• Apache Shiro学习-2-Apache Shiro Web Support


    Apache Shiro Web Support

    1. 配置

    将 Shiro 整合到 Web 应用中的最简单方式是在 web.xml 的 Servlet ContextListener 和 Filter 中添加 shiro 的 ini 配置。

    与 Spring 的整合(Spring-specific web configuration)在文末说明

    1.1 web.xml

    Shiro 1.2 and later(Shiro 1.1及早期版本参照官方页面)

    <listener>
    <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
    </listener>
    ...
    
    <filter>
        <filter-name>ShiroFilter</filter-name>
        <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
    </filter>
    
    <filter-mapping>
        <filter-name>ShiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher> 
        <dispatcher>FORWARD</dispatcher> 
        <dispatcher>INCLUDE</dispatcher> 
        <dispatcher>ERROR</dispatcher>
    </filter-mapping>
    

    上述配置假定 shiro.ini 配置文件位于下列地址之一,使用最先获取到的文件:
    1. /WEB_INF/shiro.ini
    2. classpath 根目录下的 shiro.ini

    上述配置的作用:
    -  EnvironmentLoaderListener 初始化 Shiro的 WebEnvironment 实例(包括SecurityManager),并使其可在 ServletContext 中访问。如果需要获取 WebEnvironment 实例,可调用 WebUtils.getRequiredWebEnvironment(servletContext)
    ShiroFilter 将使用 WebEnvironment 来对所有被过滤的请求执行必要的安全操作.
    filter-mapping定义保证了所有请求都将被 ShiroFilter 过滤,这是保证任意请求都是安全的的推荐配置。

    通常将 ShiroFilter filter-mapping 配置在其他 filter-mapping 之前,以确保 Shiro 在其他 过滤器中也能起作用。

    自定义 WebEnvironment 类配置

    EnvironmentLoaderListener 默认会创建一个 IniWebEnvironment 实例,其假定Shiro是采用的 ini 配置。如需要修改默认ini配置或采用其他格式的配置(如 xml),可在 web.xml 中配置自定义的 WebEnvironment

    <context-param>
        <param-name>shiroEnvironmentClass</param-name>
        <param-value>com.foo.bar.shiro.MyWebEnvironment</param-value>
    </context-param>
    
    自定义配置文件位置

    若配置文件不是存放在默认目录下,则需在 web.xml 中进行配置:

    <context-param>
        <param-name>shiroConfigLocations</param-name>
        <param-value>YOUR_RESOURCE_LOCATION_HERE</param-value>
    </context-param>
    

    param-value的值可以是 /WEB-INF/some/path/shiro.ini的形式,或者是其他Shiro的ResourceUtils类支持的形式,如

    file:/home/foobar/myapp/shiro.ini
    classpath:com/foo/bar/shiro.ini
    url:http://confighost.mycompany.com/myapp/shiro.ini
    

    1.2 Web INI 配置

    请参考: Apache Shiro学习-1-ini 配置

    2. Session 管理

    2.1 Servlet 容器 Sessions

    Web环境中,Shiro的默认Session管理器SessionManager的实现是 ServletContainerSessionManager.
    这个简单默认的实现的好处是采用servlet容器的session配置的应用程序能够正常工作,而缺点是与容器相关的配置不具有通用性,如Jetty和Tomcat的配置不能互用。

    Servlet 容器 Session 超时(Timeout)

    如果默认的servlet容器支持,这可以在web.xml中配置session超时

    <session-config>
      <!-- web.xml expects the session timeout in minutes: -->
      <session-timeout>30</session-timeout>
    </session-config>
    

    2.2 本地session(Native Sessions)

    如果需要session配置能够跨servlet容器使用(如开发时使用Jetty,而生产环境使用Tomcat),或者需要控制特定的session/集群 (session/clustering features)特征,可以启用Shiro的本地session管理。
    此处的“本地”(Native)意味着Shiro的企业级Session管理实现完全绕过了容器被用于支持所有的SubjectHttpServletRequest session。但Shiro的session管理实现时透明的,已存在的 web/http 相关代码照样能够正常工作。

    2.2.1 DefaultWebSessionManager

    要启用本地session管理器,需要进行配置以便覆盖默认的基于容器的session管理。通过在 SecurityManager 中配置一个 DefaultWebSessionManager 实例可以达到此目的。

    [main]
    ...
    sessionManager = org.apache.shiro.web.session.mgt.DefaultWebSessionManager
    # configure properties (like session timeout) here if desired
    
    # Use the configured native session manager:
    securityManager.sessionManager = $sessionManager
    
    Native Session Timeout

    声明sessionManager之后,就可以依据Shiro Session Management中的选项配置session管理器,如timeout等

    [main]
    ...
    # 3,600,000 milliseconds = 1 hour
    securityManager.sessionManager.globalSessionTimeout = 3600000
    

    DefaultWebSessionManager 支持两个web相关的配置属性
    - sessionIdCookieEnabled (布尔值)
    - sessionIdCookie (Cookie实例)

    sessionIdCookie本质上是一个模板——设置的Cookie实例属性,会被用来在运行时用合适的session id 值设置真正的 http cookie头

    Session Cookie 配置
     DefaultWebSessionManager的默认 sessionIdCookie 实例是SimpleCookie。这个简单实现容许采用JavaBean样式来对相关的http Cookie属性进行配置。
     如设置cookie域(domain)(更多设置参考SimpleCookie的javadoc

