简介
说明
本文介绍Shiro的配置。
官网
Apache Shiro | Simple. Java. Security.
Shiro 配置说明
Apache Shiro的配置主要分为四部分:
- 对象和属性的定义与配置
- URL的过滤器配置
- 静态用户配置
- 静态角色配置
其中,由于用户、角色一般由后台进行操作的动态数据,因此Shiro配置一般仅包含前两项的配置。
Apache Shiro的大多数组件是基于POJO的,因此我们可以使用POJO兼容的任何配置机制进行配置,例如:Java代码、Sping XML、YAML、JSON、ini文件等等。下面,以Spring XML的配置方式为例,并且对其中的一些配置参数进行一些简单说明。
INI文件的确定
其他网址
Apache Shiro | Simple. Java. Security.
简介
默认情况下,EnvironmentLoaderListener 会生成一个 IniWebEnvironment 实例,可以把已经存在的IniWebEnvironment 作为子集,也可以使用其他格式的配置文件。比如,如果有人想使用xml来配置,而不用INI,他们需要生成一个XML的实现,例如:com.foo.bar.shiro.XmlWebEnvironment。
IniWebEnvironment 会读取和加载INI配置文件,它会依次查找以下两个位置:
- /WEB-INF/shiro.ini
- classpath:shiro.ini
如果想要把配置文件放到其他位置,可以在web.xml文件中使用context-param标签来指定:
<context-param>
<param-name>shiroConfigLocations</param-name>
<param-value>YOUR_RESOURCE_LOCATION_HERE</param-value>
</context-param>
例如:/WEB-INF/some/path/shiro.ini
Shiro对象的配置
简介
主要是对Shiro各个组件的实现进行定义配置,主要组件在前文已做过简单介绍,这里不再一一说明。
<bean id="securityManager" class="org.apache.shiro.mgt.DefaultSecurityManager">
<property name="cacheManager" ref="cacheManager"/>
<property name="sessionMode" value="native"/>
<!-- Single realm app. If you have multiple realms, use the 'realms' property instead. -->
<property name="realm" ref="myRealm"/>
<property name="sessionManager" ref="sessionManager"/>
</bean>
URL过滤器的配置方法
Shiro主要是通过URL过滤来进行安全管理,这里的配置便是指定具体授权规则定义。
有这些办法进行配置:通过<bean>标签配置、通过<context-param>标签配置(前边已介绍)、通过<filter>标签配置、。
通过bean配置示例:
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/login.jsp"/>
<property name="successUrl" value="/home.jsp"/>
<property name="unauthorizedUrl" value="/unauthorized.jsp"/> -->
<property name="filterChainDefinitions">
<value>
# some example chain definitions:
/admin/** = authc, roles[admin]
/docs/** = authc, perms[document:read]
/** = authc
# more URL-to-FilterChain definitions here
</value>
</property>
</bean>
通过<filter>标签配置示例:
直接指定路径:
<filter>
<filter-name>ShiroFilter</filter-name>
<filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>ShiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
指定配置文件:
<filter>
<filter-name>ShiroFilter</filter-name>
<filter-class>org.apache.shiro.web.servlet.IniShiroFilter</filter-class>
<init-param>
<param-name>configPath</param-name>
<param-value>/WEB-INF/anotherFile.ini</param-value>
</init-param>
</filter>
INI配置
其他网址
《跟我学Shiro》=>
第四章 INI配置=> INI配置
第七章 与Web集成=> Web INI配置
[urls]
格式
Shiro可以通过配置文件(xxx.ini)实现基于URL的授权验证。FilterChain定义格式:
URL_Ant_Path_Expression = Path_Specific_Filter_Chain
每个URL配置,表示匹配该URL的应用程序请求将由对应的过滤器进行验证。
例如:
[urls]
/index.html = anon
/user/create = anon
/user/** = authc
/admin/** = authc, roles[administrator]
/rest/** = authc, rest
/remoting/rpc/** = authc, perms["remote:invoke"]
URL表达式说明
1、URL目录是基于HttpServletRequest.getContextPath()此目录设置
2、URL可使用通配符,**代表任意子目录
3、Shiro验证URL时,URL匹配成功便不再继续匹配查找。所以要注意配置文件中的URL顺序,尤其在使用通配符时。
Filter Chain定义说明
1、一个URL可以配置多个Filter,使用逗号分隔
2、当设置多个过滤器时,全部验证通过,才视为通过
3、部分过滤器可指定参数,如perms,roles
[main]
过滤器的使用与禁用
过滤器可以禁用掉,例如:
[main]
...
# configure Shiro's default 'ssl' filter to be disabled while testing:
ssl.enabled = false
[urls]
...
/some/path = ssl, authc
/another/path = ssl, roles[admin]
...
过滤器成员
[main]
#认证成功后重定向到此资源
authc.loginUrl=/login.jsp
authc.successUrl=/
#从请求参数中获取key=username的value作为用户名
authc.usernameParam=username
#从请求参数中获取key=password的value作为密码
authc.passwordParam=password
#从请求参数中获取key=rememberMe的value作为是否记住密码的标识
authc.rememberMeParam=rememberMe
#结束会话后重定向到此资源
logout.redirectUrl=/
#8080端口的请求可通过
port=8080