当前位置: 开发笔记 > 运维 > 正文

SpringBoot2开发之SpringBoot整合Shiro两种详细方法

作者：hjp1993 | 来源：互联网 | 2021-10-31 15:43

这篇文章主要介绍了SpringBoot2开发之SpringBoot整合Shiro详细方法,需要的朋友可以参考下

在 Spring Boot 中做权限管理，一般来说，主流的方案是 Spring Security ，但是，仅仅从技术角度来说，也可以使用 Shiro。

Spring Security 和 Shiro 的比较：

Spring Security 是一个重量级的安全管理框架；Shiro 则是一个轻量级的安全管理框架
Spring Security 概念复杂，配置繁琐；Shiro 概念简单、配置简单
Spring Security 功能强大；Shiro 功能简单
等等

虽然 Shiro 功能简单，但是也能满足大部分的业务场景。所以在传统的 SSM 项目中，一般来说，可以整合 Shiro。

在 Spring Boot 中，由于 Spring Boot 官方提供了大量的非常方便的开箱即用的 Starter ，当然也提供了 Spring Security 的 Starter ，使得在 Spring Boot 中使用 Spring Security 变得更加容易，甚至只需要添加一个依赖就可以保护所有的接口，所以，如果是 Spring Boot 项目，一般选择 Spring Security 。

这只是一个建议的组合，单纯从技术上来说，无论怎么组合，都是没有问题的。

在 Spring Boot 中整合 Shiro ，有两种不同的方案：

第一种就是原封不动的，将 SSM 整合 Shiro 的配置用 Java 重写一遍。

第二种就是使用 Shiro 官方提供的一个 Starter 来配置，但是，这个 Starter 并没有简化多少配置。

原生的整合

创建项目

创建一个 Spring Boot 项目，只需要添加 Web 依赖即可：

项目创建成功后，加入 Shiro 相关的依赖，完整的 pom.xml 文件中的依赖如下：


 
  org.springframework.boot
  spring-boot-starter-web
 
 
  org.apache.shiro
  shiro-web
  1.4.0
 
 
  org.apache.shiro
  shiro-spring
  1.4.0

创建 Realm

接下来我们来自定义核心组件 Realm：

public class MyRealm extends AuthorizingRealm {
 @Override
 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
  return null;
 }
 @Override
 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
  String username = (String) token.getPrincipal();
  if (!"javaboy".equals(username)) {
   throw new UnknownAccountException("账户不存在!");
  }
  return new SimpleAuthenticationInfo(username, "123", getName());
 }
}

在 Realm 中实现简单的认证操作即可，不做授权，授权的具体写法和 SSM 中的 Shiro 一样，不赘述。这里的认证表示用户名必须是 javaboy ，用户密码必须是 123 ，满足这样的条件，就能登录成功！

配置 Shiro

接下来进行 Shiro 的配置：

@Configuration
public class ShiroConfig {
 @Bean
 MyRealm myRealm() {
  return new MyRealm();
 }
 
 @Bean
 SecurityManager securityManager() {
  DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
  manager.setRealm(myRealm());
  return manager;
 }
 
 @Bean
 ShiroFilterFactoryBean shiroFilterFactoryBean() {
  ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
  bean.setSecurityManager(securityManager());
  bean.setLoginUrl("/login");
  bean.setSuccessUrl("/index");
  bean.setUnauthorizedUrl("/unauthorizedurl");
  Map map = new LinkedHashMap<>();
  map.put("/doLogin", "anon");
  map.put("/**", "authc");
  bean.setFilterChainDefinitionMap(map);
  return bean;
 }
}

在这里进行 Shiro 的配置主要配置 3 个 Bean ：

首先需要提供一个 Realm 的实例。
需要配置一个 SecurityManager，在 SecurityManager 中配置 Realm。
配置一个 ShiroFilterFactoryBean ，在 ShiroFilterFactoryBean 中指定路径拦截规则等。
配置登录和测试接口。

其中，ShiroFilterFactoryBean 的配置稍微多一些，配置含义如下：

setSecurityManager 表示指定 SecurityManager。
setLoginUrl 表示指定登录页面。
setSuccessUrl 表示指定登录成功页面。
接下来的 Map 中配置了路径拦截规则，注意，要有序。

