Shiro提供了與Web集成的支持,其通過一個ShiroFilter入口來攔截需要安全控制的URL,然後進行相應的控制,ShiroFilter類似於如Strut2/SpringMVC這種web框架的前端控制器,其是安全控制的入口點,其負責讀取配置(如ini配置文件),然後判斷URL是否需要登錄/權限等工作。
7.1 準備環境
1、創建webapp應用
此處我們使用了jetty-maven-plugin和tomcat7-maven-plugin插件;這樣可以直接使用“mvn jetty:run”或“mvn tomcat7:run”直接運行webapp了。然後通過URLhttp://localhost:8080/chapter7/訪問即可。
2、依賴
Servlet3
- <dependency>
- <groupId>javax.servlet</groupId>
- <artifactId>javax.servlet-api</artifactId>
- <version>3.0.1</version>
- <scope>provided</scope>
- </dependency>
Servlet3的知識可以參考https://github.com/zhangkaitao/servlet3-showcase及Servlet3規範http://www.iteye.com/blogs/subjects/Servlet-3-1。
shiro-web
- <dependency>
- <groupId>org.apache.shiro</groupId>
- <artifactId>shiro-web</artifactId>
- <version>1.2.2</version>
- </dependency>
其他依賴請參考源碼的pom.xml。
7.2 ShiroFilter入口
1、Shiro 1.1及以前版本配置方式
- <filter>
- <filter-name>iniShiroFilter</filter-name>
- <filter-class>org.apache.shiro.web.servlet.IniShiroFilter</filter-class>
- <init-param>
- <param-name>configPath</param-name>
- <param-value>classpath:shiro.ini</param-value>
- </init-param>
- </filter>
- <filter-mapping>
- <filter-name>iniShiroFilter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
1、使用IniShiroFilter作爲Shiro安全控制的入口點,通過url-pattern指定需要安全的URL;
2、通過configPath指定ini配置文件位置,默認是先從/WEB-INF/shiro.ini加載,如果沒有就默認加載classpath:shiro.ini,即默認相對於web應用上下文根路徑;
3、也可以通過如下方式直接內嵌ini配置文件內容到web.xml
- <init-param>
- <param-name>config</param-name>
- <param-value>
- ini配置文件貼在這
- </param-value>
- </init-param>
2、Shiro 1.2及以後版本的配置方式
從Shiro 1.2開始引入了Environment/WebEnvironment的概念,即由它們的實現提供相應的SecurityManager及其相應的依賴。ShiroFilter會自動找到Environment然後獲取相應的依賴。
- <listener>
- <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
- </listener>
通過EnvironmentLoaderListener來創建相應的WebEnvironment,並自動綁定到ServletContext,默認使用IniWebEnvironment實現。
可以通過如下配置修改默認實現及其加載的配置文件位置:
- <context-param>
- <param-name>shiroEnvironmentClass</param-name>
- <param-value>org.apache.shiro.web.env.IniWebEnvironment</param-value>
- </context-param>
- <context-param>
- <param-name>shiroConfigLocations</param-name>
- <param-value>classpath:shiro.ini</param-value>
- </context-param>
shiroConfigLocations默認是“/WEB-INF/shiro.ini”,IniWebEnvironment默認是先從/WEB-INF/shiro.ini加載,如果沒有就默認加載classpath:shiro.ini。
3、與Spring集成
- <filter>
- <filter-name>shiroFilter</filter-name>
- <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
- <init-param>
- <param-name>targetFilterLifecycle</param-name>
- <param-value>true</param-value>
- </init-param>
- </filter>
- <filter-mapping>
- <filter-name>shiroFilter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
DelegatingFilterProxy作用是自動到spring容器查找名字爲shiroFilter(filter-name)的bean並把所有Filter的操作委託給它。然後將ShiroFilter配置到spring容器即可:
