简介

Spring是一个开源框架，最早由Rod Johnson创建，Spring是为了解决企业级应用开发的复杂性而创建的，使用Spring可以让简单的JavaBean实现之前只有EJB才能完成的事情。但Spring不仅仅局限于服务器端开发，任何Java应用都能在简单性，可测试性和松耦合等方面从Spring获益。

Shiro是一个简单易用的Java安全框架，Shiro对JavaBean的兼容性使得Shiro适合Sping的XML配置机制，在web开发中常常在Spring MVC中集成Shiro，加固我们的web应用。

本文主要演示通过Idea创建Spring集成Shiro项目的过程，并对其中的原理进行分析。

创建应用

创建与配置项目

1、首先通过Idea创建一个maven项目。然后配置其Facts为Spring项目，Web 应用。
操作为：点击项目Structure。添加Spring Facets，Spring MVC Facets，Web 。

图1、配置项目结构的位置

图2、配置项目的Facets

2、添加项目的依赖
修改pom.xml，在文件中添加如下依赖：

    <dependencies>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.2.3</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.2.3</version>
        </dependency>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.3</version>
        </dependency>

        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-api</artifactId>
            <version>1.7.24</version>
        </dependency>

        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-simple</artifactId>
            <version>1.7.5</version>
        </dependency>

        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>servlet-api</artifactId>
            <version>2.5</version>
        </dependency>
    </dependencies>

3、 然后配置项目的Tomcat服务器。参考使用Idea管理Tomcat，在web应用中不要忘了添加依赖的Maven库。

图3、配置服务器

增加必要的文件

在Resources目录下新建Spring配置文件，名字分别为applicationContext.xml，Sping-mvc.xml。
1、Spring-mvc文件内容如下：

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:context="http://www.springframework.org/schema/context"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd">

    <!--在classpath路径下扫描注解的Bean-->
    <context:component-scan base-package="me.aihe" />
    <mvc:annotation-driven />
    <mvc:default-servlet-handler />

    <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
        <property name="prefix" value="/WEB-INF/views/" />
        <property name="suffix" value=".jsp" />
    </bean>

</beans>

2、ApplicationContext.xml 文件内容如下：

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">

    <bean id="UserRealm" class="me.aihe.UserRealm" />
    <!--里面可以有额外的属性-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="UserRealm"></property>
    </bean>
    <!--必须要有这样一个实例，管理shiro中常见对象-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
    <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
        <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
        <property name="arguments" ref="securityManager"/>
    </bean>


    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login.jsp"/>
        <property name="successUrl" value="/success.jsp"/>
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        <property name="filterChainDefinitions">
            <value>
                /login.jsp  = anon
                /login = anon
                /logout = logout
                /** = authc
            </value>
        </property>
    </bean>
</beans>

3、web.xml内容

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
         version="3.1">

    <display-name>Spring Shiro Tutorial</display-name>

    <!-- Spring 配置 -->
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:applicationContext.xml</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>

    <!-- Spingg MVC 配置 -->
    <servlet>
        <servlet-name>springServlet</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <init-param>
            <param-name>contextConfigLocation</param-name>
            <param-value>classpath:spring-mvc.xml</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>springServlet</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>

    <!--Shiro配置-->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>

    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

</web-app>

添加Realm类文件

Realm是shiro获取安全数据的地方，从这里获取用户信息。

package me.aihe;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class UserRealm extends AuthorizingRealm {
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 从数据库获取认证信息
      //一般token为用户输入的表单，此次我们演示简单的daemon，忽略。

        String user = "aihe";
        String password = "aihe";

        //交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配，如果觉得人家的不好可以自定义实现
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                user, //用户名
                password, //密码
                null,//不加盐
                getName()  //realm name
        );

        return authenticationInfo;


    }
}

添加登录控制器

package me.aihe;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

/**
 * Created by aihe on 2017/6/15.
 */
@Controller
public class LoginCtrl {

    @RequestMapping(value = "/login",method = RequestMethod.POST)
    public String login(HttpServletRequest req , HttpSession session){

        String username = req.getParameter("username");
        String password = req.getParameter("password");
        Subject subject = SecurityUtils.getSubject();

        try {

            subject.login(new UsernamePasswordToken(username, password));
            if (subject.isAuthenticated()) {
                String principal = (String) subject.getPrincipal();

                session.setAttribute("username", principal);

                return "redirect:/success";
            }

        } catch (Exception e) {
            req.setAttribute("shiroLoginFailure", e.getClass().getName());
        }

        return "redirect:login.jsp";
    }

    @RequestMapping("/success")
    public String sucess(){
        return "success";
    }
}

编写基本视图页面

1、Login.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>登录</title>
</head>
<body>
<h1>登录界面</h1>
<form role="form" action="${pageContext.request.contextPath}/login" method="post">
        <div class="form-group">
            <input class="form-control" placeholder="账户名" name="username" autofocus>
        </div>
        <div class="form-group">
            <input class="form-control" placeholder="密码" name="password" type="password">
        </div>
        <!-- Change this to a button or input when using this as a form -->
        <input type="submit" value="登录" class="btn btn-primary form-control">
</form>

</body>
</html>

2、登录成功界面

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>成功</title>
</head>
<body>
<h1>内容页面</h1>
<a href="${pageContext.request.contextPath}/logout">   退出当前用户 </a>
</body>
</html>

项目结构

最后整个项目的结构如图

图4、项目最终结构图

其它的页面，可以自己随便写。

测试

1、程序启动时，直接进入登录页面

图5、程序启动界面

2、登录失败，登录失败之后，程序会重定向到登录页面

图6、登录失败

3、访问其它页面 没有登录的时候，访问其它页面，也会重定向到login.jsp

图7、访问其它页面重定向

4、登录成功，登录成功的时候，进入到success.jsp页面。

登录成功页面

5、当我们登录成功之后，可以再次访问这个/success页面以及应用中其它的authc页面，而不会重定向到login.jsp页面

6、点击退出登录之后，我们仍需再次登录才能访问其它页面。

总结

shiro可以做的不仅仅如图演示，我已经简化了很多这次操作，但仍然占据了很大篇幅。感兴趣的朋友可以尝试扩充更多。如以下可以扩充的地方

• Realm从数据库中获取信息
• Shiro角色授权
• 额外的shiro配置等，缓存配置，多Realm配置
• Shiro源码分析
• Shiro过滤器分析

本篇主要演示了如何在Spring或Spring MVC中集成Shiro，进行请求拦截，认证操作，最后对程序进行了测试。

参考：
shiro入门教程
Idea配置Tomcat服务器