一、基于Java代碼的配置

    最簡單的創(chuàng)建并且使用SecurityManager的方式就是直接在代碼中創(chuàng)建org.apache.shiro.mgt.DefaultSecurityManager類實例,比如:

1 Realm realm =//instantiate or acquire a Realm instance. We'll discuss Realms later.2 SecurityManager securityManager =newDefaultSecurityManager(realm);3 //Make the SecurityManager instance available to the entire application via static memory:4 SecurityUtils.setSecurityManager(securityManager);

 

只需區(qū)區(qū)三行代碼,我們就已經(jīng)為任何類型的應(yīng)用程序配置好了一個全功能的Shiro運行環(huán)境,你看,多簡單。

 

    SecurityManager對象圖譜

        就像我們在架構(gòu)一節(jié)中介紹的,SecurityManager的實現(xiàn)是模塊化的,而且可以兼容JavaBean,所以你可以通過setter和getter方法來配置SecurityManager及其內(nèi)部組件。

    比如如果你想把一個自定義的SessionDAO配置為SecurityManager的Session管理器,你可以直接調(diào)用SessionManager的setSessionDAO方法。

...
DefaultSecurityManager securityManager =newDefaultSecurityManager(realm);
SessionDAO sessionDAO =newCustomSessionDAO();
((DefaultSessionManager)securityManager.getSessionManager()).setSessionDAO(sessionDAO);
...

 

你可以通過這種調(diào)用setter方法的方式來設(shè)置SecurityManager的任何內(nèi)置組件。但是對于現(xiàn)實的應(yīng)用程序來說,這不是一種理想的配置方式。主要有以下幾點原因:

    #,這種直接編碼的方式要求我們知道這個具體的實現(xiàn)類在哪,并且要自己去創(chuàng)建他。而我們一般建議是依賴于抽象而不是具體,所以最好不要讓我知道他具體的實現(xiàn)在哪里。

    #,由于java的類型安全特性,當(dāng)我們通過getter方法獲取到某個類的具體實現(xiàn)之后,我們將不得不把他們強(qiáng)制類型轉(zhuǎn)換為具體的類型,如此多的強(qiáng)制類型轉(zhuǎn)換太丑了,不是一種好的編程實踐。

    #,如果我們通過SecurityUtils.setSecurityManager方法為當(dāng)前的應(yīng)用設(shè)置一個虛擬機(jī)范圍內(nèi)的靜態(tài)SecurityManager對象,在大多數(shù)應(yīng)用中都是ok的。但是如果我們要在一個虛擬機(jī)上運行多個使用Shiro的應(yīng)用程序時,就可能會出亂子了。所以如果能夠為每個應(yīng)用程序創(chuàng)建一個的單例就更好了;

    #,每次你要修改一下Shiro的配置都不得不重新編譯程序;

 

    雖然有以上提到的種種缺點,但是如果你要在一個內(nèi)