- <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
- <property name="securityManager" ref="securityManager"/>
- <!—忽略其他,詳見與Spring集成部分 -->
- </bean>
最後不要忘了使用org.springframework.web.context.ContextLoaderListener加載這個spring配置文件即可。
因爲我們現在的shiro版本是1.2的,因此之後的測試都是使用1.2的配置。
7.3 Web INI配置
ini配置部分和之前的相比將多出對url部分的配置。
- [main]
- #默認是/login.jsp
- authc.loginUrl=/login
- roles.unauthorizedUrl=/unauthorized
- perms.unauthorizedUrl=/unauthorized
- [users]
- zhang=123,admin
- wang=123
- [roles]
- admin=user:*,menu:*
- [urls]
- /login=anon
- /unauthorized=anon
- /static/**=anon
- /authenticated=authc
- /role=authc,roles[admin]
- /permission=authc,perms["user:create"]
其中最重要的就是[urls]部分的配置,其格式是: “url=攔截器[參數],攔截器[參數]”;即如果當前請求的url匹配[urls]部分的某個url模式,將會執行其配置的攔截器。比如anon攔截器表示匿名訪問(即不需要登錄即可訪問);authc攔截器表示需要身份認證通過後才能訪問;roles[admin]攔截器表示需要有admin角色授權才能訪問;而perms["user:create"]攔截器表示需要有“user:create”權限才能訪問。
url模式使用Ant風格模式
Ant路徑通配符支持?、*、**,注意通配符匹配不包括目錄分隔符“/”:
?:匹配一個字符,如”/admin?”將匹配/admin1,但不匹配/admin或/admin2;
*:匹配零個或多個字符串,如/admin*將匹配/admin、/admin123,但不匹配/admin/1;
**:匹配路徑中的零個或多個路徑,如/admin/**將匹配/admin/a或/admin/a/b。
url模式匹配順序
url模式匹配順序是按照在配置中的聲明順序匹配,即從頭開始使用第一個匹配的url模式對應的攔截器鏈。如:
- /bb/**=filter1
- /bb/aa=filter2
- /**=filter3
如果請求的url是“/bb/aa”,因爲按照聲明順序進行匹配,那麼將使用filter1進行攔截。
攔截器將在下一節詳細介紹。接着我們來看看身份驗證、授權及退出在web中如何實現。
1、身份驗證(登錄)
1.1、首先配置需要身份驗證的url
- /authenticated=authc
- /role=authc,roles[admin]
- /permission=authc,perms["user:create"]
即訪問這些地址時會首先判斷用戶有沒有登錄,如果沒有登錄默會跳轉到登錄頁面,默認是/login.jsp,可以通過在[main]部分通過如下配置修改:
- authc.loginUrl=/login
1.2、登錄Servlet(com.github.zhangkaitao.shiro.chapter7.web.servlet.LoginServlet)
- @WebServlet(name = "loginServlet", urlPatterns = "/login")
- public class LoginServlet extends HttpServlet {
- @Override
- protected void doGet(HttpServletRequest req, HttpServletResponse resp)
- throws ServletException, IOException {
- req.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(req, resp);
- }
- @Override
- protected void doPost(HttpServletRequest req, HttpServletResponse resp)
- throws ServletException, IOException {
- String error = null;
- String username = req.getParameter("username");
- String password = req.getParameter("password");
- Subject subject = SecurityUtils.getSubject();
- UsernamePasswordToken token = new UsernamePasswordToken(username, password);
- try {
- subject.login(token);
- } catch (UnknownAccountException e) {
- error = "用戶名/密碼錯誤";
- } catch (IncorrectCredentialsException e) {
- error = "用戶名/密碼錯誤";
- } catch (AuthenticationException e) {
- //其他錯誤,比如鎖定,如果想單獨處理請單獨catch處理
- error = "其他錯誤:" + e.getMessage();
- }
- if(error != null) {//出錯了,返回登錄頁面
- req.setAttribute("error", error);
- req.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(req, resp);
