是分模块开发，大家在开发自己的模块的时候都会过一次cas，就可以访问所有的模块，我们会在session中写一些常用的内容，例如用户名称，数据库信息等。有些后台管理登陆的模块，不需要cas，我们就要考虑如何不拦截这些模块。

        比如，我们的企业注册模块，当然不需要登陆了，那我们就配置一下过滤器就OK了。这样就不需要身份验证就可以访问模块内容。

<!-- shiro管理核心类 --><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"><property name="realm" ref="shiroRealm"></property><property name="sessionMode" value="http"></property><property name="subjectFactory" ref="casSubjectFactory"></property><property name="cacheManager" ref="redisCacheManager" /><property name="sessionManager" ref="sessionManager"></property></bean><!-- shiro过滤器 start --><bean id="shiroSecurityFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"><property name="securityManager" ref="securityManager"></property><property name="loginUrl" value="${loginUrl}"></property><property name="filters"><map><entry key="casFilter"><bean class="org.apache.shiro.cas.CasFilter"><!--配置验证错误时的失败页面 /main 为系统登录页面 --><property name="failureUrl" value="/message.jsp" /></bean></entry></map></property><!-- 过滤器链，请求url对应的过滤器 --><property name="filterChainDefinitions"><value>/mobile_**/**=anon/message.jsp=anon/shiro-cas=casFilter<!-- /shirologout=logoutFilter -->/logout=logout/**=user</value></property></bean><!-- shiro过滤器 end -->

       我们前台使用的是springmvc，这样就可以统一requestmapping的命名，如果是/mobile_back/ 开头的controller请求，shiro都不会进行拦截，会放行的。

知识拓展：

       在解决项目的同时，顺便普及了一下shiro的知识，本来是翻墙去看了看官网上的介绍，就知道了apache shiro 是一个java权限管理平台框架，有四个啥功能，认证，授权，加密和对session的会话管理，再看第二段我就方了== 哎，，还是要好好学习英语，才能不被这个时代嫌弃。其他的深入了解，就去中文网站看了。

     下面是shiro的基本功能点：

    Authentication：身份认证/登录，验证用户是不是拥有相应的身份；

    Authorization：授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能做事情，常见的        如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限；

    Session Manager：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可 以是普通JavaSE环境的，也可以是如Web环境的；

    Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；

    Web Support：Web支持，可以非常容易的集成到Web环境；

    Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率；

    Concurrency：shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去；

   Testing：提供测试支持；

   Run As：允许一个用户假装为另一个用户（如果他们允许）的身份进行访问；

   Remember Me：记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了。
 
    Shiro不会去维护用户、维护权限；这些需要我们自己去设计/提供；然后通过相应的接口注入给Shiro即可。

总结：

   shiro的配置相对来说比较简单，需要引入三个jar包，较大的系统少不了权限，目前java里面的权限框架，shiro的扩展性强，功能强大，大家都爱它。