springmvc shiro使用

### Apache Shiro 与 Spring MVC 的集成应用 在软件开发领域，尤其是对于那些涉及用户登录、权限控制的应用来说，安全框架的重要性不言而喻。Apache Shiro 作为一款功能强大的安全框架，在Java应用的安全管理方面提供了全面的支持。本文将详细介绍如何在Spring MVC项目中集成并使用Apache Shiro进行身份验证和授权。 #### Apache Shiro简介 Apache Shiro 是一个强大且易用的Java安全框架，可以提供认证、授权、加密和会话管理功能，同时具备良好的扩展性和灵活性。它通过三大核心组件——Subject（主题）、SecurityManager（安全管理器）和Realms（领域）实现其功能： - **Subject**：是所有用户操作的入口，代表了用户的身份。 - **SecurityManager**：负责管理Subject以及所有与安全有关的操作。 - **Realms**：用于获取用户数据，是连接Shiro与应用数据源的桥梁。 #### 集成Shiro到Spring MVC中的步骤 ##### 1. 添加Maven依赖 需要在项目的`pom.xml`文件中添加Shiro的核心库和Spring集成模块的依赖。例如： ```xml <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>${shiro.version}</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>${shiro.version}</version> </dependency> </dependencies> <properties> <shiro.version>1.2.4</shiro.version> </properties> ``` 这里定义了两个依赖：`shiro-core` 和 `shiro-spring`，分别用于提供Shiro的核心功能和与Spring框架集成的功能。版本号`${shiro.version}`通过`<properties>`标签设置，方便统一管理。 ##### 2. 配置Web Filter 接下来，需要在`web.xml`中配置Shiro Filter，以便于拦截所有的请求并进行安全性检查： ```xml <filter> <filter-name>ShiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <param-name>targetFilterLifecycle</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>ShiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 这段配置指定了使用Spring提供的代理过滤器`DelegatingFilterProxy`，并通过`targetFilterLifecycle`参数确保过滤器可以在每个HTTP请求周期内被正确调用。 ##### 3. 配置Spring Security Manager 在Spring的配置文件（如`applicationContext.xml`）中，需要定义Shiro的核心组件，并与Spring容器整合。示例如下： ```xml <bean id="mybatisRealm" class="com.hq.bm.service.realm.MybatisRealm"> <property name="credentialsMatcher"> <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher"> <property name="hashAlgorithmName" value="MD5"/> <property name="storedCredentialsHexEncoded" value="true"/> </bean> </property> </bean> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="mybatisRealm"/> </bean> <bean id="ShiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <property name="loginUrl" value="/login.html"/> <property name="filterChainDefinitions"> <value> /restful/user/login=anon /restful/permission/findByLoginName=anon /restful/codeImage/getCode=anon /restful/app/downloadApp/**=anon /img/**=anon /css/**=anon /js/**=anon /logout=logout /**=user </value> </property> </bean> <!-- 支持Shiro注解 --> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"/> </bean> ``` 这里的配置主要包括： - 定义自定义的Realm类`MybatisRealm`，并配置密码匹配器`HashedCredentialsMatcher`。 - 创建`DefaultWebSecurityManager`实例，并绑定自定义的Realm。 - 配置ShiroFilterFactoryBean，设置登录页面URL、过滤规则等。 - 为支持Shiro注解，添加`AuthorizationAttributeSourceAdvisor` Bean。 通过以上步骤，我们可以成功地将Apache Shiro集成到Spring MVC项目中，实现基于角色的访问控制、用户身份验证等功能。这种集成方式不仅提高了应用的安全性，还简化了开发流程，使得开发者可以更加专注于业务逻辑的实现。