下面来说一下如何在Web下使用Shiro。
在大部分Web开发环境下,都是使用Spring与Shiro进行集成,所以下面直接来讲解Shiro与Spring集成的方式。

一、准备环境

(1)加入Spring和Shiro的jar包
首先在MyEclipse中新建一个Web工程:

 

 

 

 

然后在lib下加入Spring的相关jar包:

 

然后加入Shiro的相关jar包:

 

(2)配置Spring以及SpringMVC

接下来配置Spring:

首先在WEB-INF下的Web.xml中配置Spring的contextConfigLocation:

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
	xmlns="http://java.sun.com/xml/ns/javaee" 
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" 
	id="WebApp_ID" version="3.0">
	
	<context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>classpath:applicationContext.xml</param-value>
	</context-param>

	<listener>
		<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
	</listener>

</web-app>

然后在src下新建applicationContext.xml文件:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
	http://www.springframework.org/schema/beans/spring-beans.xsd">

</beans>

然后配置SpringMVC环境,在Web.xml添加SpringMVC的前端控制器DispatcherServlet:

<servlet>
	<servlet-name>spring</servlet-name>
	<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
	<load-on-startup>1</load-on-startup>
</servlet>

<servlet-mapping>
	<servlet-name>spring</servlet-name>
	<url-pattern>/</url-pattern>
</servlet-mapping>

然后在WEB-INF下新建一个SpringMVC的配置文件,并加入SpringMVC的基本配置:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:mvc="http://www.springframework.org/schema/mvc"
	xmlns:context="http://www.springframework.org/schema/context"
	xsi:schemaLocation="http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc-4.0.xsd
		http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
		http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-4.0.xsd">
	
	<context:component-scan base-package="com.test.shiro">
        </context:component-scan>
	
	<bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
		<property name="prefix" value="/"></property>
		<property name="suffix" value=".jsp"></property>
	</bean>
	
	<mvc:annotation-driven></mvc:annotation-driven>
	<mvc:default-servlet-handler/>

</beans>

其中加入包扫描、视图前后缀、注解的处理器适配器和映射器,以及基本的servletHandler。

然后在WebRoot下创建一个名为user的jsp页面:

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <title>USER</title>
  </head>
  <body>
    This is User page. <br>
  </body>
</html>

然后将Web项目部署在Tomcat中:

 

 

启动项目,访问之前添加的user页面,如果访问成功就可以看到相关页面:

 

上面的jsp加载成功,证明我们的Spring和Spring MVC基本环境搭建成功。

(3)配置Shiro环境

接下来配置Shiro的开发环境:
首先在web.xml文件中添加Shiro的核心过滤

<!-- 
1. 配置  Shiro 的 shiroFilter.  
2. DelegatingFilterProxy 实际上是 Filter 的一个代理对象. 默认情况下, Spring 会到 IOC 容器中查找和 
<filter-name> 对应的 filter bean. 也可以通过 targetBeanName 的初始化参数来配置 filter bean 的 id. 
-->
<filter>
	<filter-name>shiroFilter</filter-name>
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	<init-param>
		<param-name>targetFilterLifecycle</param-name>
		<param-value>true</param-value>
	</init-param>
</filter>

<filter-mapping>
	<filter-name>shiroFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

然后在Spring的配置文件applicationContext.xml下加入Shiro的配置,由于文件中的配置比较多,不过不用着急,我们一个一个添加并分析。

1.配置SecurityManager

首先配置的第一个是Shiro的核心组件SecurityManager,在该配置中配置了三个属性,分别是cacheManager、authenticator以及realms。之前提到过CacheManager为缓存控制器,来管理如用户、角色、权限等信息的缓存,而authenticator负责Subject认证,Realm为安全实体数据源。

<!--1. 配置 SecurityManager-->     
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="cacheManager" ref="cacheManager"/>
    <property name="realm" ref="shiroRealm"/>
</bean>

上面我们暂时配置了cacheManager与realm(可以配置多个,这里暂时配置一个)。authenticator的配置在之后的总结中详细讲解。

2.配置 CacheManager

紧跟着下面就是cacheManager的配置,这里需要使用第三方的缓存API,如Redis或ehcache。这里我们使用的是ehcache,其jar包已经添加在lib中,在cacheManager的配置中指定cacheManagerConfigFile的配置文件为ehcache的配置文件即可:

<!--  
2. 配置 CacheManager. 
2.1 需要加入 ehcache 的 jar 包及配置文件. 
-->     
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
	<property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/> 
</bean>

ehcache.xml配置文件的内容在后面详述,这里先不详细讲解。

3.配置Realm
然后配置紧跟着是Realm的配置,由于测试样例目前不连接数据库,所以这里我们自定义一个Realm
配置:

<!-- 
	3. 配置 Realm 
	3.1 直接配置实现了 com.test.shiro.realms.ShiroRealm 接口的 bean
-->     
<bean id="jdbcRealm" class="com.test.shiro.realms.ShiroRealm"></bean>

里面就是我们自定义的Realm数据源,具体逻辑如下:

package com.test.shiro.realms;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.realm.Realm;
public class ShiroRealm implements Realm{
	@Override
	public AuthenticationInfo getAuthenticationInfo(AuthenticationToken arg0)
			throws AuthenticationException {
		return null;
	}
	@Override
	public String getName() {
		return null;
	}

	@Override
	public boolean supports(AuthenticationToken arg0) {
		return false;
	}
}

实现Realm数据源类,必须继承Realm提供的org.apache.shiro.realm.Realm接口,并实现getAuthenticationInfo、getName以及supports方法(这里主要讲解框架的搭建,具体方法细节在之后会详细介绍)。

