Spring Boot 整合 Shiro ,两种方式全总结!

2年前 (2022) 程序员胖胖胖虎阿
332 0 0
Spring Boot 整合 Shiro ,两种方式全总结!
点击
“牧码小子”关注,和众多大牛一起成长!

关注后,后台回复 java ,领取松哥为你精心准备的技术干货!



在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。

今天松哥就来和大家聊聊 Spring Boot 整合 Shiro 的话题!

一般来说,Spring Security 和 Shiro 的比较如下:

  1. Spring Security 是一个重量级的安全管理框架;Shiro 则是一个轻量级的安全管理框架

  2. Spring Security 概念复杂,配置繁琐;Shiro 概念简单、配置简单

  3. Spring Security 功能强大;Shiro 功能简单

  4. ...

虽然 Shiro 功能简单,但是也能满足大部分的业务场景。所以在传统的 SSM 项目中,一般来说,可以整合 Shiro。

在 Spring Boot 中,由于 Spring Boot 官方提供了大量的非常方便的开箱即用的 Starter ,当然也提供了 Spring Security 的 Starter ,使得在 Spring Boot 中使用 Spring Security 变得更加容易,甚至只需要添加一个依赖就可以保护所有的接口,所以,如果是 Spring Boot 项目,一般选择 Spring Security 。

这只是一个建议的组合,单纯从技术上来说,无论怎么组合,都是没有问题的。

在 Spring Boot 中整合 Shiro ,有两种不同的方案:

  1. 第一种就是原封不动的,将 SSM 整合 Shiro 的配置用 Java 重写一遍。

  2. 第二种就是使用 Shiro 官方提供的一个 Starter 来配置,但是,这个 Starter 并没有简化多少配置。

原生的整合

  • 创建项目

创建一个 Spring Boot 项目,只需要添加 Web 依赖即可:

Spring Boot 整合 Shiro ,两种方式全总结!

项目创建成功后,加入 Shiro 相关的依赖,完整的 pom.xml 文件中的依赖如下:

  
  
  
  1. <dependencies>

  2. <dependency>

  3. <groupId>org.springframework.boot</groupId>

  4. <artifactId>spring-boot-starter-web</artifactId>

  5. </dependency>

  6. <dependency>

  7. <groupId>org.apache.shiro</groupId>

  8. <artifactId>shiro-web</artifactId>

  9. <version>1.4.0</version>

  10. </dependency>

  11. <dependency>

  12. <groupId>org.apache.shiro</groupId>

  13. <artifactId>shiro-spring</artifactId>

  14. <version>1.4.0</version>

  15. </dependency>

  16. </dependencies>

  • 创建 Realm

接下来我们来自定义核心组件 Realm:

  
  
  
  1. public class MyRealm extends AuthorizingRealm {

  2. @Override

  3. protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

  4. return null;

  5. }

  6. @Override

  7. protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

  8. String username = (String) token.getPrincipal();

  9. if (!"javaboy".equals(username)) {

  10. throw new UnknownAccountException("账户不存在!");

  11. }

  12. return new SimpleAuthenticationInfo(username, "123", getName());

  13. }

  14. }

在 Realm 中实现简单的认证操作即可,不做授权,授权的具体写法和 SSM 中的 Shiro 一样,不赘述。这里的认证表示用户名必须是 javaboy ,用户密码必须是 123 ,满足这样的条件,就能登录成功!

  • 配置 Shiro

接下来进行 Shiro 的配置:

  
  
  
  1. @Configuration

  2. public class ShiroConfig {

  3. @Bean

  4. MyRealm myRealm() {

  5. return new MyRealm();

  6. }


  7. @Bean

  8. SecurityManager securityManager() {

  9. DefaultWebSecurityManager manager = new DefaultWebSecurityManager();

  10. manager.setRealm(myRealm());

  11. return manager;

  12. }


  13. @Bean

  14. ShiroFilterFactoryBean shiroFilterFactoryBean() {

  15. ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();

  16. bean.setSecurityManager(securityManager());

  17. bean.setLoginUrl("/login");

  18. bean.setSuccessUrl("/index");

  19. bean.setUnauthorizedUrl("/unauthorizedurl");

  20. Map<String, String> map = new LinkedHashMap<>();

  21. map.put("/doLogin", "anon");

  22. map.put("/**", "authc");

  23. bean.setFilterChainDefinitionMap(map);

  24. return bean;

