第七章 與Web整合
Shiro提供了與Web整合的支援,其通過一個ShiroFilter入口來攔截需要安全控制的URL,然後進行相應的控制,ShiroFilter類似於如Strut2/SpringMVC這種web框架的前端控制器,其是安全控制的入口點,其負責讀取配置(如ini配置檔案),然後判斷URL是否需要登入/許可權等工作。
7.1 準備環境
1、建立webapp應用
此處我們使用了jetty-maven-plugin和tomcat7-maven-plugin外掛;這樣可以直接使用“mvn jetty:run”或“mvn tomcat7:run”直接執行webapp了。然後通過URLhttp://localhost:8080/chapter7/訪問即可。
2、依賴
Servlet3
Java程式碼
- <dependency>
- <groupId>javax.servlet</groupId>
- <artifactId>javax.servlet-api</artifactId>
- <version>3.0.1</version>
- <scope>provided</scope>
- </dependency>
shiro-web
Java程式碼
- <dependency>
- <groupId>org.apache.shiro</groupId>
- <artifactId>shiro-web</artifactId>
- <version>1.2.2</version>
- </dependency>
其他依賴請參考原始碼的pom.xml。
7.2 ShiroFilter入口
1、Shiro 1.1及以前版本配置方式
Java程式碼
- <filter>
- <filter-name>iniShiroFilter</filter-name>
- <filter-class>org.apache.shiro.web.servlet.IniShiroFilter</filter-class>
- <init-param>
- <param-name>configPath</param-name>
- <param-value>classpath:shiro.ini</param-value>
- </init-param>
- </filter>
- <filter-mapping>
- <filter-name>iniShiroFilter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
1、使用IniShiroFilter作為Shiro安全控制的入口點,通過url-pattern指定需要安全的URL;
2、通過configPath指定ini配置檔案位置,預設是先從/WEB-INF/shiro.ini載入,如果沒有就預設載入classpath:shiro.ini,即預設相對於web應用上下文根路徑;
3、也可以通過如下方式直接內嵌ini配置檔案內容到web.xml
Java程式碼
- <init-param>
- <param-name>config</param-name>
- <param-value>
- ini配置檔案貼在這
- </param-value>
- </init-param>
2、Shiro 1.2及以後版本的配置方式
從Shiro 1.2開始引入了Environment/WebEnvironment的概念,即由它們的實現提供相應的SecurityManager及其相應的依賴。ShiroFilter會自動找到Environment然後獲取相應的依賴。
Java程式碼
- <listener>
- <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
- </listener>
通過EnvironmentLoaderListener來建立相應的WebEnvironment,並自動繫結到ServletContext,預設使用IniWebEnvironment實現。
可以通過如下配置修改預設實現及其載入的配置檔案位置:
Java程式碼
- <context-param>
- <param-name>shiroEnvironmentClass</param-name>
- <param-value>org.apache.shiro.web.env.IniWebEnvironment</param-value>
- </context-param>
- <context-param>
- <param-name>shiroConfigLocations</param-name>
- <param-value>classpath:shiro.ini</param-value>
- </context-param>
shiroConfigLocations預設是“/WEB-INF/shiro.ini”,IniWebEnvironment預設是先從/WEB-INF/shiro.ini載入,如果沒有就預設載入classpath:shiro.ini。
3、與Spring整合
Java程式碼
- <filter>
- <filter-name>shiroFilter</filter-name>
- <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
- <init-param>
- <param-name>targetFilterLifecycle</param-name>
- <param-value>true</param-value>
- </init-param>
- </filter>
- <filter-mapping>
- <filter-name>shiroFilter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
DelegatingFilterProxy作用是自動到spring容器查詢名字為shiroFilter(filter-name)的bean並把所有Filter的操作委託給它。然後將ShiroFilter配置到spring容器即可:
Java程式碼
- <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