4.配置LifecycleBeanPostProcessor

然后配置LifecycleBeanPostProcessor(Bean生命周期过程处理器,可以自动来调用配置在Spring IOC容器中shiro bean的生命周期方法. )

<!--  
4. 配置 LifecycleBeanPostProcessor. 可以自动来调用配置在 Spring IOC 容器中 shiro bean 的生命周期方法. 
-->       
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

5.启用shiro 的注解

启用IOC容器中使用shiro的注解。但必须在配置了LifecycleBeanPostProcessor之后才可以使用:

<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
	  depends-on="lifecycleBeanPostProcessor"/>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
	<property name="securityManager" ref="securityManager"/>
</bean>

6.配置ShiroFilter
记得之前我们在web.xml中加入了Shiro的过滤器,名称为“ShiroFilter”,而该bean就配置在
applicationContext.xml中:

<!--  
6. 配置 ShiroFilter. 
6.1 id 必须和 web.xml 文件中配置的 DelegatingFilterProxy 的 <filter-name> 一致.
若不一致, 则会抛出: NoSuchBeanDefinitionException. 因为 Shiro 会来 IOC 容器中查找和 <filter-name> 名字对应的 filter bean.
-->     
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
	<property name="securityManager" ref="securityManager"/>
	<property name="loginUrl" value="/login.jsp"/>
	<property name="successUrl" value="/list.jsp"/>
	<property name="unauthorizedUrl" value="/unauthorized.jsp"/>
	<!--  
		配置哪些页面需要受保护. 
		以及访问这些页面需要的权限. 
		1). anon 可以被匿名访问
		2). authc 必须认证(即登录)后才可能访问的页面. 
	-->	
       <property name="filterChainDefinitions">
		<value>
			/login.jsp = anon
			# everything else requires authentication:
			/** = authc
		</value>
	</property>
</bean>

在上面的配置中,其中securityManager就是最上面的配置对应的bean,而loginUrl、successUrl以及unauthorizedUrl配置的是登录页面、登录成功页以及未授权页的路径,这里我们分别在WebRoot下添加这三个页面:

 

下面的filterChainDefinitions表示的是配置哪些页面需要受保护,以及访问这些页面需要的权限。说白了它就是代表一个过滤器的过滤数据集合。在filterChainDefinitions中我们仅配置login.jsp页面为可匿名访问的页面,其它所有页面都必须认证后才可访问。

上面完整的Shiro基础配置如下:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <!--1. 配置 SecurityManager-->     
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="cacheManager" ref="cacheManager"/>
        <property name="realm" ref="shiroRealm"/>
    </bean>

    <!--  
    2. 配置 CacheManager. 
    2.1 需要加入 ehcache 的 jar 包及配置文件. 
    -->     
    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/> 
    </bean>
    <!-- 
    	3. 配置 Realm 
    	3.1 直接配置实现了 org.apache.shiro.realm.Realm 接口的 bean
    -->     
    <bean id="shiroRealm" class="com.test.shiro.realms.ShiroRealm"></bean>

    <!--  
    4. 配置 LifecycleBeanPostProcessor. 可以自定的来调用配置在 Spring IOC 容器中 shiro bean 的生命周期方法. 
    -->       
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

    <!--  
    5. 启用 IOC 容器中使用 shiro 的注解. 但必须在配置了 LifecycleBeanPostProcessor 之后才可以使用. 
    -->     
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor"/>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

    <!-- 6. 配置 ShiroFilter. 
    6.1 id 必须和 web.xml 文件中配置的 DelegatingFilterProxy 的 <filter-name> 一致.
       若不一致, 则会抛出: NoSuchBeanDefinitionException. 因为 Shiro 会来 IOC 容器中查找和 <filter-name> 名字对应的 filter bean.
    -->     
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login.jsp"/>
        <property name="successUrl" value="/list.jsp"/>
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        <!--  
        	配置哪些页面需要受保护. 
        	以及访问这些页面需要的权限. 
        	1). anon 可以被匿名访问
        	2). authc 必须认证(即登录)后才可能访问的页面. 
        -->
        <property name="filterChainDefinitions">
            <value>
                /login.jsp = anon
                everything else requires authentication:
                /** = authc
            </value>
        </property>
    </bean>

</beans>

在上面的配置中,第二步配置中使用了ehcache,所以需要在src下添加名为"ehcache.xml"的配置文件:

<ehcache>

    <diskStore path="java.io.tmpdir"/>
   
    <cache name="authorizationCache"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>

    <cache name="authenticationCache"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>

    <cache name="shiro-activeSessionCache"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>

    <defaultCache
        maxElementsInMemory="10000"
        eternal="false"
        timeToIdleSeconds="120"
        timeToLiveSeconds="120"
        overflowToDisk="true"
        />

    <cache name="sampleCache1"
        maxElementsInMemory="10000"
        eternal="false"
        timeToIdleSeconds="300"
        timeToLiveSeconds="600"
        overflowToDisk="true"
        />

    <cache name="sampleCache2"
        maxElementsInMemory="1000"
        eternal="true"
        timeToIdleSeconds="0"
        timeToLiveSeconds="0"
        overflowToDisk="false"
        /> 
</ehcache>

其中defaultCache是默认配置,其余的是我们后面需要测试时使用的cache配置。

目前已经将Shiro所有的基础配置编写完毕,这里保存applicationContext.xml文件,并重启项目。

根据Shiro的shiroFilter中的filterChainDefinitions配置,只能访问login.jsp页面,访问其它页面都应该被重定向到login.jsp页面:

 

至此,一个基本的Spring与Shiro的集成的效果就出来了。关于配置方面,还有很多配置以及细节

没有讲解,在后面的总结中会一一拓展和讲解。