简单两步快速实现shiro的配置和使用，包含登录验证、角色验证、权限验证以及shiro登录注销流程（基于spring的方式，使用maven构建）

前言：

shiro因为其简单、可靠、实现方便而成为现在最常用的安全框架，那么这篇文章除了会用简洁明了的方式讲一下基于spring的shiro详细配置和登录注销功能使用之外，也会根据惯例在文章最后总结一下shiro的大致配置使用流程，希望本篇文章能够后能给大家一种原来shiro这么简单的错觉感觉。

注意：该篇文章的开始是建立在一个完备的spring+mybatis的开发环境中，除了shiro之外的配置基本不会涉及到。做好自己--eguid原创文章

一、依赖的jar包

本篇文章使用shiro-1.4.0版本

1、shiro官方下载地址：http://shiro.apache.org/download.html

2、maven依赖项：

[html] view plain copy

print?

<dependency>

<groupId>org.apache.shiro</groupId>

<artifactId>shiro-spring</artifactId>

<version>1.4.0</version>

</dependency>

为什么maven只需要shiro-spring这个依赖项就行了，因为shiro-spring依赖shiro-core和shiro-web两个包，所以会自动继承shiro-core和shiro-web以及这两个包所依赖的项。

二、基于spring的配置方式

1、配置shiro过滤器

[html] view plain copy

print?

<!-- shiro过滤器 -->

<filter>

<filter-name>shiroFilter</filter-name>

<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

<init-param>

<param-name>targetFilterLifecycle</param-name>

<param-value>true</param-value>

</init-param>

</filter>

<filter-mapping>

<filter-name>shiroFilter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

2、基于spring的shiro配置

注意事项：spring在加载上下文的时候，是没有扫描注解的，由于我们在自定义的realm中用到了spring的注解，所以需要在shiro的自定义realm之前进行注解扫描。

<context:component-scan base-package="cc.eguid" />

（1）spring下的shiro完整配置

[html] view plain copy

print?

<!-- shiro的生命周期处理器 -->

<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

<!-- 使用shiro安全检查注解 -->

<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor" />

<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">

<property name="securityManager" ref="securityManager" />

</bean>

<!-- 自定义的安全数据源，用来实现自定义的登录验证、角色验证、权限验证 -->

<bean id="myRealm" class="cc.eguid.shiro.MyRealm"/>

<!-- 安全管理器 -->

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

<property name="realm" ref="myRealm" />

</bean>

<!-- shiro过滤器 -->

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

<!-- 配置安全管理器 -->

<property name="securityManager" ref="securityManager" />

<!-- 身份认证失败跳转的地址，没有登录当然就跳转到登录地址 -->

<property name="loginUrl" value="/login/" />

<!-- 身份认证成功跳转的地址，一般登录成功后会跳转到系统首页 -->

<property name="successUrl" value="/" />

<!-- 权限认证失败跳转的地址 ，用来提示当前用户没有操作权限，可以不需要-->

<property name="unauthorizedUrl" value="/login/unauthorized" />

<property name="filterChainDefinitions">

<!--anon 表示匿名访问，不需要认证以及授权 -->

<!--authc表示需要认证 没有进行身份认证是不能进行访问的 -->

<!--authc，roles[admin]表示是admin角色的用户才能访问 -->

<value>

/* = authc

/static/** =anon

/login/** = anon

/admin/** = authc,roles[admin]

/camera/** = authc

/** = authc

</value>

</property>

</bean>

这段配置需要修改的只有shiro过滤器和shiro安全数据源（realm）。

过滤器里可以配置注释里写的很清楚，anon表示匿名访问，authc表示需要进行登录验证、权限验证、角色验证

自定义realm实现请看下面。

（2）自定义的realm安全数据源

[java] view plain copy

print?

public class MyRealm extends AuthorizingRealm{

Logger log=Logger.getLogger(MyRealm.class);

@Autowired

private UserService userService;//这是自己实现的用户信息操作类，实现用户信息，用户角色信息、用户权限信息查询功能

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

log.info("从登录凭证中获取用户信息，由于我们在doGetAuthenticationInfo中直接在principals中存放的用户信息对象，所以我们可以获得当前用户信息");

UserInfo user = (UserInfo) principals.getPrimaryPrincipal();

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

// 查询角色信息

Collection<String> roles = userService.findRoles(user);

log.info("查询用户角色信息并添加到shiro权限验证器中，一个用户可以对应多个角色");

info.addRoles(roles);

// 查询权限信息

Collection<String> permissions = userService.findPermissions(user);

log.info("把用户权限信息添加到shiro权限过滤器中");

info.addStringPermissions(permissions);

return info;

}

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)throws AuthenticationException{

log.info("shiro登录验证");

// 在我们自己的登录流程中应该确保登录的用户信息已经插入AuthenticationToken中，这样才能通过shiro的认证流程

String loginname= token.getPrincipal().toString();

//虽然在登录流程中我们给的是String的面，但是shiro中已经写死了密码是个字符数组，所以老老实实的把密码转成char[]吧

char[] password=(char[]) token.getCredentials();

// 查询用户名对应的用户信息

UserInfo user =userService.queryUserInfoByLoginName(loginname);

log.info("验证用户信息："+loginname+","+user+"密码："+password);

if (user != null&&user.getPassword()!=null) {

//直接把用户信息对象和密码塞进shiro验证器，shiro会自动判断密码是否正确

AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, password, getName());

return authenticationInfo;

}

return null;

}

三、shiro登录和注销流程实现

[java] view plain copy

print?

/**

* shiro注销，shiro会自动把session释放，所以不需要调用session.invalidate();方法

*/

@Override

public void logout(){

Subject currentUser = SecurityUtils.getSubject();

<span style="white-space:pre"> </span>currentUser.logout();

}

/**

* shiro登录

*/

@Override

public boolean singin(UserInfo user){

try{

Subject subject = SecurityUtils.getSubject() ;

<span style="white-space:pre"> </span>UsernamePasswordToken token = new UsernamePasswordToken(user.getLoginusername(),user.getPassword()) ;

subject.login(token);

log.info("shiro登录验证成功");

return true;

}catch(AuthenticationException e){

log.error("shiro登录验证不通过",e);

return false;

}

}

/**

* 判断用户是否登录（shiro方式）

*/

@Override

public boolean isSignon() {

Subject subject = SecurityUtils.getSubject() ;

return subject.isAuthenticated();

}

四、shiro配置使用总结

1、在web.xml中配置shiro的过滤器

2、在spring应用上下文(例如:applicationContext.xml)中配置shiro过滤器及自定义realm等其他辅助配置，其中

shiro过滤器可以配置哪些接口需要进行登录验证、角色验证、权限验证，哪些不需要进行验证，自定义realm则是为shiro验证器提供了用户信息、用户角色信息和用户权限信息等数据源，进而让shiro进行三项验证。

3、shiro提供了完整的登录流程和注销流程，对原有登录和注销流程做一定修改是免不了的。

以上，希望对大家有所帮助。-- 做好自己--eguid