配置
将Shiro集成到任何web应用程序的最简单方法是在web.xml中配置一个Servlet ContextListener和过滤器,该Servlet了解如何读取Shiro的INI配置。
INI配置格式本身的大部分是在配置页面的INI部分中定义的,但是我们将在这里介绍一些额外的特定于web的部分。
- 使用 Spring?
Spring Framework用户不会执行这个设置。如果您使用Spring,那么您将希望阅读有关Spring特定的web配置的内容。
web.xml
Shiro 1.2及以后版本
在Shiro 1.2及以后版本中,标准的web应用程序通过向 web.xml 中添加以下XML块来初始化Shiro:
<listener><listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
</listener><filter><filter-name>ShiroFilter</filter-name><filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
</filter><filter-mapping><filter-name>ShiroFilter</filter-name><url-pattern>/*</url-pattern><dispatcher>REQUEST</dispatcher><dispatcher>FORWARD</dispatcher><dispatcher>INCLUDE</dispatcher><dispatcher>ERROR</dispatcher>
</filter-mapping>
这假设Shiro INI配置文件位于以下两个位置之一,使用先找到的位置:
-
/WEB-INF/shiro.ini -
shiro.ini文件位于类路径的根。
配置流程
下面是上面的配置做的事情:
EnvironmentLoaderListener初始化一个Shiro WebEnvironment实例(包含Shiro需要操作的所有内容,包括SecurityManager),并使其在ServletContext中可访问。如果您需要在任何时候获得这个WebEnvironment实例,您可以调用 WebUtils.getRequiredWebEnvironment(servletContext)。
ShiroFilter将使用这个web环境为任何过滤的请求执行所有必要的安全操作。
最后,过滤器映射定义确保所有请求都通过ShiroFilter进行过滤,大多数web应用程序都推荐使用ShiroFilter,以确保任何请求都是安全的。
默认配置
- ShiroFilter filter-mapping
通常我们希望在任何其他“filter-mapping”声明之前定义“ShiroFilter filter-mapping”,以确保Shiro也能在这些过滤器中发挥作用。
- ShiroFilter默认编码
shiro过滤器是一个标准的servlet过滤器,根据servlet规范,默认编码为ISO-8859-1。
但是,客户机可以选择使用Content-Type头的charset属性发送具有不同编码的身份验证数据。
