<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-4.0.xsd">
<!--1.配置securityManager-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="cacheManager" ref="cacheManager"/>
<!--session的管理方式-->
<property name="sessionMode" value="native"/>
<property name="realm" ref="jdbcRealm"/>
</bean>
<!--2.配置cacheManager
2.1需要加入ehcache的Jar包及配置文件
-->
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/>
</bean>
<!--3.配置realm
直接实现了 org.apache.shiro.realm.Realm 接口的bean
-->
<bean id="jdbcRealm" class="com.demo.realm.ShiroRealm">
</bean>
<!--4.配置LifecycleBeanPostProcessor 可以自动的调用配置在Spring Ioc 容器中 shiro bean 的生命周期-->
<bean id="LifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<!--5.启用IOC容器中使用shiro的注解,但必须在配置LifecycleBeanPostProcessor之后才可以使用-->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="LifecycleBeanPostProcessor"/>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"/>
</bean>
<!--6.配置ShiroFilter
**** 6.1 id必须和web.xml文件中配置的DelegatingFilterProxy的<filteName>一致
会在DelegatingFilterProxy(委派拦截代理)(五)这篇文章说到
-->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/login.jsp"/>
<property name="successUrl" value="/list.jsp"/>
<property name="unauthorizedUrl" value="/unauthorizedUrl.jsp"/>
<!--
#anon: 例子/admins/**=anon 没有参数,表示可以匿名使用。
#authc: 例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数
#roles: 例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,
#并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],
#每个参数通过才算通过,相当于hasAllRoles()方法。
#如需求满足or条件,则请自定义过滤器,继承 AccessControlFilter 或者 AuthorizationFilter
#perms: 例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,
#例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,
#想当于isPermitedAll()方法。
#rest: 例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,
#其中method为post,get,delete等。
#port: 例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,
#其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。
#authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证
#ssl: 例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
#user: 例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查
#注:anon,authcBasic,auchc,user是认证过滤器,
#perms,roles,ssl,rest,port是授权过滤器
-->
<property name="filterChainDefinitions">
<value>
/login.jsp=anon <!--表示这个页面不会拦截,其他页面访问的话回拦截并且拦截完会重定向到login.jsp-->
/**=authc <!--除了login.jsp页面之后任何页面访问都需要认证-->
</value>
</property>
</bean>
</beans>