一篇文章带你搞定 SpringBoot 整合 Shiro

绝地灬酷狼 2022-12-11 13:53 246阅读 0赞

### 文章目录 ###

*   *  一、Shiro 和 SpringSecurity 比较
     *  二、原生的整合
     *   *  1. 环境搭建
         *  2. 创建 Realm
         *  3. 配置 ShiroConfig
         *  4. 配置 Controller
     *  三、使用 Shiro Starter 实现
     *   *  1. 环境搭建
         *  2. 配置 ShiroConfig
         *  3. 配置 Shiro 信息

## 一、Shiro 和 SpringSecurity 比较 ##

在 Spring Boot 中做权限管理，一般来说，主流的方案是 Spring Security ，但是，仅仅从技术角度来说，也可以使用 Shiro。

一般来说，Spring Security 和 Shiro 的比较如下：

> （1）Spring Security 是一个重量级的安全管理框架；Shiro 则是一个轻量级的安全管理框架  
> （2）Spring Security 概念复杂，配置繁琐；Shiro 概念简单、配置简单  
> （3）Spring Security 功能强大；Shiro 功能简单

虽然 Shiro 功能简单，但是也能满足大部分的业务场景。所以在传统的 SSM 项目中，一般来说，可以整合 Shiro。

在 Spring Boot 中，由于 Spring Boot 官方提供了大量的非常方便的开箱即用的 Starter ，当然也提供了 Spring Security 的 Starter ，使得在 Spring Boot 中使用 Spring Security 变得更加容易，甚至只需要添加一个依赖就可以保护所有的接口，所以，如果是 Spring Boot 项目，一般选择 Spring Security 。

这只是一个建议的组合，单纯从技术上来说，无论怎么组合，都是没有问题的。

在 Spring Boot 中整合 Shiro ，有两种不同的方案：

> 第一种就是原封不动的，将 SSM 整合 Shiro 的配置用 Java 重写一遍。  
> 第二种就是使用 Shiro 官方提供的一个 Starter 来配置，但是，这个 Starter 并没有简化多少配置。

## 二、原生的整合 ##

### 1. 环境搭建 ###

（1）创建 SpringBoot 时加入 web 依赖即可  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L25hbmh1YWliZWlhbg_size_16_color_FFFFFF_t_70_pic_center]

（2）添加 Shiro 相关的依赖

<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.4.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>

### 2. 创建 Realm ###

//AuthorizingRealm 既有认证又有授权
    public class MyRealm extends AuthorizingRealm { 
        /** * 完成授权 * @param principals * @return */
        @Override
        protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { 
            return null;
        }
    
        /** * 完成认证 * @param token * @return * @throws AuthenticationException */
        @Override
        protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { 
            //获取用户名
            String username = (String) token.getPrincipal();
            if ("yolo".equals(username)) { 
                return new SimpleAuthenticationInfo(username, "123", getName());
            }
            return null;
        }
    }

在 Realm 中实现简单的认证操作即可，不做授权，授权的具体写法和 SSM 中的 Shiro 一样。这里的认证表示用户名必须是 yolo ，用户密码必须是 123 ，满足这样的条件，就能登录成功！

### 3. 配置 ShiroConfig ###

@Configuration
    public class ShiroConfig { 
        @Bean
        MyRealm myRealm() { 
            return new MyRealm();
        }
    
        @Bean
        SecurityManager securityManager() { 
            DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
            manager.setRealm(myRealm());
            return manager;
        }
    
        @Bean
        ShiroFilterFactoryBean shiroFilterFactoryBean() { 
            ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
            bean.setSecurityManager(securityManager());
            bean.setLoginUrl("/login");
            bean.setSuccessUrl("/index");
            Map<String, String> map = new LinkedHashMap<>();
            //匿名访问
            map.put("/doLogin", "anon");
            //登录后访问
            map.put("/**", "authc");
            //定义拦截规则
            bean.setFilterChainDefinitionMap(map);
            return bean;
        }
    }

在这里进行 Shiro 的配置主要配置 3 个 Bean ：

> （1）首先需要提供一个 Realm 的实例。  
> （2）需要配置一个 SecurityManager，在 SecurityManager 中配置 Realm。  
> （3）配置一个 ShiroFilterFactoryBean ，在 ShiroFilterFactoryBean 中指定路径拦截规则等。  
> （4）配置登录和测试接口。

