---

Apache Shiro是一个强大的Java安全框架，它提供了身份验证、授权、加密等功能，可以保护你的应用程序免受恶意攻击。在本文中，我们将介绍如何将Apache Shiro集成到Spring Web应用程序中。

一、添加依赖项

<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring</artifactId><version>1.7.1</version>
</dependency>

二、配置Shiro

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"><property name="realm" ref="myRealm"/>
</bean><bean id="myRealm" class="com.example.MyRealm"><!-- 设置密码匹配器 --><property name="credentialsMatcher"><bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher"><property name="hashAlgorithmName" value="SHA-256"/><property name="hashIterations" value="1000"/></bean></property>
</bean><bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"><property name="securityManager" ref="securityManager"/><property name="loginUrl" value="/login"/><property name="successUrl" value="/home"/><property name="unauthorizedUrl" value="/unauthorized"/><property name="filterChainDefinitions"><value>/login = anon/logout = logout/static/** = anon/** = authc</value></property>
</bean>

上面的配置中，我们定义了一个SecurityManager和一个Realm，用于处理身份验证和授权请求。我们还定义了一个ShiroFilterFactoryBean，用于创建一个ShiroFilter，该Filter将处理所有的请求。

我们将所有请求都通过authc过滤器，这意味着只有已经通过身份验证的用户才能访问它们。我们还定义了一些例外，如/login和/static/**，这些路径将不需要身份验证。

三、创建Realm

接下来，我们需要创建一个Realm来处理身份验证和授权请求。以下是一个示例Realm的实现：

public class MyRealm extends AuthorizingRealm {@Autowiredprivate UserService userService;@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {String username = (String) principals.getPrimaryPrincipal();// 从数据库中获取用户的角色和权限信息Set<String> roles = userService.findRolesByUsername(username);Set<String> permissions = userService.findPermissionsByUsername(username);SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();authorizationInfo.setRoles(roles);authorizationInfo.setStringPermissions(permissions);return authorizationInfo;}@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {String username = (String) token.getPrincipal();String password = new String((char[]) token.getCredentials());// 从数据库中获取用户信息User user = userService.findByUsername(username);// 如果用户不存在，则抛出异常if (user == null) {throw new UnknownAccountException("用户不存在");}// 验证用户密码是否正确if (!password.equals(user.getPassword())) {throw new IncorrectCredentialsException("用户名或密码错误");}SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, password, getName());return authenticationInfo;
}

在这个Realm中，我们实现了doGetAuthorizationInfo和doGetAuthenticationInfo两个方法。

doGetAuthorizationInfo用于获取用户的角色和权限信息，这些信息可以从数据库或其他数据源中获取。在这个示例中，我们通过调用一个UserService来获取用户的角色和权限。

doGetAuthenticationInfo用于验证用户的身份。在这个示例中，我们从数据库中获取用户的信息，并比较密码是否匹配。如果密码不匹配，则抛出一个异常。

四、 编写控制器

现在我们已经设置好了Shiro，接下来我们需要编写一些控制器来处理请求。以下是一个示例控制器：

@Controller
public class HomeController {@RequestMapping("/home")public String home() {return "home";}@RequestMapping("/login")public String login() {return "login";}@RequestMapping("/logout")public String logout() {SecurityUtils.getSubject().logout();return "redirect:/login";}@RequestMapping("/unauthorized")public String unauthorized() {return "unauthorized";}
}

在这个示例中，我们定义了一个HomeController，它包含了一些方法来处理请求。/home方法将返回一个home视图，/login方法将返回一个login视图，/logout方法将注销用户并重定向到login视图，/unauthorized方法将返回一个unauthorized视图。

五、创建视图

<html><body><h1>Login</h1><form method="post" action="/login"><label for="username">Username:</label><input type="text" id="username" name="username"/><br/><label for="password">Password:</label><input type="password" id="password" name="password"/><br/><input type="submit" value="Login"/></form></body>
</html>

在这个示例中，我们创建了一个简单的登录表单，用户可以在表单中输入他们的用户名和密码，并将表单提交到/login路径。

六、配置Shiro

最后一步是在Spring中配置Shiro。我们需要创建一个ShiroConfig类，用于配置Shiro和Spring的集成。以下是一个示例ShiroConfig类：

@Configuration
public class ShiroConfig {@Beanpublic ShiroFilterFactoryBean shiroFilter() {ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();shiroFilter.setSecurityManager(securityManager());shiroFilter.setLoginUrl("/login");shiroFilter.setSuccessUrl("/home");shiroFilter.setUnauthorizedUrl("/unauthorized");Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();filterChainDefinitionMap.put("/login", "anon");filterChainDefinitionMap.put("/logout", "logout");filterChainDefinitionMap.put("/**", "authc");shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);return shiroFilter;}@Beanpublic DefaultWebSecurityManager securityManager() {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();securityManager.setRealm(realm());return securityManager;}@Beanpublic UserRealm realm() {UserRealm realm = new UserRealm();return realm;}@Beanpublic AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();advisor.setSecurityManager(securityManager());return advisor;}
}

在这个示例中，我们定义了一个ShiroFilterFactoryBean和一个DefaultWebSecurityManager，用于配置Shiro过滤器和安全管理器。我们还定义了一个UserRealm，用于获取用户的角色和权限信息。

在ShiroFilterFactoryBean中，我们定义了一个过滤器链，用于将请求映射到相应的过滤器。在这个示例中，我们定义了一个匿名访问/login路径，注销/logout路径，以及authc过滤器用于验证身份。我们还定义了登录成功的默认URL，以及未经授权的URL。

在DefaultWebSecurityManager中，我们设置了我们定义的UserRealm。

最后，我们定义了一个AuthorizationAttributeSourceAdvisor，用于启用基于注释的授权。这将允许我们在控制器方法上使用@RequiresRoles和@RequiresPermissions注释来限制访问。

七、测试

现在我们已经完成了Shiro的集成和配置，我们可以启动应用程序并进行测试。在浏览器中访问http://localhost:8080/login，输入用户名和密码，然后单击登录按钮。如果用户名和密码正确，你将被重定向到http://localhost:8080/home。如果用户名或密码不正确，你将收到一个错误消息。

如果你尝试访问/home路径，你将被重定向到http://localhost:8080/login路径，因为你还没有通过身份验证。如果你注销并再次尝试访问/home路径，你将收到一个未经授权的错误消息。