- <property name="securityManager" ref="securityManager"/>
- <!—忽略其他,詳見與Spring整合部分 -->
- </bean>
最後不要忘了使用org.springframework.web.context.ContextLoaderListener載入這個spring配置檔案即可。
因為我們現在的shiro版本是1.2的,因此之後的測試都是使用1.2的配置。
7.3 Web INI配置
ini配置部分和之前的相比將多出對url部分的配置。
Java程式碼
- [main]
- #預設是/login.jsp
- authc.loginUrl=/login
- roles.unauthorizedUrl=/unauthorized
- perms.unauthorizedUrl=/unauthorized
- [users]
- zhang=123,admin
- wang=123
- [roles]
- admin=user:*,menu:*
- [urls]
- /login=anon
- /unauthorized=anon
- /static/**=anon
- /authenticated=authc
- /role=authc,roles[admin]
- /permission=authc,perms["user:create"]
其中最重要的就是[urls]部分的配置,其格式是: “url=攔截器[引數],攔截器[引數]”;即如果當前請求的url匹配[urls]部分的某個url模式,將會執行其配置的攔截器。比如anon攔截器表示匿名訪問(即不需要登入即可訪問);authc攔截器表示需要身份認證通過後才能訪問;roles[admin]攔截器表示需要有admin角色授權才能訪問;而perms["user:create"]攔截器表示需要有“user:create”許可權才能訪問。
url模式使用Ant風格模式
Ant路徑萬用字元支援?、*、**,注意萬用字元匹配不包括目錄分隔符“/”:
?:匹配一個字元,如”/admin?”將匹配/admin1,但不匹配/admin或/admin2;
*:匹配零個或多個字串,如/admin*將匹配/admin、/admin123,但不匹配/admin/1;
**:匹配路徑中的零個或多個路徑,如/admin/**將匹配/admin/a或/admin/a/b。
url模式匹配順序
url模式匹配順序是按照在配置中的宣告順序匹配,即從頭開始使用第一個匹配的url模式對應的攔截器鏈。如:
Java程式碼
- /bb/**=filter1
- /bb/aa=filter2
- /**=filter3
如果請求的url是“/bb/aa”,因為按照宣告順序進行匹配,那麼將使用filter1進行攔截。
攔截器將在下一節詳細介紹。接著我們來看看身份驗證、授權及退出在web中如何實現。
1、身份驗證(登入)
1.1、首先配置需要身份驗證的url
Java程式碼
- /authenticated=authc
- /role=authc,roles[admin]
- /permission=authc,perms["user:create"]
即訪問這些地址時會首先判斷使用者有沒有登入,如果沒有登入默會跳轉到登入頁面,預設是/login.jsp,可以通過在[main]部分通過如下配置修改:
Java程式碼
- authc.loginUrl=/login
1.2、登入Servlet(com.github.zhangkaitao.shiro.chapter7.web.servlet.LoginServlet)
Java程式碼
- @WebServlet(name = "loginServlet", urlPatterns = "/login")
- public class LoginServlet extends HttpServlet {
- @Override
- protected void doGet(HttpServletRequest req, HttpServletResponse resp)
- throws ServletException, IOException {
- req.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(req, resp);
- }
- @Override
- protected void doPost(HttpServletRequest req, HttpServletResponse resp)
- throws ServletException, IOException {
- String error = null;
- String username = req.getParameter("username");
- String password = req.getParameter("password");
- Subject subject = SecurityUtils.getSubject();
- UsernamePasswordToken token = new UsernamePasswordToken(username, password);
- try {
- subject.login(token);
- } catch (UnknownAccountException e) {
- error = "使用者名稱/密碼錯誤";
- } catch (IncorrectCredentialsException e) {
- error = "使用者名稱/密碼錯誤";
- } catch (AuthenticationException e) {
- //其他錯誤,比如鎖定,如果想單獨處理請單獨catch處理
- error = "其他錯誤:" + e.getMessage();
- }
- if(error != null) {//出錯了,返回登入頁面
- req.setAttribute("error", error);
- req.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(req, resp);