这些东西都配置完成后，接下来配置登录 Controller:

@RestController
public class LoginController {
 @PostMapping("/doLogin")
 public void doLogin(String username, String password) {
  Subject subject = SecurityUtils.getSubject();
  try {
   subject.login(new UsernamePasswordToken(username, password));
   System.out.println("登录成功!");
  } catch (AuthenticationException e) {
   e.printStackTrace();
   System.out.println("登录失败!");
  }
 }
 @GetMapping("/hello")
 public String hello() {
  return "hello";
 }
 @GetMapping("/login")
 public String login() {
  return "please login!";
 }
}

测试时，首先访问 /hello 接口，由于未登录，所以会自动跳转到 /login 接口：

然后调用 /doLogin 接口完成登录：

再次访问 /hello 接口，就可以成功访问了：

使用 Shiro Starter

上面这种配置方式实际上相当于把 SSM 中的 XML 配置拿到 Spring Boot 中用 Java 代码重新写了一遍，除了这种方式之外，我们也可以直接使用 Shiro 官方提供的 Starter 。

创建工程，和上面的一样

创建成功后，添加 shiro-spring-boot-web-starter ，这个依赖可以代替之前的 shiro-web 和 shiro-spring 两个依赖，pom.xml 文件如下：


 
  org.springframework.boot
  spring-boot-starter-web
 
 
  org.apache.shiro
  shiro-spring-boot-web-starter
  1.4.0

创建 Realm

这里的 Realm 和前面的一样，我就不再赘述。

配置 Shiro 基本信息

接下来在 application.properties 中配置 Shiro 的基本信息：

shiro.sessionManager.sessiOnIdCOOKIEEnabled=true
shiro.sessionManager.sessiOnIdUrlRewritingEnabled=true
shiro.unauthorizedUrl=/unauthorizedurl
shiro.web.enabled=true
shiro.successUrl=/index
shiro.loginUrl=/login

配置解释：

第一行表示是否允许将sessionId 放到 COOKIE 中
第二行表示是否允许将 sessionId 放到 Url 地址拦中
第三行表示访问未获授权的页面时，默认的跳转路径
第四行表示开启 shiro
第五行表示登录成功的跳转页面
第六行表示登录页面

配置 ShiroConfig

@Configuration
public class ShiroConfig {
 @Bean
 MyRealm myRealm() {
  return new MyRealm();
 }
 @Bean
 DefaultWebSecurityManager securityManager() {
  DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
  manager.setRealm(myRealm());
  return manager;
 }
 @Bean
 ShiroFilterChainDefinition shiroFilterChainDefinition() {
  DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();
  definition.addPathDefinition("/doLogin", "anon");
  definition.addPathDefinition("/**", "authc");
  return definition;
 }
}

这里的配置和前面的比较像，但是不再需要 ShiroFilterFactoryBean 实例了，替代它的是 ShiroFilterChainDefinition ，在这里定义 Shiro 的路径匹配规则即可。

这里定义完之后，接下来的登录接口定义以及测试方法都和前面的一致，我就不再赘述了。大家可以参考上文。

总结

本文主要向大家介绍了 Spring Boot 整合 Shiro 的两种方式，一种是传统方式的 Java 版，另一种则是使用 Shiro 官方提供的 Starter，两种方式

更多关于Spring Boot技巧请查看下面的相关链接

推荐阅读

server
如何配置Java环境变量PATH以完成JDK安装

本文详细介绍了如何正确配置Java环境变量PATH，以确保JDK安装完成后能够正常运行。文章不仅涵盖了基本的环境变量设置步骤，还提供了针对不同操作系统下的具体操作指南。 ... [详细]

蜡笔小新 2024-12-19 20:15:05
server
全国天气预报API，提供五天天气数据的JSON接口

近期我们开发了一款包含天气预报功能的万年历应用，为了满足这一需求，团队花费数日时间精心打造并测试了一个稳定可靠的天气API接口，现正式对外开放。 ... [详细]

