1、什么是 Apache Shiro?
Apache Shiro是Java安全框架,其提供认证,授权,加密,和会话管理,与Spring Security 一样都是权限安全框架,但是与Spring Security相比:
A、简单性,Shiro在使用上较 Spring Security更简单,更容易理解。
B、灵活性,Shiro运行环境广且不依赖这些环境,Spring Security只能与Spring一起集成使用。
C、可插拔,Shiro干净的API和设计模式使它可以与诸如 Spring、Grails、Wicket、Tapestry、Mule、Apache Camel、Vaadin 这类第三方框架无缝集成。Spring Security 在这方面就显得有些捉衿见肘。
2、Apache Shiro 的三大核心组件:
A、Subject :当前用户的操作
B、SecurityManager:用于管理所有的Subject
C、Realms:用于进行权限信息的验证
Subject:即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro中则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。
SecurityManager:即所有Subject的管理者,这是Shiro框架的核心组件,可以把他看做是一个Shiro框架的全局管理组件,用于调度各种Shiro框架的服务。
Realms:Realms则是用户的信息认证器和用户的权限人证器,我们需要自己来实现Realms来自定义的管理我们自己系统内部的权限规则。
PS:Authentication 和 Authorization
在shiro的用户权限认证过程中其通过两个方法来实现:
A、Authentication:是验证用户身份的过程。
B、Authorization:是授权访问控制,用于对用户进行的操作进行人证授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。
3、Shiro 的安装
Shiro 官网下载: shiro-all-1.2.0.jar、shiro-cas-1.2.0.jar(单点登录需要),及 SLF4J 官网下载 Shiro 依赖的日志组件 slf4j-api-1.6.1.jar。(JAR 包需要放置到 Web 工程 /WEB-INF/lib/ 目录)
下载链接:https://download.csdn.net/download/weixin_39309402/10771782
利用Maven管理:
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.2.5</version>
</dependency>
<!--shiro核心类库-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.5</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>1.2.5</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-quartz</artifactId>
<version>1.2.5</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.2.5</version>
</dependency>
<!--日志工具包-->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.6.1</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-api</artifactId>
<version>1.6.1</version>
</dependency>
4、web.xml 配置
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>
org.springframework.web.filter.DelegatingFilterProxy
</filter-class>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
5、 spring_shiro.xml配置
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/login.do"/>
<property name="successUrl" value="/welcome.do"/>
<property name="unauthorizedUrl" value="/403.do"/>
<property name="filters">
<util:map>
<entry key="authc" value-ref="formAuthenticationFilter"/>
</util:map>
</property>
<property name="filterChainDefinitions">
<value>
/=anon
/login.do*=authc
/logout.do*=anon
# 权限配置示例
/security/account/view.do=authc,perms[SECURITY_ACCOUNT_VIEW]
/** = authc
</value>
</property>
</bean>
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" />
<property name="loginUrl" value="/u/login.shtml" />
<!-- TODO 待提取 -->
<property name="successUrl" value="/" />
<property name="unauthorizedUrl" value="/?login" />
<!-- 初始配置,现采用自定义 -->
<!-- <property name="filterChainDefinitions" >-->
<!-- <value>-->
<!-- /** = anon-->
<!-- /page/login.jsp = anon-->
<!-- /page/register/* = anon-->
<!-- /page/index.jsp = authc-->
<!-- /page/addItem* = authc,roles[数据管理员]-->
<!-- /page/file* = authc,roleOR[普通用户,数据管理员]-->
<!-- /page/listItems* = authc,roleOR[数据管理员,普通用户]-->
<!-- /page/showItem* = authc,roleOR[数据管理员,普通用户]-->
<!-- /page/updateItem*=authc,roles[数据管理员]-->
<!-- </value>-->
<!-- </property>-->
<!-- 读取初始自定义权限内容-->
<property name="filterChainDefinitions" value="#{shiroManager.loadFilterChainDefinitions()}"/>
<property name="filters">
<util:map>
<entry key="login" value-ref="login"></entry>
<entry key="role" value-ref="role"></entry>
<entry key="simple" value-ref="simple"></entry>
<entry key="permission" value-ref="permission"></entry>
<entry key="kickout" value-ref="kickoutSessionFilter"></entry>
</util:map>
</property>
</bean>
<!-- Shiro生命周期处理器-->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
</beans>
6、log4j.properties配置文件:
log4j.rootLogger=INFO, stdout,
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m%n
链接:https://blog.csdn.net/qq_39874546/article/details/79081950#commentBox