- } else {//登入成功
- req.getRequestDispatcher("/WEB-INF/jsp/loginSuccess.jsp").forward(req, resp);
- }
- }
- }
1、doGet請求時展示登入頁面;
2、doPost時進行登入,登入時收集username/password引數,然後提交給Subject進行登入。如果有錯誤再返回到登入頁面;否則跳轉到登入成功頁面(此處應該返回到訪問登入頁面之前的那個頁面,或者沒有上一個頁面時訪問主頁)。
3、JSP頁面請參考原始碼。
1.3、測試
首先輸入http://localhost:8080/chapter7/login進行登入,登入成功後接著可以訪問http://localhost:8080/chapter7/authenticated來顯示當前登入的使用者:
Java程式碼
- ${subject.principal}身份驗證已通過。
當前實現的一個缺點就是,永遠返回到同一個成功頁面(比如首頁),在實際專案中比如支付時如果沒有登入將跳轉到登入頁面,登入成功後再跳回到支付頁面;對於這種功能大家可以在登入時把當前請求儲存下來,然後登入成功後再重定向到該請求即可。
Shiro內建了登入(身份驗證)的實現:基於表單的和基於Basic的驗證,其通過攔截器實現。
2、基於Basic的攔截器身份驗證
2.1、shiro-basicfilterlogin.ini配置
Java程式碼
- [main]
- authcBasic.applicationName=please login
- ………省略users
- [urls]
- /role=authcBasic,roles[admin]
1、authcBasic是org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter型別的例項,其用於實現基於Basic的身份驗證;applicationName用於彈出的登入框顯示資訊使用,如圖:
2、[urls]部分配置了/role地址需要走authcBasic攔截器,即如果訪問/role時還沒有通過身份驗證那麼將彈出如上圖的對話方塊進行登入,登入成功即可訪問。
2.2、web.xml
把shiroConfigLocations改為shiro-basicfilterlogin.ini即可。
2.3、測試
輸入http://localhost:8080/chapter7/role,會彈出之前的Basic驗證對話方塊輸入“zhang/123”即可登入成功進行訪問。
3、基於表單的攔截器身份驗證
基於表單的攔截器身份驗證和【1】類似,但是更簡單,因為其已經實現了大部分登入邏輯;我們只需要指定:登入地址/登入失敗後錯誤資訊存哪/成功的地址即可。
3.1、shiro-formfilterlogin.ini
Java程式碼
- [main]
- authc.loginUrl=/formfilterlogin
- authc.usernameParam=username
- authc.passwordParam=password
- authc.successUrl=/
- authc.failureKeyAttribute=shiroLoginFailure
- [urls]
- /role=authc,roles[admin]
1、authc是org.apache.shiro.web.filter.authc.FormAuthenticationFilter型別的例項,其用於實現基於表單的身份驗證;通過loginUrl指定當身份驗證時的登入表單;usernameParam指定登入表單提交的使用者名稱引數名;passwordParam指定登入表單提交的密碼引數名;successUrl指定登入成功後重定向的預設地址(預設是“/”)(如果有上一個地址會自動重定向帶該地址);failureKeyAttribute指定登入失敗時的request屬性key(預設shiroLoginFailure);這樣可以在登入表單得到該錯誤key顯示相應的錯誤訊息;
3.2、web.xml
把shiroConfigLocations改為shiro- formfilterlogin.ini即可。
3.3、登入Servlet
Java程式碼
- @WebServlet(name = "formFilterLoginServlet", urlPatterns = "/formfilterlogin")
- public class FormFilterLoginServlet extends HttpServlet {
- @Override
- protected void doGet(HttpServletRequest req, HttpServletResponse resp)
- throws ServletException, IOException {
- doPost(req, resp);
- }
- @Override
- protected void doPost(HttpServletRequest req, HttpServletResponse resp)
- throws ServletException, IOException {
- String errorClassName = (String)req.getAttribute("shiroLoginFailure");
- if(UnknownAccountException.class.getName().equals(errorClassName)) {
- req.setAttribute("error", "使用者名稱/密碼錯誤");
- } else if(IncorrectCredentialsException.class.getName().equals(errorClassName)) {
- req.setAttribute("error", "使用者名稱/密碼錯誤");
- } else if(errorClassName != null) {
- req.setAttribute("error", "未知錯誤:" + errorClassName);
- }
