shiro配置記錄（認證篇）

 

    最近博客好久沒搞了，這幾天開始搞起來。。。。

    這段時間在學習shiro權限框架，我是以張開濤老師的博客爲主，孔浩老師的視頻爲輔來學習的，無奈孔浩老師的視頻出的有點讓人捉急，後半段要靠本身了，因此把本身的shiro的學習記錄和一些坑記錄下來~~~

    坑1：

            自定義的permissionResovler的配置應該是配置在realm裏面的（這裏的permissionResovler應該不是全局的）

      完整的認證配置以下：

​
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	   xmlns:context="http://www.springframework.org/schema/context"
	   xmlns:tx="http://www.springframework.org/schema/tx"
	   xmlns:aop="http://www.springframework.org/schema/aop"
	   xsi:schemaLocation="http://www.springframework.org/schema/beans
	       http://www.springframework.org/schema/beans/spring-beans.xsd
	       http://www.springframework.org/schema/context
	       http://www.springframework.org/schema/context/spring-context.xsd
	       http://www.springframework.org/schema/tx
           http://www.springframework.org/schema/tx/spring-tx.xsd
	       http://www.springframework.org/schema/aop
	       http://www.springframework.org/schema/aop/spring-aop.xsd">
	 
	<bean id="urlPermissionResolver" class="com.EP.permission.UrlPermissionResovler"/>

	<!-- 憑證匹配器 -->
	<bean id="hashMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
	 	<property name="hashAlgorithmName" value="md5"/>
	</bean>

	<bean id="adminRealm" class="com.EP.realm.AdminRealm">
	 	<property name="credentialsMatcher" ref="hashMatcher"/>
		<property name="PermissionResolver" ref="urlPermissionResolver"/>
	</bean>

	<!-- 安全管理器 -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
	    <property name="realm" ref="adminRealm"/>
	</bean>

	<!-- &lt;!&ndash;自定義審覈權限的filter &ndash;&gt;
	<bean id="resourceCheckFilter" class="com.EP.shiroFilter.ResourceCheckFilter">
		<property name="errorUrl" value="/common.jsp"/>
	</bean>-->

	<!-- Shiro的Web過濾器 -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
	    <property name="securityManager" ref="securityManager"/>
	    <property name="loginUrl" value="/admin/toLoginPage"/>
	    <!--<property name="successUrl" value="/home.jsp"/>-->
	    <property name="unauthorizedUrl" value="/common.jsp"/>

		<!--<property name="filters">
		<map>
		<entry key="resourceCheckFilter" value-ref="resourceCheckFilter" />
		</map>
		</property>-->

	    <property name="filterChainDefinitions">
	        <value>
				/admin/static/** = anon
				/admin/lib/** = anon
				/admin/temp/** = anon

				/admin/toLoginPage = anon
				/admin/login = anon

				<!--/admin/logout = logout-->
				<!--/bgimg/** = resourceCheckFilter-->
				<!--/message/** = resourceCheckFilter-->

	        	/admin/** = authc

	        </value>
	    </property>
	</bean>

	<!--&lt;!&ndash;開啓shiro註解&ndash;&gt;
	<bean id="serviceAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
	    <property name="securityManager" ref="securityManager"/>
	</bean>

	&lt;!&ndash; Shiro生命週期處理器&ndash;&gt;
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>-->
</beans>

​

從攔截到登陸的一個完整的認證流程：

            1.以當前配置爲例，spring實例化shiroFilter後，會對/admin/*的全部url進行攔截（在web.xml中配置）

             2.下面的配置文件爲url配置了須要通過的攔截器鏈：

<value>
                /admin/static/** = anon
                /admin/lib/** = anon
                /admin/temp/** = anon

                /admin/toLoginPage = anon
                /admin/login = anon

                <!--/admin/logout = logout-->
                <!--/bgimg/** = resourceCheckFilter-->
                <!--/message/** = resourceCheckFilter-->

                /admin/** = authc

</value>

            有anon的在通過anon過濾器後會被攔截，有authc的會被要求認證，上面已經配置過攔截器過的url不會被下面的重複定義覆蓋。

              3. 若是沒有通過驗證的url，將會跳轉到配置的登陸界面，進行登陸

               登陸（即認證）的流程，這裏我引用開濤老師的博客裏的流程，順便加上本身的註釋：

                   一、首先調用Subject.login(token)進行登陸，其會自動委託給Security Manager，調用以前必須經過SecurityUtils. setSecurityManager()設置（經過IOC把Security Manager注入進去）；

                    二、SecurityManager負責真正的身份驗證邏輯；它會委託給Authenticator進行身份驗證；

                    三、Authenticator纔是真正的身份驗證者，Shiro API中核心的身份認證入口點，此處能夠自定義插入本身的實現；

                」插入本身的實現」的解釋：

                SecurityManager接受到token(令牌)信息後會委託內置的Authenticator的實例（一般都是ModularRealmAuthenticator類的實例）調用authenticator.authenticate(token).ModularRealmAuthenticator在認證過程當中會對設置的一個或多個Realm實例進行適配，它實際上爲Shiro提供了一個可拔插的認證機制。 

                便可以自定義如何對realm進行適配

                    四、Authenticator可能會委託給相應的AuthenticationStrategy進行多Realm身份驗證，默認ModularRealmAuthenticator會調用AuthenticationStrategy進行多Realm身份驗證；

                    五、Authenticator會把相應的token傳入Realm，從Realm獲取身份驗證信息，若是沒有返回/拋出異常表示身份驗證失敗了。此處能夠配置多個Realm，將按照相應的順序及策略進行訪問。