- } else {//登錄成功
- req.getRequestDispatcher("/WEB-INF/jsp/loginSuccess.jsp").forward(req, resp);
- }
- }
- }
1、doGet請求時展示登錄頁面;
2、doPost時進行登錄,登錄時收集username/password參數,然後提交給Subject進行登錄。如果有錯誤再返回到登錄頁面;否則跳轉到登錄成功頁面(此處應該返回到訪問登錄頁面之前的那個頁面,或者沒有上一個頁面時訪問主頁)。
3、JSP頁面請參考源碼。
1.3、測試
首先輸入http://localhost:8080/chapter7/login進行登錄,登錄成功後接着可以訪問http://localhost:8080/chapter7/authenticated來顯示當前登錄的用戶:
- ${subject.principal}身份驗證已通過。
當前實現的一個缺點就是,永遠返回到同一個成功頁面(比如首頁),在實際項目中比如支付時如果沒有登錄將跳轉到登錄頁面,登錄成功後再跳回到支付頁面;對於這種功能大家可以在登錄時把當前請求保存下來,然後登錄成功後再重定向到該請求即可。
Shiro內置了登錄(身份驗證)的實現:基於表單的和基於Basic的驗證,其通過攔截器實現。
2、基於Basic的攔截器身份驗證
2.1、shiro-basicfilterlogin.ini配置
- [main]
- authcBasic.applicationName=please login
- ………省略users
- [urls]
- /role=authcBasic,roles[admin]
1、authcBasic是org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter類型的實例,其用於實現基於Basic的身份驗證;applicationName用於彈出的登錄框顯示信息使用,如圖:
2、[urls]部分配置了/role地址需要走authcBasic攔截器,即如果訪問/role時還沒有通過身份驗證那麼將彈出如上圖的對話框進行登錄,登錄成功即可訪問。
2.2、web.xml
把shiroConfigLocations改爲shiro-basicfilterlogin.ini即可。
2.3、測試
輸入http://localhost:8080/chapter7/role,會彈出之前的Basic驗證對話框輸入“zhang/123”即可登錄成功進行訪問。
3、基於表單的攔截器身份驗證
基於表單的攔截器身份驗證和【1】類似,但是更簡單,因爲其已經實現了大部分登錄邏輯;我們只需要指定:登錄地址/登錄失敗後錯誤信息存哪/成功的地址即可。
3.1、shiro-formfilterlogin.ini
- [main]
- authc.loginUrl=/formfilterlogin
- authc.usernameParam=username
- authc.passwordParam=password
- authc.successUrl=/
- authc.failureKeyAttribute=shiroLoginFailure
- [urls]
- /role=authc,roles[admin]
1、authc是org.apache.shiro.web.filter.authc.FormAuthenticationFilter類型的實例,其用於實現基於表單的身份驗證;通過loginUrl指定當身份驗證時的登錄表單;usernameParam指定登錄表單提交的用戶名參數名;passwordParam指定登錄表單提交的密碼參數名;successUrl指定登錄成功後重定向的默認地址(默認是“/”)(如果有上一個地址會自動重定向帶該地址);failureKeyAttribute指定登錄失敗時的request屬性key(默認shiroLoginFailure);這樣可以在登錄表單得到該錯誤key顯示相應的錯誤消息;
3.2、web.xml
把shiroConfigLocations改爲shiro- formfilterlogin.ini即可。
3.3、登錄Servlet
- @WebServlet(name = "formFilterLoginServlet", urlPatterns = "/formfilterlogin")
- public class FormFilterLoginServlet extends HttpServlet {
- @Override
- protected void doGet(HttpServletRequest req, HttpServletResponse resp)
- throws ServletException, IOException {
- doPost(req, resp);
- }
- @Override
- protected void doPost(HttpServletRequest req, HttpServletResponse resp)
- throws ServletException, IOException {
- String errorClassName = (String)req.getAttribute("shiroLoginFailure");
- if(UnknownAccountException.class.getName().equals(errorClassName)) {
- req.setAttribute("error", "用戶名/密碼錯誤");
- } else if(IncorrectCredentialsException.class.getName().equals(errorClassName)) {
- req.setAttribute("error", "用戶名/密碼錯誤");
- } else if(errorClassName != null) {
- req.setAttribute("error", "未知錯誤:" + errorClassName);
- }
- req.getRequestDispatcher("/WEB-INF/jsp/formfilterlogin.jsp").forward(req, resp);
