Shiro提供了與Web集成的支持，其通過一個ShiroFilter入口來攔截需要安全控制的URL，然后進行相應的控制，ShiroFilter類似于如Strut2/SpringMVC這種web框架的前端控制器，其是安全控制的入口點，其負責讀取配置（如ini配置文件），然后判斷URL是否需要登錄/權限等工作。

?

7.1 準備環境

1、創建webapp應用?

此處我們使用了jetty-maven-plugin和tomcat7-maven-plugin插件；這樣可以直接使用“mvn jetty:run”或“mvn tomcat7:run”直接運行webapp了。然后通過URLhttp://localhost:8080/chapter7/訪問即可。

?

2、依賴?

Servlet3

Java代碼??

<dependency>??

????<groupId>javax.servlet</groupId>??

????<artifactId>javax.servlet-api</artifactId>??

????<version>3.0.1</version>??

????<scope>provided</scope>??

</dependency>???

Servlet3的知識可以參考https://github.com/zhangkaitao/servlet3-showcase及Servlet3規范http://www.iteye.com/blogs/subjects/Servlet-3-1。

?

shiro-web

Java代碼??

<dependency>??

????<groupId>org.apache.shiro</groupId>??

????<artifactId>shiro-web</artifactId>??

????<version>1.2.2</version>??

</dependency>???

其他依賴請參考源碼的pom.xml。

?

7.2 ShiroFilter入口

1、Shiro 1.1及以前版本配置方式??

Java代碼??

<filter>??

????<filter-name>iniShiroFilter</filter-name>??

????<filter-class>org.apache.shiro.web.servlet.IniShiroFilter</filter-class>??

????<init-param>??

????????<param-name>configPath</param-name>??

????????<param-value>classpath:shiro.ini</param-value>??

????</init-param>??

</filter>??

<filter-mapping>??

????<filter-name>iniShiroFilter</filter-name>??

????<url-pattern>/*</url-pattern>??

</filter-mapping>???

1、使用IniShiroFilter作為Shiro安全控制的入口點，通過url-pattern指定需要安全的URL；

2、通過configPath指定ini配置文件位置，默認是先從/WEB-INF/shiro.ini加載，如果沒有就默認加載classpath:shiro.ini，即默認相對于web應用上下文根路徑；

3、也可以通過如下方式直接內嵌ini配置文件內容到web.xml

Java代碼??

<init-param>??

????<param-name>config</param-name>??

????<param-value>??

????????ini配置文件貼在這??

????</param-value>??

</init-param>??

?

2、Shiro 1.2及以后版本的配置方式

從Shiro 1.2開始引入了Environment/WebEnvironment的概念，即由它們的實現提供相應的SecurityManager及其相應的依賴。ShiroFilter會自動找到Environment然后獲取相應的依賴。

Java代碼??

<listener>??

???<listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>??

</listener>???

通過EnvironmentLoaderListener來創建相應的WebEnvironment，并自動綁定到ServletContext，默認使用IniWebEnvironment實現。

?

可以通過如下配置修改默認實現及其加載的配置文件位置：

Java代碼??

<context-param>??

???<param-name>shiroEnvironmentClass</param-name>??

???<param-value>org.apache.shiro.web.env.IniWebEnvironment</param-value>??

</context-param>??

????<context-param>??

????????<param-name>shiroConfigLocations</param-name>??

????????<param-value>classpath:shiro.ini</param-value>??

????</context-param>???

shiroConfigLocations默認是“/WEB-INF/shiro.ini”，IniWebEnvironment默認是先從/WEB-INF/shiro.ini加載，如果沒有就默認加載classpath:shiro.ini。

?

3、與Spring集成

Java代碼??

<filter>??

????<filter-name>shiroFilter</filter-name>??

????<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>??

????<init-param>??

????????<param-name>targetFilterLifecycle</param-name>??

????????<param-value>true</param-value>??

????</init-param>??

</filter>??

<filter-mapping>??

????<filter-name>shiroFilter</filter-name>??

????<url-pattern>/*</url-pattern>??

</filter-mapping>???

DelegatingFilterProxy作用是自動到spring容器查找名字為shiroFilter（filter-name）的bean并把所有Filter的操作委托給它。然后將ShiroFilter配置到spring容器即可：

Java代碼??

<bean?id="shiroFilter"?class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">??

<property?name="securityManager"?ref="securityManager"/>??

<!—忽略其他，詳見與Spring集成部分?-->??

</bean>???