- req.getRequestDispatcher("/WEB-INF/jsp/formfilterlogin.jsp").forward(req, resp);
- }
- }
在登入Servlet中通過shiroLoginFailure得到authc登入失敗時的異常型別名,然後根據此異常名來決定顯示什麼錯誤訊息。
4、測試
輸入http://localhost:8080/chapter7/role,會跳轉到“/formfilterlogin”登入表單,提交表單如果authc攔截器登入成功後,會直接重定向會之前的地址“/role”;假設我們直接訪問“/formfilterlogin”的話登入成功將直接到預設的successUrl。
4、授權(角色/許可權驗證)
4.1、shiro.ini
Java程式碼
- [main]
- roles.unauthorizedUrl=/unauthorized
- perms.unauthorizedUrl=/unauthorized
- [urls]
- /role=authc,roles[admin]
- /permission=authc,perms["user:create"]
通過unauthorizedUrl屬性指定如果授權失敗時重定向到的地址。roles是org.apache.shiro.web.filter.authz.RolesAuthorizationFilter型別的例項,通過引數指定訪問時需要的角色,如“[admin]”,如果有多個使用“,”分割,且驗證時是hasAllRole驗證,即且的關係。Perms是org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter型別的例項,和roles類似,只是驗證許可權字串。
4.2、web.xml
把shiroConfigLocations改為shiro.ini即可。
4.3、RoleServlet/PermissionServlet
Java程式碼
- @WebServlet(name = "permissionServlet", urlPatterns = "/permission")
- public class PermissionServlet extends HttpServlet {
- @Override
- protected void doGet(HttpServletRequest req, HttpServletResponse resp)
- throws ServletException, IOException {
- Subject subject = SecurityUtils.getSubject();
- subject.checkPermission("user:create");
- req.getRequestDispatcher("/WEB-INF/jsp/hasPermission.jsp").forward(req, resp);
- }
- }
- @WebServlet(name = "roleServlet", urlPatterns = "/role")
- public class RoleServlet extends HttpServlet {
- @Override
- protected void doGet(HttpServletRequest req, HttpServletResponse resp)
- throws ServletException, IOException {
- Subject subject = SecurityUtils.getSubject();
- subject.checkRole("admin");
- req.getRequestDispatcher("/WEB-INF/jsp/hasRole.jsp").forward(req, resp);
- }
- }
4.4、測試
首先訪問http://localhost:8080/chapter7/login,使用帳號“zhang/123”進行登入,再訪問/role或/permission時會跳轉到成功頁面(因為其授權成功了);如果使用帳號“wang/123”登入成功後訪問這兩個地址會跳轉到“/unauthorized”即沒有授權頁面。
5、退出
5.1、shiro.ini
Java程式碼
- [urls]
- /logout=anon
指定/logout使用anon攔截器即可,即不需要登入即可訪問。
5.2、LogoutServlet
Java程式碼
- @WebServlet(name = "logoutServlet", urlPatterns = "/logout")
- public class LogoutServlet extends HttpServlet {
- protected void doGet(HttpServletRequest req, HttpServletResponse resp)
- throws ServletException, IOException {
- SecurityUtils.getSubject().logout();
- req.getRequestDispatcher("/WEB-INF/jsp/logoutSuccess.jsp").forward(req, resp);
- }
- }
直接呼叫Subject.logout即可,退出成功後轉發/重定向到相應頁面即可。
5.3、測試
首先訪問http://localhost:8080/chapter7/login,使用帳號“zhang/123”進行登入,登入成功後訪問/logout即可退出。
Shiro也提供了logout攔截器用於退出,其是org.apache.shiro.web.filter.authc.LogoutFilter型別的例項,我們可以在shiro.ini配置檔案中通過如下配置完成退出:
Java程式碼
- [main]
- logout.redirectUrl=/login
- [urls]
- /logout2=logout
通過logout.redirectUrl指定退出後重定向的地址;通過/logout2=logout指定退出url是/logout2。這樣當我們登入成功後然後訪問/logout2即可退出。