     [main]
    securityManager.sessionManager.sessionIdCookie.domain = foo.com
    

    与servlet规范一样,cookie的默认名称是 JSESSIONID。此外,Shiro的cookie支持 HttpOnly标记(flag)。为了额外的安全考虑,sessionIdCookie 默认设置 HttpOnly 为 true.
    取消 Session Cookie

    [main]
    securityManager.sessionManager.sessionIdCookieEnabled = false
    

    3. Remember Me 服务

    如果 AuthenticationToken 实现了org.apache.shiro.authc.RememberMeAuthenticationToken接口,Shiro将支持rememberMe服务
    接口中有一个boolean isRememberMe();方法,如果返回true,Shiro将会通过session记住终端用户的身份。

    UsernamePasswordToken 实现了 RememberMeAuthenticationToken,支持 RememberMe 服务。

    3.1 代码支持

    在代码中使用 RememberMe, 可以在支持此配置的类中设置其值为 true。如标准的 UsernamePasswordToken:

    UsernamePasswordToken token = new UsernamePasswordToken(username, password);
    token.setRememberMe(true);
    SecurityUtils.getSubject().login(token);
    

    3.2 表单登录

    在web应用中, authc 过滤器默认是 FormAuthenticationFilter。这支持读取'rememberMe' 的布尔值作为表单请求的参数。默认情况下,请求参数的 name 为 rememberMe。如:

    [main]
    authc.loginUrl = /login.jsp
    [urls]
    # your login form page here:
    login.jsp = authc
    

    登录表单,其中有一个 checkbox 的 name 为'rememberMe':

    <form ...>
       Username: <input type="text" name="username"/> <br/>
       Password: <input type="password" name="password"/>
       <input type="checkbox" name="rememberMe" value="true"/>Remember Me?
    </form>
    

    默认情况下, FormAuthenticationFilter 将查找 name 为 usernamepassword 和 rememberMe 的请求参数. 如果不是默认的name值,那么需要配置FormAuthenticationFilter. 如在 shiro.ini中:

    [main]
    authc.loginUrl = /whatever.jsp
    authc.usernameParam = somethingOtherThanUsername
    authc.passwordParam = somethingOtherThanPassword
    authc.rememberMeParam = somethingOtherThanRememberMe
    

    通过设置默认的 RememberMeManager 的各个 cookie 属性可以配置 rememberMe cookie 如何起作用 . 如在shiro.ini中:

    [main]
    securityManager.rememberMeManager.cookie.name = foo
    securityManager.rememberMeManager.cookie.maxAge = blah
    

    更多设置参考CookieRememberMeManagerSimpleCookie的javadoc

    4 JSP/GSP 标签库

    Shiro提供了基于当前Subject状态的 JSP/GSP 标签库。

    4.1 标签库配置

    Tag Library Descriptor (TLD) 是位于 shiro-web.jar 中 META-INF 下的 shiro.tld 文件。使用时,在jsp文件顶部添加:
    <%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
    guest标签:当当前用户(subject)是访客(guest,没有身份 identity 的用户)时展现其包含的内容(与 user 相反)

    <shiro:guest>
        Hi there!  Please <a href="login.jsp">Login</a> or <a href="signup.jsp">Signup</a> today!
    </shiro:guest>
    

    user标签:当当前用户(subject)具有identity(通过认证或rememberMe服务)时展现其包含的内容

    <shiro:user>
        Welcome back John!  Not John? Click <a href="login.jsp">here<a> to login.
    </shiro:user>
    

    authenticated标签:当当前用户(subject)具有identity(在当前session通过认证,不包括通过 rememberMe 服务进入的用户)时展现其包含的内容(与notAuthenticated 标签相反)(在线支付场景)
    principal标签:输出subject的身份信息(如用户名)
        Hello, <shiro:principal/>将展现用户名字符串,对应 Hello, <%= SecurityUtils.getSubject().getPrincipal().toString() %>
    Typed principal:principal 标签默认输出subject.getPrincipal() 的值。但如果要输出其他值,则可以通过其类型来获取:
        User ID: <principal type="java.lang.Integer"/>
    Principal 属性:如果principal 是一个复杂的对象而非简单的字符串,则可以通过 property 属性名或获取:
        Hello, <shiro:principal property="firstName"/>, how are you today?
        或,Hello, <shiro:principal type="com.foo.User" property="firstName"/>, how are you today?
    hasRole标签:若当前的Subject具有某种角色,hasRole标签将展现其包含的内容. 对应lacksRole标签.

    <shiro:hasRole name="administrator">
        <a href="admin.jsp">Administer the system</a>
    </shiro:hasRole>
    

    hasAnyRole标签:任意指定的角色

    <shiro:hasAnyRoles name="developer, project manager, administrator">
        You are either a developer, project manager, or administrator.
    </shiro:lacksRole>
    

    hasPermission标签:权限,对应lacksPermission

    <shiro:hasPermission name="user:create">
        <a href="createUser.jsp">Create a new User</a>
    </shiro:hasPermission>
    
  • 相关阅读:
    [导入]CodeSmith应用(二)
    [导入]WebService开发(一) 如何使用Soap头
    [导入]WebService开发(三)Web Service Software Factory
    [导入]CodeSmith应用(三)
    [导入]WebService开发(二) 如何使用Soap扩展
    [导入]WinForm下的Msn Popup
    [导入]Flex与Dotnet 之 WebService
    POJ 1243 One Person(经典DP)
    汇编的艺术(02)& operator
    数据结构练习(01)把二元查找树转变成排序的双向链表
  • 原文地址:https://www.cnblogs.com/yes-V-can/p/5951013.html
Copyright © 2020-2023  润新知