最后不要忘了使用org.springframework.web.context.ContextLoaderListener加載這個spring配置文件即可。

因為我們現在的shiro版本是1.2的，因此之后的測試都是使用1.2的配置。

?

7.3 Web INI配置

ini配置部分和之前的相比將多出對url部分的配置。?????

Java代碼??

[main]??

#默認是/login.jsp??

authc.loginUrl=/login??

roles.unauthorizedUrl=/unauthorized??

perms.unauthorizedUrl=/unauthorized??

[users]??

zhang=123,admin??

wang=123??

[roles]??

admin=user:*,menu:*??

[urls]??

/login=anon??

/unauthorized=anon??

/static/**=anon??

/authenticated=authc??

/role=authc,roles[admin]??

/permission=authc,perms["user:create"]???

其中最重要的就是[urls]部分的配置，其格式是： “url=攔截器[參數]，攔截器[參數]”；即如果當前請求的url匹配[urls]部分的某個url模式，將會執行其配置的攔截器。比如anon攔截器表示匿名訪問（即不需要登錄即可訪問）；authc攔截器表示需要身份認證通過后才能訪問；roles[admin]攔截器表示需要有admin角色授權才能訪問；而perms["user:create"]攔截器表示需要有“user:create”權限才能訪問。

?

url模式使用Ant風格模式

Ant路徑通配符支持?、*、**，注意通配符匹配不包括目錄分隔符“/”：

?：匹配一個字符，如”/admin?”將匹配/admin1，但不匹配/admin或/admin2；

*：匹配零個或多個字符串，如/admin*將匹配/admin、/admin123，但不匹配/admin/1；

**：匹配路徑中的零個或多個路徑，如/admin/**將匹配/admin/a或/admin/a/b。

?

url模式匹配順序

url模式匹配順序是按照在配置中的聲明順序匹配，即從頭開始使用第一個匹配的url模式對應的攔截器鏈。如：

Java代碼??

/bb/**=filter1??

/bb/aa=filter2??

/**=filter3???

如果請求的url是“/bb/aa”，因為按照聲明順序進行匹配，那么將使用filter1進行攔截。

?

攔截器將在下一節詳細介紹。接著我們來看看身份驗證、授權及退出在web中如何實現。

?

1、身份驗證（登錄）

1.1、首先配置需要身份驗證的url??

Java代碼??

/authenticated=authc??

/role=authc,roles[admin]??

/permission=authc,perms["user:create"]???

即訪問這些地址時會首先判斷用戶有沒有登錄，如果沒有登錄默會跳轉到登錄頁面，默認是/login.jsp，可以通過在[main]部分通過如下配置修改：?

Java代碼??

authc.loginUrl=/login??

?

1.2、登錄Servlet（com.github.zhangkaitao.shiro.chapter7.web.servlet.LoginServlet）?

Java代碼??

@WebServlet(name?=?"loginServlet",?urlPatterns?=?"/login")??

public?class?LoginServlet?extends?HttpServlet?{??

????@Override??

????protected?void?doGet(HttpServletRequest?req,?HttpServletResponse?resp)??

??????throws?ServletException,?IOException?{??

????????req.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(req,?resp);??

????}??

????@Override??

????protected?void?doPost(HttpServletRequest?req,?HttpServletResponse?resp)??

??????throws?ServletException,?IOException?{??

????????String?error?=?null;??

????????String?username?=?req.getParameter("username");??

????????String?password?=?req.getParameter("password");??

????????Subject?subject?=?SecurityUtils.getSubject();??

????????UsernamePasswordToken?token?=?new?UsernamePasswordToken(username,?password);??

????????try?{??

????????????subject.login(token);??

????????}?catch?(UnknownAccountException?e)?{??

????????????error?=?"用戶名/密碼錯誤";??

????????}?catch?(IncorrectCredentialsException?e)?{??

????????????error?=?"用戶名/密碼錯誤";??

????????}?catch?(AuthenticationException?e)?{??

????????????//其他錯誤，比如鎖定，如果想單獨處理請單獨catch處理??

????????????error?=?"其他錯誤："?+?e.getMessage();??

????????}??

????????if(error?!=?null)?{//出錯了，返回登錄頁面??

????????????req.setAttribute("error",?error);??

????????????req.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(req,?resp);??

????????}?else?{//登錄成功??

????????????req.getRequestDispatcher("/WEB-INF/jsp/loginSuccess.jsp").forward(req,?resp);??

????????}??

????}??

}???

