z這些是整合需要的包POM.XML

<!-- shiro核心包 -->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.2.5</version>
    </dependency>
    <!-- 添加shiro web支持 -->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-web</artifactId>
        <version>1.2.5</version>
    </dependency>
    <!-- 添加shiro spring支持 -->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-spring</artifactId>
        <version>1.2.5</version>
    </dependency>

引入shiro過濾器在web.xml中

<!-- 添加shiro過濾器 這里的filter-name 要和spring 的applicationContext.xml 里的
org.apache.shiro.spring.web.ShiroFilterFactoryBean 的bean name 相同-->
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
        <!-- 該值缺省為false，表示聲明周期由SpringApplicationContext管理框弛，設(shè)置為true表示ServletContainer管理 -->
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

修改spring配置 之前在ini里面寫的現(xiàn)在都在spring-bean里面寫了

<!-- shiro相關(guān)的配置 -->
<!-- 自定義Realm -->
    <bean id="myRealm" class="com.rr.realm.MyRealm"/>  
    
    <!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
      <property name="realm" ref="myRealm"/>  
      <property name="cacheManager" ref="cacheManager" />
    </bean>  
    
    <!-- Shiro過濾器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
        <!-- Shiro的核心安全接口,這個屬性是必須的 -->  
        <property name="securityManager" ref="securityManager"/>
        <!-- 身份認證失敗州泊，則跳轉(zhuǎn)到登錄頁面的配置 -->  
        <property name="loginUrl" value="/login.jsp"/>
        <!-- 權(quán)限認證失敗，則跳轉(zhuǎn)到指定頁面 -->  
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>  
        <!-- Shiro連接約束配置,即過濾鏈的定義 -->  
        <property name="filterChainDefinitions">  
            <value>  
           
               <!--  /login=anon
                /user/admin*=authc
                /user/student*/**=roles[teacher]
                /user/teacher*/**=perms["user:create"] -->
                /user/login.do=anon
                <!-- user下的所有內(nèi)容都需要身份認證 -->
                /user/*=authc
            </value>  
        </property>
    </bean>

參考一下這個配置

image.png

image.png

web.xml里面的shiro過濾器的名字要和springbean里面的過濾器名字一樣

spring-mvc增加相關(guān)配置窟勃，異常處理祖乳，注解開關(guān)處理

    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
    
    <!-- 生成代理，通過代理進行控制 -->
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>
    <!-- 開啟Shiro注解,必須放在springmvc的配置文件中 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">  
      <property name="securityManager" ref="securityManager"/>  
    </bean>
    
    <!-- 注解方式下的異常處理秉氧，身份認證異常處理眷昆、權(quán)限認證異常處理 -->
    <bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
        <property name="exceptionMappings">
            <props>
                <!--登錄異常，跳轉(zhuǎn)到login.jsp-->
                <!-- <prop key="org.apache.shiro.authz.UnauthenticatedException">
                    /login
                </prop> -->
                <!-- 授權(quán)異常汁咏，跳轉(zhuǎn)到unauthorized.jsp -->
                <prop key="org.apache.shiro.authz.UnauthorizedException">/unauthorized</prop>
            </props>
        </property>
    </bean>

注釋：指定操作的需要的權(quán)限

image.png

image.png

6 Jsp中使用的shiro標(biāo)簽

需要引入標(biāo)簽

<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro" %>

標(biāo)簽：
<shiro:authenticated> 登錄之后
<shiro:notAuthenticated> 不在登錄狀態(tài)時
<shiro:guest> 用戶在沒有RememberMe時
<shiro:user> 用戶在RememberMe時
<shiro:hasAnyRoles name="abc,123" > 在有abc或者123角色時
<shiro:hasRole name="abc"> 擁有角色abc
<shiro:lacksRole name="abc"> 沒有角色abc
<shiro:hasPermission name="abc"> 擁有權(quán)限資源abc <shiro:lacksPermission name="abc"> 沒有abc權(quán)限資源
<shiro:principal> 顯示用戶身份名稱
<shiro:principal property="username"/> 顯示用戶身份中的屬性值

顯示用戶身份名稱是從這個realm中讀取的`

image.png

緩存設(shè)置

1）jar包

<dependency>
        <artifactId>ehcache-core</artifactId>
        <groupId>net.sf.ehcache</groupId>
        <version>2.5.0</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-ehcache</artifactId>
        <version>1.2.5</version>
    </dependency>

2)ehcache.xml配置文件導(dǎo)入
3）spring-bean引入

<!-- 緩存管理器 使用Ehcache實現(xiàn) -->
    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache.xml" />
    </bean>

記住我亚斋，不建議使用這個嘁字，不安全芍锚，一旦把緩存考走了擂啥，那不就可以登陸上了么晕城，注：這是用base64編碼還是密匙的形式保存的

spring-bean的配置窗看，這個安全管理器要是本來有了刹泄，改下就行了绿聘，不用再寫個爬凑，级解，冒黑，

<!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
      <property name="realm" ref="myRealm"/>  
      <property name="cacheManager" ref="cacheManager" />
      <property name="rememberMeManager" ref="rememberMeManager" />
    </bean>  

<!-- remenberMe配置 -->
    <bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <constructor-arg value="rememberMe" />
        <property name="httpOnly" value="true" />
        <!-- 默認記住7天（單位：秒） -->
        <property name="maxAge" value="604800" />
    </bean>
    <!-- rememberMe管理器 -->
    <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
        <property name="cipherKey" value="#{T(org.apache.shiro.codec.Base64).decode('4AvVhmFLUs0KTA3Kprsdag==')}" />
        <property name="cookie" ref="rememberMeCookie" />
    </bean>

name和value值不能改，這是有形式的

image.png

controller層的配置

image.png

spring-bean一定要用這個

image.png

修改springmvc配置

如果使用shiro的注解勤哗，必須將該配置放在springmvc的配置文件中抡爹，否則注解不起作用

<!-- 保證實現(xiàn)了Shiro內(nèi)部lifecycle函數(shù)的bean執(zhí)行 -->  
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
    
    <!-- 生成代理，通過代理進行控制 -->
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>
    <!-- 開啟Shiro注解,必須放在springmvc的配置文件中 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">  
      <property name="securityManager" ref="securityManager"/>  
    </bean>
    
    <!-- 注解方式下的異常處理芒划，身份認證異常處理冬竟、權(quán)限認證異常處理 -->
    <bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
        <property name="exceptionMappings">
            <props>
                <!--登錄異常，跳轉(zhuǎn)到login.jsp-->
                <!-- <prop key="org.apache.shiro.authz.UnauthenticatedException">
                    /login
                </prop> -->
                <!-- 授權(quán)異常民逼，跳轉(zhuǎn)到unauthorized.jsp -->
                <prop key="org.apache.shiro.authz.UnauthorizedException">/unauthorized</prop>
            </props>
        </property>
    </bean>

image.png