蜡笔小新 2024-12-19 17:40:09
server
CactiEZ 中文版安装与使用指南

本文将详细介绍如何安装和使用 CactiEZ 的中文版本，帮助那些对英文界面不太熟悉的用户轻松掌握这一强大的网络监控工具。 ... [详细]

蜡笔小新 2024-12-19 12:14:26
容器
Web与游戏开发的主要差异

本文探讨了Web开发与游戏开发之间的主要区别，旨在帮助开发者更好地理解两种开发领域的特性和需求。文章基于作者的实际经验和网络资料整理而成。 ... [详细]

蜡笔小新 2024-12-18 08:26:30
curl
在Linux系统上构建Web服务器的详细步骤

本文详细介绍了如何在Linux系统上搭建Web服务器的过程，包括安装Apache、PHP和MySQL等关键组件，以及遇到的一些常见问题及其解决方案。 ... [详细]

蜡笔小新 2024-12-17 19:02:43
curl
ThinkPHP6多数据库部署指南

本文将详细介绍如何在ThinkPHP6框架中实现多数据库的部署，包括读写分离的策略，以及如何通过负载均衡和MySQL同步技术优化数据库性能。 ... [详细]

蜡笔小新 2024-12-17 18:59:28
负载均衡
深入解析Spring Cloud微服务架构与分布式系统实战

本文详细介绍了Spring Cloud在微服务架构和分布式系统中的应用，结合实际案例和最新技术，帮助读者全面掌握微服务的实现与优化。 ... [详细]

蜡笔小新 2024-12-19 16:02:50
shell
深入解析：OpenShift Origin环境下的Kubernetes Spark Operator

本文探讨了如何在OpenShift Origin平台上利用Kubernetes Spark Operator来管理和部署Apache Spark集群与应用。作为Radanalytics.io项目的一部分，这一开源工具为大数据处理提供了强大的支持。 ... [详细]

蜡笔小新 2024-12-19 14:07:35
shell
解决WildFly中MySQL数据源依赖问题

本文介绍了如何在WildFly 10中配置MySQL数据源时遇到的服务依赖问题及其解决方案。 ... [详细]

蜡笔小新 2024-12-18 19:16:04
shell
深入解析SSDP与WSD协议

本文探讨了SSDP（简单服务发现协议）和WSD（Web服务发现）协议，特别是SSDP如何通过固定多播地址239.255.255.250:1900实现局域网内的服务自发现功能。文中还详细介绍了SSDP协议的关键操作类型及其应用场景。 ... [详细]

蜡笔小新 2024-12-18 19:07:24
server
Spring Cloud Config 使用 Vault 作为配置存储

本文探讨了如何在Spring Cloud Config中集成HashiCorp Vault作为配置存储解决方案，基于Spring Cloud Hoxton.RELEASE及Spring Boot 2.2.1.RELEASE版本。文章还提供了详细的配置示例和实践建议。 ... [详细]

蜡笔小新 2024-12-18 16:40:26
sudo
Linux下卸载OpenJDK并安装配置JDK 1.8及防火墙设置

本文介绍如何在Linux系统中卸载预装的OpenJDK，安装指定版本的JDK 1.8，并配置防火墙以确保系统安全性和软件兼容性。 ... [详细]

蜡笔小新 2024-12-18 14:47:47
sudo
唐都温泉花园项目现状分析

唐都温泉花园项目在总收入接近3.5亿元的情况下，出现了严重的资金管理问题，导致政府支持的经济适用房项目面临停工风险。 ... [详细]

蜡笔小新 2024-12-18 12:45:25
容器
使用Java反射机制模拟Webwork URL解析

本文探讨如何利用Java反射技术来模拟Webwork框架中的URL解析过程。通过这一实践，读者可以更好地理解Webwork及其后续版本Struts2的工作原理，尤其是它们在MVC架构下的角色。 ... [详细]

蜡笔小新 2024-12-18 10:06:40
容器
基于slf4j的日志过滤

最近同事提了一个需求过来，他觉得项目对于第三方日志记录的太多了，只想记录一些业务相关的日志减少对于框架日志的显示。具体要求就是对于框架日志只显示warn等级以上的，而业务日志显示info等级以上 ... [详细]

蜡笔小新 2024-12-17 20:55:59

hjp1993

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章