1、doGet請求時展示登錄頁面；

2、doPost時進行登錄，登錄時收集username/password參數，然后提交給Subject進行登錄。如果有錯誤再返回到登錄頁面；否則跳轉到登錄成功頁面（此處應該返回到訪問登錄頁面之前的那個頁面，或者沒有上一個頁面時訪問主頁）。

3、JSP頁面請參考源碼。

?

1.3、測試

首先輸入http://localhost:8080/chapter7/login進行登錄，登錄成功后接著可以訪問http://localhost:8080/chapter7/authenticated來顯示當前登錄的用戶：?

Java代碼??

${subject.principal}身份驗證已通過。??

當前實現的一個缺點就是，永遠返回到同一個成功頁面（比如首頁），在實際項目中比如支付時如果沒有登錄將跳轉到登錄頁面，登錄成功后再跳回到支付頁面；對于這種功能大家可以在登錄時把當前請求保存下來，然后登錄成功后再重定向到該請求即可。

?

Shiro內置了登錄（身份驗證）的實現：基于表單的和基于Basic的驗證，其通過攔截器實現。

?

2、基于Basic的攔截器身份驗證

2.1、shiro-basicfilterlogin.ini配置?

Java代碼??

[main]??

authcBasic.applicationName=please?login??

………省略users??

[urls]??

/role=authcBasic,roles[admin]???

?

1、authcBasic是org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter類型的實例，其用于實現基于Basic的身份驗證；applicationName用于彈出的登錄框顯示信息使用，如圖：

?

2、[urls]部分配置了/role地址需要走authcBasic攔截器，即如果訪問/role時還沒有通過身份驗證那么將彈出如上圖的對話框進行登錄，登錄成功即可訪問。

?

2.2、web.xml

把shiroConfigLocations改為shiro-basicfilterlogin.ini即可。

?

2.3、測試

輸入http://localhost:8080/chapter7/role，會彈出之前的Basic驗證對話框輸入“zhang/123”即可登錄成功進行訪問。

?

3、基于表單的攔截器身份驗證

基于表單的攔截器身份驗證和【1】類似，但是更簡單，因為其已經實現了大部分登錄邏輯；我們只需要指定：登錄地址/登錄失敗后錯誤信息存哪/成功的地址即可。

??

3.1、shiro-formfilterlogin.ini?

Java代碼??

[main]??

authc.loginUrl=/formfilterlogin??

authc.usernameParam=username??

authc.passwordParam=password??

authc.successUrl=/??

authc.failureKeyAttribute=shiroLoginFailure??

??

[urls]??

/role=authc,roles[admin]???

1、authc是org.apache.shiro.web.filter.authc.FormAuthenticationFilter類型的實例，其用于實現基于表單的身份驗證；通過loginUrl指定當身份驗證時的登錄表單；usernameParam指定登錄表單提交的用戶名參數名；passwordParam指定登錄表單提交的密碼參數名；successUrl指定登錄成功后重定向的默認地址（默認是“/”）（如果有上一個地址會自動重定向帶該地址）；failureKeyAttribute指定登錄失敗時的request屬性key（默認shiroLoginFailure）；這樣可以在登錄表單得到該錯誤key顯示相應的錯誤消息；

?

3.2、web.xml

把shiroConfigLocations改為shiro- formfilterlogin.ini即可。

?

3.3、登錄Servlet?

Java代碼??

@WebServlet(name?=?"formFilterLoginServlet",?urlPatterns?=?"/formfilterlogin")??

public?class?FormFilterLoginServlet?extends?HttpServlet?{??

????@Override??

????protected?void?doGet(HttpServletRequest?req,?HttpServletResponse?resp)??

??????throws?ServletException,?IOException?{??

????????doPost(req,?resp);??

????}??

????@Override??

????protected?void?doPost(HttpServletRequest?req,?HttpServletResponse?resp)??

?????throws?ServletException,?IOException?{??

????????String?errorClassName?=?(String)req.getAttribute("shiroLoginFailure");??

????????if(UnknownAccountException.class.getName().equals(errorClassName))?{??

????????????req.setAttribute("error",?"用戶名/密碼錯誤");??

????????}?else?if(IncorrectCredentialsException.class.getName().equals(errorClassName))?{??

????????????req.setAttribute("error",?"用戶名/密碼錯誤");??

????????}?else?if(errorClassName?!=?null)?{??

????????????req.setAttribute("error",?"未知錯誤："?+?errorClassName);??

