Spring 集成Shiro（XML方式）

Shiro中的组件都是JavaBean形式实现的，因此可以通过Spring的XML或其他Spring的配置机制来设置这些组件。首先，Shiro应用程序需要一个单例的SecurityManager实例，但这并不表示它是静态的，只需要确保它在应用程序中是唯一的即可

非Web应用

下面展示了非Web应用如何配置一个单例的SecurityManager实例

<!-- 定义Realm -->
<bean id="myRealm" class="...">
    ...
</bean>

<bean id="securityManager" class="org.apache.shiro.mgt.DefaultSecurityManager">
    <!-- 这里我们只设置了一个realm，如果想要配置一个多realm的应用，则设置realms属性即可 -->
    <property name="realm" ref="myRealm" />
</bean>

<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifeCycleBeanPostProcessor"/>

<!-- 最简单的让SecurityUtils.*方法起作用的方式，就是将SecurityManager的bean设置为静态单例 -->
<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
    <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
    <property name="arguments" ref="securityManager" />
</bean>

Web 应用

在Web应用中，所有的Web请求都要经过Shiro的过滤器

在Shiro1.0之前，需要采用一种混合的方式来配置Spring Web项目，即在web.xml中定义和配置Shiro的过滤器，而在Spring的XML中定义SecurityManager。这样就不能将自己的配置合并到一个地方，也不能利用更高级的Spring特性（如PropertyPlaceholderConfigurer或抽象bean）的配置能力来合并公共配置

现在在Shiro 1.0和更高版本中，所有Shiro配置都是在Spring XML中完成的，提供了对更健壮的Spring配置机制的访问

web.xml

除了之前Web章节的web.xml元素之外，Spring Web项目还需要定义以下过滤器

<!-- 这个shiroFilter和applicationContext.xml中定义的Bean名字匹配 -->
<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>
...
<!-- 确保所有的请求都能经过过滤，通常这个filter-mapping定义在最前面，确保请求在到达其他过滤器之前先经过shiroFilter -->
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

完整示例参见github

applicationContext.xml

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean" >
    <property name="securityManager" ref="securityManager"></property>
    <!-- 根据需要配置如下属性
    <property name="loginUrl" value="/login.jsp" />
    <property name="successUrl" value="/home.jsp" />
    <property name="unauthorizedUrl" value="/unauthorized.jsp"/> -->
    
    <!-- 
        还记得前面的通过ini将Shiro配置到web项目中时，我们通过过滤器的名字来定义一条过滤器链
        shiroFilter会自动获取所有声明的javax.servlet.Filter的bean定义，将这些bean设置到filters属性中，其默认的key就是它的beanName，这样就可以通过这个key来定义过滤器链了
        当然也可以覆盖整个默认选项
    <property name="filters">
        <util:map>
            <entry key="anAlias" value-ref="someFilter" />
        </util:map>
    </property>
    -->
    
    <property name="filterChainDefinitions">
        <value>
            # 这里是一些过滤器链的例子
            /admin/** = authc, roles[admin]
            /docs/** = authc, perms[document:read]
            /** = authc
            # 其他例子
        </value>
        <!-- 可以看到，这里的value其实就是ini配置中的url内容 -->
    </property>
</bean>

<!-- 可以在应用程序上下文的任意一个位置定义javax.servlet.Filter的bean，它们会自动的设置到shiroFilter的filters属性中 -->
<bean id="someFilter" class="..." />
<bean id="anotherFilter" class="...">...</bean>
...

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!-- 这里示例是一个单realm的应用，也可以通过realms属性值设置多realm应用 -->
    <property name="realm" ref="myRealm"/>
    
    <!-- sessionMode属性值决定了是否启用Shiro的原生会话管理，默认采用的是Servlet容器的会话管理 -->
    <property name="sessionMode" value="native"/>
</bean>

<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

<!-- 定义一个realm -->
<bean id="myRealm" class="...">
    ...
</bean>

开启Shiro的注解支持

无论是Web应用还是非Web应用，想要开启Shiro的注解支持，都需要Spring的AOP集成来支持

<!-- 为Spring配置的bean启动开启Shiro注解支持 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor" />

<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager" />
</bean>

保护Spring的远程调用

Shiro的Spring远程支持分为两部分：进行远程调用的客户端配置和接收处理远程调用的服务器配置

服务端配置

当一个远程调用到达服务端时，服务端必须绑定相关联的Subject到执行线程中，这个是由Shiro的SecureRemoteInvocationExecutor实例完成的

<!-- 确保任何Spring的远程调用都能绑定一个用于安全检查的Subject -->
<bean id="secureRemoteInvocationExecutor" class="org.apache.shiro.spring.remoting.SecureRemoteInvocationExecutor">
    <property name="securityManager" ref="seucrityManager" />
</bean>

一旦定义了此bean，必须将其设置到用于导出/公开服务的Exporter。 Exporter的实现是根据使用中的远程处理机制/协议定义的。下面展示了一个基于HTTP的远程服务的例子

<bean name="/someService" class="org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter" >
    <property name="service" ref="someService"/>
    <property name="serviceInterface" value="com.pkg.service.SomeService"/>
    <property name="remoteInvocationExecutor" ref="secureRemoteInvocationExecutor"/>
</bean>

客户端配置

当一个远程调用发生时，客户端必须将Subject的标识信息附加到远程调用中，让服务器知道谁在调用。如果这个客户端是一个基于Spring的客户端，则可以通过Shiro的SecureRemoteInvocationFactory来完成这些操作

<bean id="secureRemoteInvocationFactory" class="org.apache.shiro.spring.remoting.SecureRemoteInvocationFactory" />

最后，将这个bean设置到协议相关的Spring远程ProxyFactoryBean就可以了。下面的配置展示了一个基于HTTP的远程调用

<bean id="someService" class="org.springframework.remoting.httpinvoker.HttpInvokerProxyFactoryBean" >
    <property name="serviceUrl" value="http://host:port/remoting/someService" />
    <property name="serviceInterface" value="com.pkg.service.SomeService" />
    <property name="remoteInvocationFactory" ref="secureRemoteInvocationFactory" />
</bean>