轉載自跟我學shiro
Shiro提供了與Web集成的支持,其通過一個ShiroFilter入口來攔截需要安全控制的URL,然後進行相應的控制,ShiroFilter類似於如Strut2/SpringMVC這種web框架的前端控制器,其是安全控制的入口點,其負責讀取配置(如ini配置文件),然後判斷URL是否需要登錄/權限等工作。
一、準備環境
引入依賴包shiro-web
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>${shiro.version}</version>
</dependency>
其他依賴請參考源碼的pom.xml。
二、ShiroFilter入口
2.1 Shiro 1.1及以前版本配置方式
<filter>
<filter-name>iniShiroFilter</filter-name>
<filter-class>org.apache.shiro.web.servlet.IniShiroFilter</filter-class>
<init-param>
<param-name>configPath</param-name>
<param-value>classpath:shiro.ini</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>iniShiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
1、使用IniShiroFilter作爲Shiro安全控制的入口點,通過url-pattern指定需要安全的URL;
2、通過configPath指定ini配置文件位置,默認是先從/WEB-INF/shiro.ini加載,如果沒有就默認加載classpath:shiro.ini,即默認相對於web應用上下文根路徑;
3、也可以通過如下方式直接內嵌ini配置文件內容到web.xml
<init-param>
<param-name>config</param-name>
<param-value>
ini配置文件貼在這
</param-value>
</init-param>
其他這裏就不在贅述
2.2 Shiro 1.2及以後版本的配置方式
從Shiro 1.2開始引入了Environment/WebEnvironment的概念,即由它們的實現提供相應的SecurityManager及其相應的依賴。ShiroFilter會自動找到Environment然後獲取相應的依賴。
<listener>
<listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
</listener>
通過EnvironmentLoaderListener來創建相應的WebEnvironment,並自動綁定到ServletContext,默認使用IniWebEnvironment實現。
可以通過如下配置修改默認實現及其加載的配置文件位置:
<context-param>
<param-name>shiroEnvironmentClass</param-name>
<param-value>org.apache.shiro.web.env.IniWebEnvironment</param-value>
</context-param>
<context-param>
<param-name>shiroConfigLocations</param-name>
<param-value>classpath:chapter07/shiro.ini</param-value>
</context-param>
shiroConfigLocations默認是“/WEB-INF/shiro.ini”,IniWebEnvironment默認是先從/WEB-INF/shiro.ini加載,如果沒有就默認加載classpath:shiro.ini。
2.3 與Spring集成
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
DelegatingFilterProxy作用是自動到spring容器查找名字爲shiroFilter(filter-name)的bean並把所有Filter的操作委託給它。然後將ShiroFilter配置到spring容器即可:
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<!—忽略其他,詳見與Spring集成部分 -->
</bean>
最後不要忘了使用org.springframework.web.context.ContextLoaderListener加載這個spring配置文件即可。
因爲我們現在的shiro版本是1.4的,因此之後的測試都是使用1.4的配置。
三、Web INI配置
ini配置部分和之前的相比將多出對url部分的配置。
[main]
#默認是/login.jsp
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized
perms.unauthorizedUrl=/unauthorized
logout.redirectUrl=/login
[users]
crystal=123,admin
barry=123
[roles]
admin=user:*,menu:*
[urls]
/logout2=logout
/login=anon
/logout=anon
/unauthorized=anon
/static/**=anon
/authenticated=authc
/role=authc,roles[admin]
/permission=authc,perms["user:create"]
其中最重要的就是[urls]部分的配置,其格式是: “url=攔截器[參數],攔截器[參數]”;即如果當前請求的url匹配[urls]部分的某個url模式,將會執行其配置的攔截器。比如anon攔截器表示匿名訪問(即不需要登錄即可訪問);authc攔截器表示需要身份認證通過後才能訪問;roles[admin]攔截器表示需要有admin角色授權才能訪問;而perms[“user:create”]攔截器表示需要有“user:create”權限才能訪問。
url模式使用Ant風格模式
Ant路徑通配符支持?、、*,注意通配符匹配不包括目錄分隔符“/”:
?:匹配一個字符,如”/admin?”將匹配/admin1,但不匹配/admin或/admin2;
*:匹配零個或多個字符串,如/admin*將匹配/admin、/admin123,但不匹配/admin/1;
**:匹配路徑中的零個或多個路徑,如/admin/**將匹配/admin/a或/admin/a/b。
url模式匹配順序
url模式匹配順序是按照在配置中的聲明順序匹配,即從頭開始使用第一個匹配的url模式對應的攔截器鏈。如:
/bb/**=filter1
/bb/aa=filter2
/**=filter3
