shiro与spring集成

参考https://my.oschina.net/boonya/blog/92003
shiro与spring集成
shiro与spring的集成，通过一个shiroFilter入口来拦截需要安全控制的url，然后进行相应控制。
shiroFilter类似web框架（SpringMVC,Strut2）的前端控制器，是安全控制的入口的，负责读取配置（如ini配置文件），然后判断url是否需要登录/权限等工作。

配置方式如下

DelegatingFilterProxy作用是：自动到spring容器中查找名字为shiroFilter(filter-name)的bean,并把所有Filter的操作委托给它

    <!-- shiro 安全过滤器 -->
    <!-- The filter-name matches name of a 'shiroFilter' bean inside applicationContext.xml -->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <async-supported>true</async-supported>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>

    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

将shiroFilter配置到spring容器中

    <!-- Shiro的Web过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 此处使用ShiroFilterFactoryBean来创建ShiroFilter过滤器 -->
        <property name="securityManager" ref="securityManager" />

         <!-- 即访问这些地址时会首先判断用户有没有登录，如果没有登录默会跳转到登录页面,设置loginUrl属性，默认是/login.jsp -->
        <property name="loginUrl" value="${shiro.login.url}" />

        <!-- 没有权限的时候跳转页面 -->
        <property name="unauthorizedUrl" value="${shiro.unauthorizedUrl}" />
        <!--登录成功时候跳转页面 -->
        <property name="successUrl" value="/"></property>

        <!--filters属性用于定义自己的过滤器， 即ini配置中的[filters]部分-->
        <property name="filters">
            <util:map>
                <entry key="authc" value-ref="formAuthenticationFilter" />
                <entry key="monitor" value-ref="monitorFilter" />
            </util:map>
        </property>

        <!--filterChainDefinitions用于声明url和过滤器filter的关系，
        即ini配置中的[urls]部分。过滤器采用短路原则，越上面越先匹配-->
        <property name="filterChainDefinitions">
            <value>
                /UploadServlet=anon
                /login = authc      <!--authc拦截器会判断用户是否是通过Subject.login（isAuthenticated()==true）登录的，如果是才放行，否则会跳转到登录页面叫你重新登录 -->
                /app/login=anon <!-- 允许未登录访问安卓接口 -->
                /app/uploadFile=anon <!-- 允许未登录访问安卓接口 -->
                /app/**=user <!-- 允许未登录访问安卓接口 -->
                /logout = logout    <!-- 注销拦截器 -->
                /druid = monitor   <!-- 监控拦截器 -->
                /register=anon      <!-- 允许匿名访问 -->
                /prepareRegister=anon
                /resources/**=anon  <!-- 不拦截静态资源！！ -->
                /** = user  <!-- isRemenber=true或者是通过login登录的就可以通过 -->
            </value>
        </property>
    </bean>

<property>注入
securityManager是ShiroFilter类里的一个属性，就是通过你的配置文件给你类里面的属性传参数（通过你的构造函数 或是 你是get（）和set（）方法）