安全框架Apache Shiro学习心得
关于Shiro的介绍网上有太多,就不赘述了,写这篇文章的目的就是记录一下使用配置的要点。
1. Web.xml配置,Shiro的filter必须放在其他filter之前
shiroFilter
org.springframework.web.filter.DelegatingFilterProxy
targetFilterLifecycle
true
shiroFilter
/*
2. Spring Context配置,都是官网摘来的,就不详述了。有以下问题需要注意:
1) Shiro提供的realm没有需要的,所以自己写了个
2) successUrl和unauthorizedUrl调试时曾经没有起作用,后来莫名其妙好了,原因不明,可能是开始代码或配置有问题,比如:为了测试权限注解,在login Action里调用了一个加上了@RequiresPermissions("account:create")的private method,不深究了。
/refuse = anon
/** = authc
3. 为了支持Shiro的注释,按官方文档的介绍,在applicationContext.xml加两个bean定义:DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor。
可是测试下来却不起作用,搜了半天,终于找到原因,原来用了spring mvc的话就需要把这两个bean定义写在相应的springmvc-servlet.xml文件中,并加上SimpleMappingExceptionResolver
shiro-test/refuse
4. 自定义的realm必须继承AuthorizingRealm,并实现两个Abstract方法doGetAuthorizationInfo和doGetAuthenticationInfo
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
String username = (String) principals.fromRealm(getName()).iterator().next();
if (username != null) {
try {
User user = userMgntService.getUserByUserCode(username);
if (user != null && user.getRole() != null) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addRole(user.getRole().getRoleName());
info.addStringPermission("account:view");
return info;
}
} catch (AppException e) {
logger.error(e, e);
}
}
return null;
}
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken authcToken ) throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
String userName = token.getUsername();
if (userName != null && !"".equals(userName.trim())) {
try {
User user = userMgntService.getUserByUserCode(token.getUsername());
if (user != null && user.getPassword().equals(String.valueOf(token.getPassword())))
return new SimpleAuthenticationInfo(user.getUserCode(),
user.getPassword(), getName());
} catch (AppException e) {
logger.error(e, e);
}
}
return null;
}5. 如果jsp的login form按照官方文档的写法,表单元素的名字都和文档一样的话,那么login Action基本不需要做太多操作,只需要完成验证失败的跳转。验证成功的话不会回到/login,而是从realm一直往下走跳到successUrl,默认的FormAuthenticationFilter会找这三个requestparameters:username,password andrememberMe,如果非要用不一样的名字,那么就设置FormAuthenticationFilter的这几个参数
[main]
...
authc.loginUrl = /whatever.jsp
authc.usernameParam = somethingOtherThanUsername
authc.passwordParam = somethingOtherThanPassword
authc.rememberMeParam = somethingOtherThanRememberMe
...@RequestMapping(value = "/login")
public String login(String username, String password) {
return "shiro-test/login";
}