如果請求的url是“/bb/aa”,因爲按照聲明順序進行匹配,那麼將使用filter1進行攔截。
攔截器將在下一節詳細介紹。接着我們來看看身份驗證、授權及退出在web中如何實現。
3.1 身份驗證(登錄)
3.1.1 首先配置需要身份驗證的url
/authenticated=authc
/role=authc,roles[admin]
/permission=authc,perms["user:create"]
即訪問這些地址時會首先判斷用戶有沒有登錄,如果沒有登錄默會跳轉到登錄頁面,默認是/login.jsp,可以通過在[main]部分通過如下配置修改:
authc.loginUrl=/login
3.1.2 登錄Servlet(com.github.crystal.chapter07.web.servlet.LoginServlet)
@WebServlet(name = "loginServlet", urlPatterns = "/login")
public class LoginServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
req.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(req, resp);
}
@Override
protected void doPost(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
String error = null;
String username = req.getParameter("username");
String password = req.getParameter("password");
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
try {
subject.login(token);
} catch (UnknownAccountException e) {
error = "用戶名/密碼錯誤";
} catch (IncorrectCredentialsException e) {
error = "用戶名/密碼錯誤";
} catch (AuthenticationException e) {
//其他錯誤,比如鎖定,如果想單獨處理請單獨catch處理
error = "其他錯誤:" + e.getMessage();
}
if(error != null) {//出錯了,返回登錄頁面
req.setAttribute("error", error);
req.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(req, resp);
} else {//登錄成功
req.getRequestDispatcher("/WEB-INF/jsp/loginSuccess.jsp").forward(req, resp);
}
}
}
1、doGet請求時展示登錄頁面;
2、doPost時進行登錄,登錄時收集username/password參數,然後提交給Subject進行登錄。如果有錯誤再返回到登錄頁面;否則跳轉到登錄成功頁面(此處應該返回到訪問登錄頁面之前的那個頁面,或者沒有上一個頁面時訪問主頁)。
3、JSP頁面請參考源碼。
3.1.3 測試
首先輸入http://localhost:8080/shiro-learn/login進行登錄,登錄成功後接着可以訪問http://localhost:8080/shiro-learn/authenticated來顯示當前登錄的用戶:
${subject.principal}身份驗證已通過。
當前實現的一個缺點就是,永遠返回到同一個成功頁面(比如首頁),在實際項目中比如支付時如果沒有登錄將跳轉到登錄頁面,登錄成功後再跳回到支付頁面;對於這種功能大家可以在登錄時把當前請求保存下來,然後登錄成功後再重定向到該請求即可。
Shiro內置了登錄(身份驗證)的實現:基於表單的和基於Basic的驗證,其通過攔截器實現。
3.2 基於Basic的攔截器身份驗證
3.2.1 shiro-basicfilterlogin.ini配置
[main]
authcBasic.applicationName=please login
#………省略users
[urls]
/role=authcBasic,roles[admin]
1、authcBasic是org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter類型的實例,其用於實現基於Basic的身份驗證;applicationName用於彈出的登錄框顯示信息使用,如圖:
2、[urls]部分配置了/role地址需要走authcBasic攔截器,即如果訪問/role時還沒有通過身份驗證那麼將彈出如上圖的對話框進行登錄,登錄成功即可訪問。
3.2.2 web.xml
把shiroConfigLocations改爲shiro-basicfilterlogin.ini即可。
3.2.3 測試
輸入http://localhost:8080/shiro-learn/role,會彈出之前的Basic驗證對話框輸入“crystal/123”即可登錄成功進行訪問。
3.3 基於表單的攔截器身份驗證
基於表單的攔截器身份驗證和【1】類似,但是更簡單,因爲其已經實現了大部分登錄邏輯;我們只需要指定:登錄地址/登錄失敗後錯誤信息存哪/成功的地址即可。
3.3.1 shiro-formfilterlogin.ini
[main]
authc.loginUrl=/formfilterlogin
authc.usernameParam=username
authc.passwordParam=password
authc.successUrl=/
authc.failureKeyAttribute=shiroLoginFailure
[urls]
/role=authc,roles[admin]
1、authc是org.apache.shiro.web.filter.authc.FormAuthenticationFilter類型的實例,其用於實現基於表單的身份驗證;通過loginUrl指定當身份驗證時的登錄表單;usernameParam指定登錄表單提交的用戶名參數名;passwordParam指定登錄表單提交的密碼參數名;successUrl指定登錄成功後重定向的默認地址(默認是“/”)(如果有上一個地址會自動重定向帶該地址);failureKeyAttribute指定登錄失敗時的request屬性key(默認shiroLoginFailure);這樣可以在登錄表單得到該錯誤key顯示相應的錯誤消息;
3.3.2 web.xml
把shiroConfigLocations改爲shiro- formfilterlogin.ini即可。
3.3.3 登錄Servlet
