shiro+springmvc的整合

第一步：在web.xml中配置shiroFilter,確保web項目中須要權限管理的URL均可以被shiro攔截過濾

<filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>//這個是固定寫法，也就是shiro包裏的內容
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    
    <filter-mapping>//若是有其餘filter-mapping都應放在該filter-mapping以後，已達到shiro是第一個對web請求進行攔截過濾的，
        <filter-name>shiroFilter</filter-name>//這個filename應該和下一步配置中的java bean的id一致。
        <url-pattern>/*</url-pattern>//這是shiro攔截請求的樣式
        <dispatcher>REQUEST</dispatcher>//請求
        <dispatcher>FORWARD</dispatcher>//轉發，都攔截
    </filter-mapping>

第二部：配置各類javabean，該文件通常爲sping和shiro整合的文件，命名沒有強求，可是該文件必定要配置到web.xml中的<context-param>標籤中

如：<!-- 讀取spring配置文件 -->
    <context-param>
          <param-name>contextConfigLocation</param-name>
          <param-value>
              classpath*:config/spring.xml;
              classpath*:config/spring-mybatis.xml;
              classpath*:config/spring-shiro.xml;
          </param-value>
    </context-param>

而在spring-shiro.xml的配置纔是shiro配置的重點

 

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context"
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
                        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
                        http://www.springframework.org/schema/context
                           http://www.springframework.org/schema/context/spring-context-3.0.xsd"
    default-lazy-init="true">

    <!-- Shiro's main business-tier object for web-enabled applications -->

//配置shiro安全管理器
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!-- <property name="sessionManager" ref="sessionManager" /> -->
        <property name="cacheManager" ref="cacheManager" />//此爲安全管理器的緩存管理
        <property name="realms">//配置realm
            <list>
                <ref bean="securityRealm" />//這個realm事ref的，所以該配置文件中能夠找到其javabean
            </list>
        </property>
    </bean>

//自定義一個realm類，這個類通常繼承AuthorizingRealm，而後寫登陸認證和權限分配的方法，登陸時執行。

    <bean id="securityRealm" class="com.credithc.workorder.manage.shiro.SecurityRealm" >
        //這個finder是一個查詢用戶角色查詢的接口，主要是給權限分配調用的

        <property name="securityUsersFinder" ref="securityUsersFinder" />
    </bean>

<bean id="securityUsersFinder" class="com.credithc.workorder.manage.shiro.SecurityUsersFinder">
    </bean>

 

<!--          Shiro主過濾器自己功能十分強大，其強大之處就在於它支持任何基於URL路徑表達式的、自定義的過濾器的執行         Web應用中，Shiro可控制的Web請求必須通過Shiro主過濾器的攔截，Shiro對基於Spring的Web應用提供了完美的支持       -->  

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        //shiro的核心安全接口，這個屬性是必須的。即前面配置的shiro安全管理器        

        <property name="securityManager" ref="securityManager" />

        //要求登陸時的連接(登陸頁面地址)，非必須的屬性，默認會自動尋找Web工程根目錄下的"/login.jsp"頁面
        <property name="loginUrl" value="/main/loginIndex" />

        //登陸成功後要跳轉的鏈接
        <property name="successUrl" value="/workorder/homePage" />

        //用戶訪問未對其受權的資源時，所顯示的鏈接
        <property name="unauthorizedUrl" value="/main/noperms" />
        <!-- 
        <property name="filterChainDefinitions">
            <value>
                /** = anon
            </value>
        </property>
         -->
        <property name="filterChainDefinitionMap" ref="chainDefinitionSectionMetaSource" />
    </bean>
    <bean id="chainDefinitionSectionMetaSource"
        class="com.credithc.framework.core.shiro.commons.ChainDefinitionSectionMetaSource">
        <property name="securityUsersFinder" ref="securityUsersFinder" />
        <property name="filterChainDefinitions">
            <value>
                /error.jsp=anon//不須要通過受權，登陸便可訪問
                /workorder/homePage=authc//須要登陸受權才能訪問
                <!-- 
                /favicon.ico=anon
                /**=sso,authc /WEB-INF/views/index.jsp=anon /static/**=anon /login=anon 
                    /logout=anon /main=user /unauthorized=user /**=authc -->
            </value>
        </property>
    </bean>

<bean id="lifecycleBeanPostProcessor"                 class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

       //將shiro和redis配置在一塊兒，redis緩存

    <bean id="redisManager"
        class="com.credithc.framework.core.shiro.crazycake.RedisManager">
        <property name="master" value="${redis.master}" />
        <property name="host" value="${redis.host}" />
        <property name="port" value="${redis.port}" />
        <property name="expire" value="${redis.expire}" />
        <property name="timeout" value="${redis.timeout}" />
        <property name="database" value="${redis.databse}" />
    </bean>

    //緩存管理器

    <bean id="cacheManager"
        class="com.credithc.framework.core.shiro.crazycake.RedisCacheManager">
        <property name="redisManager" ref="redisManager" />
    </bean>

 

    <!--   開啓Shiro的註解(如@RequiresRoles，@RequiresPermissions)，需藉助SpringAOP掃描使用Shiro註解的類，   並在必要時進行安全邏輯驗證  --> 

    <bean
        class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
        depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true" />
    </bean>

    <bean
        class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager" />
    </bean>

</beans>

第三步：剩下的就是編寫頁面和後臺代碼

 

注：有關shiro的安全管理器，管理器裏面要配置緩存管理器cacheManager。工單系統使用的緩存是redis,所以在緩存管理器中要配置redis管理器redisManager。redisManager裏面要配置redis的參數，包括路徑，ip,端口，超時時長等。

 

參考資料：http://www.oschina.net/p/shiro-redis

http://blog.csdn.net/chris_mao/article/details/49288251