SpringShiro

Shiro的组件都是JavaBean/POJO式的组件&＃xff0c;所以非常容易使用Spring进行组件管理&＃xff0c;可以非常方便的从ini配置迁移到Spring进行管理&＃xff0c;且支持JavaSE应用及Web应用的集成。

JavaSE应用

spring-shiro.xml提供了普通JavaSE独立应用的Spring配置&＃xff1a;




com.github.zhangkaitao.shiro.chapter12.credentials.RetryLimitHashedCredentialsMatcher">




class&＃61;"org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator"/>

class&＃61;"org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO">


class&＃61;"org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler">









value&＃61;"org.apache.shiro.SecurityUtils.setSecurityManager"/>


class&＃61;"org.apache.shiro.spring.LifecycleBeanPostProcessor"/>


可以看出&＃xff0c;只要把之前的ini配置翻译为此处的spring xml配置方式即可&＃xff0c;无须多解释。LifecycleBeanPostProcessor用于在实现了Initializable接口的Shiro bean初始化时调用Initializable接口回调&＃xff0c;在实现了Destroyable接口的Shiro bean销毁时调用 Destroyable接口回调。如UserRealm就实现了Initializable&＃xff0c;而DefaultSecurityManager实现了Destroyable。具体可以查看它们的继承关系。

Web应用

Web应用和普通JavaSE应用的某些配置是类似的&＃xff0c;此处只提供一些不一样的配置&＃xff0c;详细配置可以参考spring-shiro-web.xml。 

配置信息&＃xff1a;





class&＃61;"org.apache.shiro.web.session.mgt.DefaultWebSessionManager">




 

1、sessionIdCOOKIE是用于生产Session ID COOKIE的模板&＃xff1b;

2、会话管理器使用用于web环境的DefaultWebSessionManager&＃xff1b;

3、安全管理器使用用于web环境的DefaultWebSecurityManager。 

Shiro权限注解

Shiro提供了相应的注解用于权限控制&＃xff0c;如果使用这些注解就需要使用AOP的功能来进行判断&＃xff0c;如Spring AOP&＃xff1b;Shiro提供了Spring AOP集成用于权限注解的解析和验证。

为了测试&＃xff0c;此处使用了Spring MVC来测试Shiro注解&＃xff0c;当然Shiro注解不仅仅可以在web环境使用&＃xff0c;在独立的JavaSE中也是可以用的&＃xff0c;此处只是以web为例了。

在spring-mvc.xml配置文件添加Shiro Spring AOP权限注解的支持&＃xff1a; 


org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">


如上配置用于开启Shiro Spring AOP权限注解的支持&＃xff1b;表示代理类。

接着就可以在相应的控制器&＃xff08;AnnotationController&＃xff09;中使用如下方式进行注解&＃xff1a; 

&＃64;RequiresRoles("admin")
&＃64;RequestMapping("/hello2")
//访问hello2方法的前提是当前用户有admin角色。
public String hello2() { return "success";
}

当验证失败&＃xff0c;其会抛出UnauthorizedException异常&＃xff0c;此时可以使用Spring的ExceptionHandler&＃xff08;DefaultExceptionHandler&＃xff09;来进行拦截处理&＃xff1a;

&＃64;ExceptionHandler({UnauthorizedException.class})
&＃64;ResponseStatus(HttpStatus.UNAUTHORIZED)
public ModelAndView processUnauthenticatedException(NativeWebRequest request, UnauthorizedException e) { ModelAndView mv &＃61; new ModelAndView(); mv.addObject("exception", e); mv.setViewName("unauthorized"); return mv;
}

如果集成Struts2&＃xff0c;需要注意《Shiro&＃43;Struts2&＃43;Spring3 加上&＃64;RequiresPermissions 后&＃64;Autowired失效》问题&＃xff1a;

http://jinnianshilongnian.iteye.com/blog/1850425

权限注解      

&＃64;RequiresAuthentication  

表示当前Subject已经通过login进行了身份验证&＃xff1b;即Subject. isAuthenticated()返回true。 

&＃64;RequiresUser  

表示当前Subject已经身份验证或者通过记住我登录的。

&＃64;RequiresGuest  

表示当前Subject没有身份验证或通过记住我登录过&＃xff0c;即是游客身份。  

&＃64;RequiresRoles(value&＃61;{“admin”, “user”}, logical&＃61; Logical.AND)  

表示当前Subject需要角色admin和user。

&＃64;RequiresPermissions (value&＃61;{“user:a”, “user:b”}, logical&＃61; Logical.OR)  

表示当前Subject需要权限user:a或user:b。