@WebServlet(name = "formFilterLoginServlet", urlPatterns = "/formfilterlogin")
public class FormFilterLoginServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
doPost(req, resp);
}
@Override
protected void doPost(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
String errorClassName = (String)req.getAttribute("shiroLoginFailure");
if(UnknownAccountException.class.getName().equals(errorClassName)) {
req.setAttribute("error", "用戶名/密碼錯誤");
} else if(IncorrectCredentialsException.class.getName().equals(errorClassName)) {
req.setAttribute("error", "用戶名/密碼錯誤");
} else if(errorClassName != null) {
req.setAttribute("error", "未知錯誤:" + errorClassName);
}
req.getRequestDispatcher("/WEB-INF/jsp/formfilterlogin.jsp").forward(req, resp);
}
}
在登錄Servlet中通過shiroLoginFailure得到authc登錄失敗時的異常類型名,然後根據此異常名來決定顯示什麼錯誤消息。
3.3.4 測試
輸入http://localhost:8080/shiro-learn/role,會跳轉到“/formfilterlogin”登錄表單,提交表單如果authc攔截器登錄成功後,會直接重定向會之前的地址“/role”;假設我們直接訪問“/formfilterlogin”的話登錄成功將直接到默認的successUrl。
3.4 授權(角色/權限驗證)
3.4.1 shiro.ini
[main]
roles.unauthorizedUrl=/unauthorized
perms.unauthorizedUrl=/unauthorized
[urls]
/role=authc,roles[admin]
/permission=authc,perms["user:create"]
通過unauthorizedUrl屬性指定如果授權失敗時重定向到的地址。roles是org.apache.shiro.web.filter.authz.RolesAuthorizationFilter類型的實例,通過參數指定訪問時需要的角色,如“[admin]”,如果有多個使用“,”分割,且驗證時是hasAllRole驗證,即且的關係。Perms是org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter類型的實例,和roles類似,只是驗證權限字符串。
4.4.2 web.xml
把shiroConfigLocations改爲shiro.ini即可。
4.4.3 RoleServlet/PermissionServlet
@WebServlet(name = "permissionServlet", urlPatterns = "/permission")
public class PermissionServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
Subject subject = SecurityUtils.getSubject();
subject.checkPermission("user:create");
req.getRequestDispatcher("/WEB-INF/jsp/hasPermission.jsp").forward(req, resp);
}
}
@WebServlet(name = "roleServlet", urlPatterns = "/role")
public class RoleServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
Subject subject = SecurityUtils.getSubject();
subject.checkRole("admin");
req.getRequestDispatcher("/WEB-INF/jsp/hasRole.jsp").forward(req, resp);
}
}
4.4.4 測試
首先訪問http://localhost:8080/shiro-learn/login,使用帳號“crystal/123”進行登錄,再訪問/role或/permission時會跳轉到成功頁面(因爲其授權成功了);如果使用帳號“barry/123”登錄成功後訪問這兩個地址會跳轉到“/unauthorized”即沒有授權頁面。
4.5 退出
4.5.1 shiro.ini
[urls]
/logout=anon
指定/logout使用anon攔截器即可,即不需要登錄即可訪問。
4.5.2 LogoutServlet
@WebServlet(name = "logoutServlet", urlPatterns = "/logout")
public class LogoutServlet extends HttpServlet {
protected void doGet(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
SecurityUtils.getSubject().logout();
req.getRequestDispatcher("/WEB-INF/jsp/logoutSuccess.jsp").forward(req, resp);
}
}
直接調用Subject.logout即可,退出成功後轉發/重定向到相應頁面即可。
4.5.3 測試
首先訪問http://localhost:8080/shiro-learn/login,使用帳號“crystal/123”進行登錄,登錄成功後訪問/logout即可退出。
Shiro也提供了logout攔截器用於退出,其是org.apache.shiro.web.filter.authc.LogoutFilter類型的實例,我們可以在shiro.ini配置文件中通過如下配置完成退出:
[main]
logout.redirectUrl=/login
[urls]
/logout2=logout
通過logout.redirectUrl指定退出後重定向的地址;通過/logout2=logout指定退出url是/logout2。這樣當我們登錄成功後然後訪問/logout2即可退出。