其中，ShiroFilterFactoryBean 的配置稍微多一些，配置含义如下：

setSecurityManager 表示指定 SecurityManager。

> （1） setLoginUrl 表示指定登录页面。  
> （2）setSuccessUrl 表示指定登录成功页面。  
> （3）接下来的 Map 中配置了路径拦截规则，注意，要有序。

### 4. 配置 Controller ###

这些东西都配置完成后，接下来配置登录 Controller:

@RestController
    public class HelloController { 
        @GetMapping("/login")
        public String loging() { 
            return "please login";
        }
    
        @PostMapping("/doLogin")
        public void doLogin(String username, String password) { 
            Subject subject = SecurityUtils.getSubject();
            try { 
                subject.login(new UsernamePasswordToken(username, password));
                System.out.println("success");
            } catch (AuthenticationException e) { 
                e.printStackTrace();
                System.out.println("fail>>" + e.getMessage());
            }
        }
    
        @GetMapping("/hello")
        public String hello() { 
            return "hello shiro!";
        }
    }

测试时，首先访问 /hello 接口，由于未登录，所以会自动跳转到 /login 接口：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L25hbmh1YWliZWlhbg_size_16_color_FFFFFF_t_70_pic_center 1]  
登录成功：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L25hbmh1YWliZWlhbg_size_16_color_FFFFFF_t_70_pic_center 2]  
访问成功：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L25hbmh1YWliZWlhbg_size_16_color_FFFFFF_t_70_pic_center 3]

## 三、使用 Shiro Starter 实现 ##

### 1. 环境搭建 ###

原生的整合配置方式实际上相当于把 SSM 中的 XML 配置拿到 Spring Boot 中用 Java 代码重新写了一遍，除了这种方式之外，我们也可以直接使用 Shiro 官方提供的 Starter

创建成功后，添加 `shiro-spring-boot-web-starter` ，这个依赖可以代替之前的 `shiro-web` 和 `shiro-spring` 两个依赖，`pom.xml` 文件如下：

<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-web-starter</artifactId>
            <version>1.4.0</version>
        </dependency>
    </dependencies>

### 2. 配置 ShiroConfig ###

@Configuration
    public class ShiroConfig { 
        @Bean
        Realm realm() { 
            TextConfigurationRealm realm = new TextConfigurationRealm();
            //设置两个角色及密码
            realm.setUserDefinitions("yolo=123,user \n admin=123,admin");
            //设置角色的权限
            realm.setRoleDefinitions("admin=read,write \n user=read");
            return realm;
        }
        @Bean
        ShiroFilterChainDefinition shiroFilterChainDefinition() { 
            DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();
            //设置路径的访问权限
            definition.addPathDefinition("/doLogin", "anon");
            definition.addPathDefinition("/**", "authc");
            return definition;
        }
    }

这里的配置和前面的比较像，但是不再需要 `ShiroFilterFactoryBean` 实例了，替代它的是 `ShiroFilterChainDefinition` ，在这里定义 Shiro 的路径匹配规则即可。

### 3. 配置 Shiro 信息 ###

接下来在 `application.properties` 中配置 Shiro 的基本信息：

shiro.sessionManager.sessionIdCookieEnabled=true
    shiro.sessionManager.sessionIdUrlRewritingEnabled=true
    shiro.unauthorizedUrl=/unauthorizedurl
    shiro.web.enabled=true
    shiro.successUrl=/index
    shiro.loginUrl=/login

> 第一行表示是否允许将sessionId 放到 cookie 中  
> 第二行表示是否允许将 sessionId 放到 Url 地址拦中  
> 第三行表示访问未获授权的页面时，默认的跳转路径  
> 第四行表示开启 shiro  
> 第五行表示登录成功的跳转页面  
> 第六行表示登录页面

登录验证测试同上，不再赘述。

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L25hbmh1YWliZWlhbg_size_16_color_FFFFFF_t_70_pic_center]: /images/20221123/abaa78ab250e4362a7c8c31c5bb23d79.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L25hbmh1YWliZWlhbg_size_16_color_FFFFFF_t_70_pic_center 1]: /images/20221123/e1493ff5ee2f4a7cb82b8e2ff8ac1e8b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L25hbmh1YWliZWlhbg_size_16_color_FFFFFF_t_70_pic_center 2]: /images/20221123/a7d617112bbe43b197687df7049dc173.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L25hbmh1YWliZWlhbg_size_16_color_FFFFFF_t_70_pic_center 3]: /images/20221123/a6b149e7fc864ecfb528127928c8ebe2.png