最近部落格很久沒搞了，這幾天開始搞起來。。。。

    這段時間在學習shiro許可權框架，我是以張開濤老師的部落格為主，孔浩老師的視訊為輔來學習的，無奈孔浩老師的視訊出的有點讓人捉急，後半段要靠自己了，所以把自己的shiro的學習記錄和一些坑記錄下來~~~

    坑1：

            自定義的permissionResovler的配置應該是配置在realm裡面的（這裡的permissionResovler應該不是全域性的）

      完整的認證配置如下：

​
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	   xmlns:context="http://www.springframework.org/schema/context"
	   xmlns:tx="http://www.springframework.org/schema/tx"
	   xmlns:aop="http://www.springframework.org/schema/aop"
	   xsi:schemaLocation="http://www.springframework.org/schema/beans
	       http://www.springframework.org/schema/beans/spring-beans.xsd
	       http://www.springframework.org/schema/context
	       http://www.springframework.org/schema/context/spring-context.xsd
	       http://www.springframework.org/schema/tx
           http://www.springframework.org/schema/tx/spring-tx.xsd
	       http://www.springframework.org/schema/aop
	       http://www.springframework.org/schema/aop/spring-aop.xsd">
	 
	<bean id="urlPermissionResolver" class="com.EP.permission.UrlPermissionResovler"/>

	<!-- 憑證匹配器 -->
	<bean id="hashMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
	 	<property name="hashAlgorithmName" value="md5"/>
	</bean>

	<bean id="adminRealm" class="com.EP.realm.AdminRealm">
	 	<property name="credentialsMatcher" ref="hashMatcher"/>
		<property name="PermissionResolver" ref="urlPermissionResolver"/>
	</bean>

	<!-- 安全管理器 -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
	    <property name="realm" ref="adminRealm"/>
	</bean>

	<!-- &lt;!&ndash;自定義稽核許可權的filter &ndash;&gt;
	<bean id="resourceCheckFilter" class="com.EP.shiroFilter.ResourceCheckFilter">
		<property name="errorUrl" value="/common.jsp"/>
	</bean>-->

	<!-- Shiro的Web過濾器 -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
	    <property name="securityManager" ref="securityManager"/>
	    <property name="loginUrl" value="/admin/toLoginPage"/>
	    <!--<property name="successUrl" value="/home.jsp"/>-->
	    <property name="unauthorizedUrl" value="/common.jsp"/>

		<!--<property name="filters">
		<map>
		<entry key="resourceCheckFilter" value-ref="resourceCheckFilter" />
		</map>
		</property>-->

	    <property name="filterChainDefinitions">
	        <value>
				/admin/static/** = anon
				/admin/lib/** = anon
				/admin/temp/** = anon

				/admin/toLoginPage = anon
				/admin/login = anon

				<!--/admin/logout = logout-->
				<!--/bgimg/** = resourceCheckFilter-->
				<!--/message/** = resourceCheckFilter-->

	        	/admin/** = authc

	        </value>
	    </property>
	</bean>

	<!--&lt;!&ndash;開啟shiro註解&ndash;&gt;
	<bean id="serviceAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
	    <property name="securityManager" ref="securityManager"/>
	</bean>

	&lt;!&ndash; Shiro生命週期處理器&ndash;&gt;
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>-->
</beans>

​
 

從攔截到登入的一個完整的認證流程：

            1.以當前配置為例，spring例項化shiroFilter後，會對/admin/*的所有url進行攔截（在web.xml中配置）

             2.下面的配置檔案為url配置了需要經過的攔截器鏈：

<value>
                /admin/static/** = anon
                /admin/lib/** = anon
                /admin/temp/** = anon

                /admin/toLoginPage = anon
                /admin/login = anon

                <!--/admin/logout = logout-->
                <!--/bgimg/** = resourceCheckFilter-->
                <!--/message/** = resourceCheckFilter-->

                /admin/** = authc

</value>

            有anon的在經過anon過濾器後會被攔截，有authc的會被要求認證，上面已經配置過攔截器過的url不會被下面的重複定義覆蓋。

              3. 如果沒有經過驗證的url，將會跳轉到配置的登入介面，進行登入

               登入（即認證）的流程，這裡我引用開濤老師的部落格裡的流程，順便加上自己的註釋：

                   1、首先呼叫Subject.login(token)進行登入，其會自動委託給Security Manager，呼叫之前必須通過SecurityUtils. setSecurityManager()設定（通過IOC把Security Manager注入進去）；

                    2、SecurityManager負責真正的身份驗證邏輯；它會委託給Authenticator進行身份驗證；

                    3、Authenticator才是真正的身份驗證者，Shiro API中核心的身份認證入口點，此處可以自定義插入自己的實現；

                ”插入自己的實現”的解釋：

                SecurityManager接受到token(令牌)資訊後會委託內建的Authenticator的例項（通常都是ModularRealmAuthenticator類的例項）呼叫authenticator.authenticate(token).ModularRealmAuthenticator在認證過程中會對設定的一個或多個Realm例項進行適配，它實際上為Shiro提供了一個可拔插的認證機制。 

                即可以自定義如何對realm進行適配

                    4、Authenticator可能會委託給相應的AuthenticationStrategy進行多Realm身份驗證，預設ModularRealmAuthenticator會呼叫AuthenticationStrategy進行多Realm身份驗證；

                    5、Authenticator會把相應的token傳入Realm，從Realm獲取身份驗證資訊，如果沒有返回/丟擲異常表示身份驗證失敗了。此處可以配置多個Realm，將按照相應的順序及策略進行訪問。