Spring Shiro配置實現用戶認證和受權

一、applicationContext-shiro.xml配置：實現認證和受權

<!-- shiro start -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile"
            value="classpath:ehcache.xml" />
    </bean>
    <bean id="credentialsMatcher"
        class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
        <property name="hashAlgorithmName" value="SHA-256" />
    </bean>
    <bean id="iniRealm" class="com.boonya.shiro.security.CurrentIniRealm">
        <constructor-arg type="java.lang.String" value="classpath:shiro.ini" />
        <property name="credentialsMatcher" ref="credentialsMatcher" />
    </bean>
    <bean id="userRealm" class="com.boonya.shiro.security.UserRealm" />
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realms">
            <list>
                <ref bean="iniRealm" />
                <ref bean="userRealm" />
            </list>
        </property>
        <property name="cacheManager" ref="cacheManager" />
    </bean>
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager" />
        <property name="loginUrl" value="/login" />
        <property name="successUrl" value="/maps/main.html"></property>
        <property name="unauthorizedUrl" value="/unauthorized"></property>
        <property name="filters">
            <util:map>
                <entry key="anAlias">
                    <bean
                        class="org.apache.shiro.web.filter.authc.PassThruAuthenticationFilter" />
                </entry>
            </util:map>
        </property>
        <property name="filterChainDefinitions">
            <value>
                /unauthorized=anon
                /validate/code*=anon
                /login/**=anon
                /image/**=anon
                /js/**=anon
                /css/**=anon
                /common/**=anon
                /index.htm* = anon
                /maps/**=authc            
           </value>
        </property>
    </bean>
    <!-- shiro end -->說明：紅色字體部分是對用戶操做的URL進行過濾：認證或受權

二、shiro過濾器過濾屬性含義

securityManager：這個屬性是必須的。

loginUrl ：沒有登陸的用戶請求須要登陸的頁面時自動跳轉到登陸頁面，不是必須的屬性，不輸入地址的話會自動尋找項目web項目的根目錄下的」/login.jsp」頁面。

successUrl ：登陸成功默認跳轉頁面，不配置則跳轉至」/」。若是登錄前點擊的一個須要登陸的頁面，則在登陸自動跳轉到那個須要登陸的頁面。不跳轉到此。

unauthorizedUrl ：沒有權限默認跳轉的頁面。

===============其權限過濾器及配置釋義=======================

anon   org.apache.shiro.web.filter.authc.AnonymousFilter

authc  org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

perms  org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

port   org.apache.shiro.web.filter.authz.PortFilter

rest   org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

roles  org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

ssl    org.apache.shiro.web.filter.authz.SslFilter

user   org.apache.shiro.web.filter.authc.UserFilter

logout org.apache.shiro.web.filter.authc.LogoutFilter

anon:例子/admins/**=anon 沒有參數，表示能夠匿名使用。

authc:例如/admins/user/**=authc表示須要認證(登陸)才能使用，沒有參數

roles：例子/admins/user/**=roles[admin],參數能夠寫多個，多個時必須加上引號，而且參數之間用逗號分割，當有多個參數時，例如admins/user/**=roles["admin,guest"],每一個參數經過纔算經過，至關於hasAllRoles()方法。

perms：例子/admins/user/**=perms[user:add:*],參數能夠寫多個，多個時必須加上引號，而且參數之間用逗號分割，例如/admins/user/**=perms["user:add:*,user:modify:*"]，當有多個參數時必須每一個參數都經過才經過，想當於isPermitedAll()方法。

rest：例子/admins/user/**=rest[user],根據請求的方法，至關於/admins/user/**=perms[user:method] ,其中method爲post，get，delete等。

port：例子/admins/user/**=port[8081],當請求的url的端口不是8081是跳轉到schemal://serverName:8081?queryString,其中schmal是協議http或https等，serverName是你訪問的host,8081是url配置裏port的端口，queryString

是你訪問的url裏的？後面的參數。

authcBasic：例如/admins/user/**=authcBasic沒有參數表示httpBasic認證

ssl:例子/admins/user/**=ssl沒有參數，表示安全的url請求，協議爲https

user:例如/admins/user/**=user沒有參數表示必須存在用戶，當登入操做時不作檢查

注：anon，authcBasic，auchc，user是認證過濾器，

perms，roles，ssl，rest，port是受權過濾器

三、web.xml中shiroFilter配置

<!-- Shiro Filter is defined in the spring application context: -->
<filter>
   <filter-name>shiroFilter</filter-name>
   <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
   <filter-name>shiroFilter</filter-name>
   <url-pattern>/*</url-pattern>
</filter-mapping>