- }
- }
在登錄Servlet中通過shiroLoginFailure得到authc登錄失敗時的異常類型名,然後根據此異常名來決定顯示什麼錯誤消息。
4、測試
輸入http://localhost:8080/chapter7/role,會跳轉到“/formfilterlogin”登錄表單,提交表單如果authc攔截器登錄成功後,會直接重定向會之前的地址“/role”;假設我們直接訪問“/formfilterlogin”的話登錄成功將直接到默認的successUrl。
4、授權(角色/權限驗證)
4.1、shiro.ini
- [main]
- roles.unauthorizedUrl=/unauthorized
- perms.unauthorizedUrl=/unauthorized
- [urls]
- /role=authc,roles[admin]
- /permission=authc,perms["user:create"]
通過unauthorizedUrl屬性指定如果授權失敗時重定向到的地址。roles是org.apache.shiro.web.filter.authz.RolesAuthorizationFilter類型的實例,通過參數指定訪問時需要的角色,如“[admin]”,如果有多個使用“,”分割,且驗證時是hasAllRole驗證,即且的關係。Perms是org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter類型的實例,和roles類似,只是驗證權限字符串。
4.2、web.xml
把shiroConfigLocations改爲shiro.ini即可。
4.3、RoleServlet/PermissionServlet
- @WebServlet(name = "permissionServlet", urlPatterns = "/permission")
- public class PermissionServlet extends HttpServlet {
- @Override
- protected void doGet(HttpServletRequest req, HttpServletResponse resp)
- throws ServletException, IOException {
- Subject subject = SecurityUtils.getSubject();
- subject.checkPermission("user:create");
- req.getRequestDispatcher("/WEB-INF/jsp/hasPermission.jsp").forward(req, resp);
- }
- }
- @WebServlet(name = "roleServlet", urlPatterns = "/role")
- public class RoleServlet extends HttpServlet {
- @Override
- protected void doGet(HttpServletRequest req, HttpServletResponse resp)
- throws ServletException, IOException {
- Subject subject = SecurityUtils.getSubject();
- subject.checkRole("admin");
- req.getRequestDispatcher("/WEB-INF/jsp/hasRole.jsp").forward(req, resp);
- }
- }
4.4、測試
首先訪問http://localhost:8080/chapter7/login,使用帳號“zhang/123”進行登錄,再訪問/role或/permission時會跳轉到成功頁面(因爲其授權成功了);如果使用帳號“wang/123”登錄成功後訪問這兩個地址會跳轉到“/unauthorized”即沒有授權頁面。
5、退出
5.1、shiro.ini
- [urls]
- /logout=anon
指定/logout使用anon攔截器即可,即不需要登錄即可訪問。
5.2、LogoutServlet
- @WebServlet(name = "logoutServlet", urlPatterns = "/logout")
- public class LogoutServlet extends HttpServlet {
- protected void doGet(HttpServletRequest req, HttpServletResponse resp)
- throws ServletException, IOException {
- SecurityUtils.getSubject().logout();
- req.getRequestDispatcher("/WEB-INF/jsp/logoutSuccess.jsp").forward(req, resp);
- }
- }
直接調用Subject.logout即可,退出成功後轉發/重定向到相應頁面即可。
5.3、測試
首先訪問http://localhost:8080/chapter7/login,使用帳號“zhang/123”進行登錄,登錄成功後訪問/logout即可退出。
Shiro也提供了logout攔截器用於退出,其是org.apache.shiro.web.filter.authc.LogoutFilter類型的實例,我們可以在shiro.ini配置文件中通過如下配置完成退出:
- [main]
- logout.redirectUrl=/login
- [urls]
- /logout2=logout
通過logout.redirectUrl指定退出後重定向的地址;通過/logout2=logout指定退出url是/logout2。這樣當我們登錄成功後然後訪問/logout2即可退出。
示例源代碼:https://github.com/zhangkaitao/shiro-example;可加羣134755960探討Spring/Shiro技術。