????????}??

????????req.getRequestDispatcher("/WEB-INF/jsp/formfilterlogin.jsp").forward(req,?resp);??

????}??

}??

在登錄Servlet中通過shiroLoginFailure得到authc登錄失敗時的異常類型名，然后根據此異常名來決定顯示什么錯誤消息。

?

4、測試

輸入http://localhost:8080/chapter7/role，會跳轉到“/formfilterlogin”登錄表單，提交表單如果authc攔截器登錄成功后，會直接重定向會之前的地址“/role”；假設我們直接訪問“/formfilterlogin”的話登錄成功將直接到默認的successUrl。

?

4、授權（角色/權限驗證）

4.1、shiro.ini???

Java代碼??

[main]??

roles.unauthorizedUrl=/unauthorized??

perms.unauthorizedUrl=/unauthorized??

?[urls]??

/role=authc,roles[admin]??

/permission=authc,perms["user:create"]???

通過unauthorizedUrl屬性指定如果授權失敗時重定向到的地址。roles是org.apache.shiro.web.filter.authz.RolesAuthorizationFilter類型的實例，通過參數指定訪問時需要的角色，如“[admin]”，如果有多個使用“，”分割，且驗證時是hasAllRole驗證，即且的關系。Perms是org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter類型的實例，和roles類似，只是驗證權限字符串。

?

4.2、web.xml

把shiroConfigLocations改為shiro.ini即可。

?

4.3、RoleServlet/PermissionServlet??

Java代碼??

@WebServlet(name?=?"permissionServlet",?urlPatterns?=?"/permission")??

public?class?PermissionServlet?extends?HttpServlet?{??

????@Override??

????protected?void?doGet(HttpServletRequest?req,?HttpServletResponse?resp)??

??????throws?ServletException,?IOException?{??

????????Subject?subject?=?SecurityUtils.getSubject();??

????????subject.checkPermission("user:create");??

????????req.getRequestDispatcher("/WEB-INF/jsp/hasPermission.jsp").forward(req,?resp);??

????}??

}??

Java代碼??

@WebServlet(name?=?"roleServlet",?urlPatterns?=?"/role")??

public?class?RoleServlet?extends?HttpServlet?{??

????@Override??

????protected?void?doGet(HttpServletRequest?req,?HttpServletResponse?resp)??

??????throws?ServletException,?IOException?{??

????????Subject?subject?=?SecurityUtils.getSubject();??

????????subject.checkRole("admin");??

????????req.getRequestDispatcher("/WEB-INF/jsp/hasRole.jsp").forward(req,?resp);??

????}??

}???

?

4.4、測試

首先訪問http://localhost:8080/chapter7/login，使用帳號“zhang/123”進行登錄，再訪問/role或/permission時會跳轉到成功頁面（因為其授權成功了）；如果使用帳號“wang/123”登錄成功后訪問這兩個地址會跳轉到“/unauthorized”即沒有授權頁面。

?

5、退出

5.1、shiro.ini?

Java代碼??

[urls]??

/logout=anon???

指定/logout使用anon攔截器即可，即不需要登錄即可訪問。

?

5.2、LogoutServlet

Java代碼??

@WebServlet(name?=?"logoutServlet",?urlPatterns?=?"/logout")??

public?class?LogoutServlet?extends?HttpServlet?{??

????protected?void?doGet(HttpServletRequest?req,?HttpServletResponse?resp)??

??????throws?ServletException,?IOException?{??

????????SecurityUtils.getSubject().logout();??

????????req.getRequestDispatcher("/WEB-INF/jsp/logoutSuccess.jsp").forward(req,?resp);??

????}??

}???

直接調用Subject.logout即可，退出成功后轉發/重定向到相應頁面即可。

?

5.3、測試

首先訪問http://localhost:8080/chapter7/login，使用帳號“zhang/123”進行登錄，登錄成功后訪問/logout即可退出。

?

Shiro也提供了logout攔截器用于退出，其是org.apache.shiro.web.filter.authc.LogoutFilter類型的實例，我們可以在shiro.ini配置文件中通過如下配置完成退出：

Java代碼??

[main]??

logout.redirectUrl=/login??

??

[urls]??

/logout2=logout???

通過logout.redirectUrl指定退出后重定向的地址；通過/logout2=logout指定退出url是/logout2。這樣當我們登錄成功后然后訪問/logout2即可退出。

總結

以上是生活随笔為你收集整理的与Web集成——《跟我学Shiro》的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。