Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、加密等功能,可以保护你的应用程序免受恶意攻击。在本文中,我们将介绍如何将Apache Shiro集成到Spring Web应用程序中。
一、添加依赖项
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.7.1</version>
</dependency>
二、配置Shiro
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="myRealm"/>
</bean>
<bean id="myRealm" class="com.example.MyRealm">
<!-- 设置密码匹配器 -->
<property name="credentialsMatcher">
<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<property name="hashAlgorithmName" value="SHA-256"/>
<property name="hashIterations" value="1000"/>
</bean>
</property>
</bean>
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/login"/>
<property name="successUrl" value="/home"/>
<property name="unauthorizedUrl" value="/unauthorized"/>
<property name="filterChainDefinitions">
<value>
/login = anon
/logout = logout
/static/** = anon
/** = authc
</value>
</property>
</bean>
上面的配置中,我们定义了一个SecurityManager
和一个Realm,用于处理身份验证和授权请求。我们还定义了一个ShiroFilterFactoryBean
,用于创建一个ShiroFilter
,该Filter将处理所有的请求。
我们将所有请求都通过authc过滤器,这意味着只有已经通过身份验证的用户才能访问它们。我们还定义了一些例外,如/login
和/static/**
,这些路径将不需要身份验证。
三、创建Realm
接下来,我们需要创建一个Realm来处理身份验证和授权请求。以下是一个示例Realm的实现:
public class MyRealm extends AuthorizingRealm {
@Autowired
private UserService userService;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
String username = (String) principals.getPrimaryPrincipal();
// 从数据库中获取用户的角色和权限信息
Set<String> roles = userService.findRolesByUsername(username);
Set<String> permissions = userService.findPermissionsByUsername(username);
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
authorizationInfo.setRoles(roles);
authorizationInfo.setStringPermissions(permissions);
return authorizationInfo;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String username = (String) token.getPrincipal();
String password = new String((char[]) token.getCredentials());
// 从数据库中获取用户信息
User user = userService.findByUsername(username);
// 如果用户不存在,则抛出异常
if (user == null) {
throw new UnknownAccountException("用户不存在");
}
// 验证用户密码是否正确
if (!password.equals(user.getPassword())) {
throw new IncorrectCredentialsException("用户名或密码错误");
}
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, password, getName());
return authenticationInfo;
}
在这个Realm中,我们实现了doGetAuthorizationInfo
和doGetAuthenticationInfo
两个方法。
doGetAuthorizationInfo
用于获取用户的角色和权限信息,这些信息可以从数据库或其他数据源中获取。在这个示例中,我们通过调用一个UserService来获取用户的角色和权限。
doGetAuthenticationInfo
用于验证用户的身份。在这个示例中,我们从数据库中获取用户的信息,并比较密码是否匹配。如果密码不匹配,则抛出一个异常。
四、 编写控制器
现在我们已经设置好了Shiro,接下来我们需要编写一些控制器来处理请求。以下是一个示例控制器:
@Controller
public class HomeController {
@RequestMapping("/home")
public String home() {
return "home";
}
@RequestMapping("/login")
public String login() {
return "login";
}
@RequestMapping("/logout")
public String logout() {
SecurityUtils.getSubject().logout();
return "redirect:/login";
}
@RequestMapping("/unauthorized")
public String unauthorized() {
return "unauthorized";
}
}
在这个示例中,我们定义了一个HomeController
,它包含了一些方法来处理请求。/home
方法将返回一个home视图,/login
方法将返回一个login视图,/logout
方法将注销用户并重定向到login视图,/unauthorized
方法将返回一个unauthorized
视图。
五、创建视图
<html>
<body>
<h1>Login</h1>
<form method="post" action="/login">
<label for="username">Username:</label>
<input type="text" id="username" name="username"/><br/>
<label for="password">Password:</label>
<input type="password" id="password" name="password"/><br/>
<input type="submit" value="Login"/>
</form>
</body>
</html>
在这个示例中,我们创建了一个简单的登录表单,用户可以在表单中输入他们的用户名和密码,并将表单提交到/login
路径。
六、配置Shiro
最后一步是在Spring中配置Shiro。我们需要创建一个ShiroConfig类,用于配置Shiro和Spring的集成。以下是一个示例ShiroConfig类:
@Configuration
public class ShiroConfig {
@Bean
public ShiroFilterFactoryBean shiroFilter() {
ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
shiroFilter.setSecurityManager(securityManager());
shiroFilter.setLoginUrl("/login");
shiroFilter.setSuccessUrl("/home");
shiroFilter.setUnauthorizedUrl("/unauthorized");
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
filterChainDefinitionMap.put("/login", "anon");
filterChainDefinitionMap.put("/logout", "logout");
filterChainDefinitionMap.put("/**", "authc");
shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilter;
}
@Bean
public DefaultWebSecurityManager securityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(realm());
return securityManager;
}
@Bean
public UserRealm realm() {
UserRealm realm = new UserRealm();
return realm;
}
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
advisor.setSecurityManager(securityManager());
return advisor;
}
}
在这个示例中,我们定义了一个ShiroFilterFactoryBean
和一个DefaultWebSecurityManager
,用于配置Shiro过滤器和安全管理器。我们还定义了一个UserRealm,用于获取用户的角色和权限信息。
在ShiroFilterFactoryBean中,我们定义了一个过滤器链,用于将请求映射到相应的过滤器。在这个示例中,我们定义了一个匿名访问/login路径,注销/logout路径,以及authc过滤器用于验证身份。我们还定义了登录成功的默认URL,以及未经授权的URL。
在DefaultWebSecurityManager
中,我们设置了我们定义的UserRealm
。
最后,我们定义了一个AuthorizationAttributeSourceAdvisor
,用于启用基于注释的授权。这将允许我们在控制器方法上使用@RequiresRoles
和@RequiresPermissions
注释来限制访问。
七、测试
现在我们已经完成了Shiro的集成和配置,我们可以启动应用程序并进行测试。在浏览器中访问http://localhost:8080/login
,输入用户名和密码,然后单击登录按钮。如果用户名和密码正确,你将被重定向到http://localhost:8080/home
。如果用户名或密码不正确,你将收到一个错误消息。
如果你尝试访问/home
路径,你将被重定向到http://localhost:8080/login
路径,因为你还没有通过身份验证。如果你注销并再次尝试访问/home路径,你将收到一个未经授权的错误消息。