  25. }

  26. }

在这里进行 Shiro 的配置主要配置 3 个 Bean :

  1. 首先需要提供一个 Realm 的实例。

  2. 需要配置一个 SecurityManager,在 SecurityManager 中配置 Realm。

  3. 配置一个 ShiroFilterFactoryBean ,在 ShiroFilterFactoryBean 中指定路径拦截规则等。

  4. 配置登录和测试接口。

其中,ShiroFilterFactoryBean 的配置稍微多一些,配置含义如下:

  • setSecurityManager 表示指定 SecurityManager。

  • setLoginUrl 表示指定登录页面。

  • setSuccessUrl 表示指定登录成功页面。

  • 接下来的 Map 中配置了路径拦截规则,注意,要有序。

这些东西都配置完成后,接下来配置登录 Controller:

  
  
  
  1. @RestController

  2. public class LoginController {

  3. @PostMapping("/doLogin")

  4. public void doLogin(String username, String password) {

  5. Subject subject = SecurityUtils.getSubject();

  6. try {

  7. subject.login(new UsernamePasswordToken(username, password));

  8. System.out.println("登录成功!");

  9. } catch (AuthenticationException e) {

  10. e.printStackTrace();

  11. System.out.println("登录失败!");

  12. }

  13. }

  14. @GetMapping("/hello")

  15. public String hello() {

  16. return "hello";

  17. }

  18. @GetMapping("/login")

  19. public String login() {

  20. return "please login!";

  21. }

  22. }

测试时,首先访问 /hello 接口,由于未登录,所以会自动跳转到 /login 接口:

Spring Boot 整合 Shiro ,两种方式全总结!

然后调用 /doLogin 接口完成登录:

Spring Boot 整合 Shiro ,两种方式全总结!

再次访问 /hello 接口,就可以成功访问了:

Spring Boot 整合 Shiro ,两种方式全总结!

使用 Shiro Starter

上面这种配置方式实际上相当于把 SSM 中的 XML 配置拿到 Spring Boot 中用 Java 代码重新写了一遍,除了这种方式之外,我们也可以直接使用 Shiro 官方提供的 Starter 。

  • 创建工程,和上面的一样

创建成功后,添加 shiro-spring-boot-web-starter ,这个依赖可以代替之前的 shiro-webshiro-spring 两个依赖,pom.xml 文件如下:

  
  
  
  1. <dependencies>

  2. <dependency>

  3. <groupId>org.springframework.boot</groupId>

  4. <artifactId>spring-boot-starter-web</artifactId>

  5. </dependency>

  6. <dependency>

  7. <groupId>org.apache.shiro</groupId>

  8. <artifactId>shiro-spring-boot-web-starter</artifactId>

  9. <version>1.4.0</version>

  10. </dependency>

  11. </dependencies>

  • 创建 Realm

这里的 Realm 和前面的一样,我就不再赘述。

  • 配置 Shiro 基本信息

接下来在 application.properties 中配置 Shiro 的基本信息:

  
  
  
  1. shiro.sessionManager.sessionIdCookieEnabled=true

  2. shiro.sessionManager.sessionIdUrlRewritingEnabled=true

  3. shiro.unauthorizedUrl=/unauthorizedurl

  4. shiro.web.enabled=true

  5. shiro.successUrl=/index

  6. shiro.loginUrl=/login

配置解释:

  1. 第一行表示是否允许将sessionId 放到 cookie 中

  2. 第二行表示是否允许将 sessionId 放到 Url 地址拦中

  3. 第三行表示访问未获授权的页面时,默认的跳转路径

  4. 第四行表示开启 shiro

  5. 第五行表示登录成功的跳转页面

  6. 第六行表示登录页面

  • 配置 ShiroConfig

  
  
  
  1. @Configuration

  2. public class ShiroConfig {

  3. @Bean

  4. MyRealm myRealm() {

  5. return new MyRealm();

  6. }

  7. @Bean

  8. DefaultWebSecurityManager securityManager() {

  9. DefaultWebSecurityManager manager = new DefaultWebSecurityManager();

  10. manager.setRealm(myRealm());

  11. return manager;

  12. }

  13. @Bean

  14. ShiroFilterChainDefinition shiroFilterChainDefinition() {

  15. DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();

  16. definition.addPathDefinition("/doLogin", "anon");

  17. definition.addPathDefinition("/**", "authc");

  18. return definition;

  19. }

  20. }

这里的配置和前面的比较像,但是不再需要 ShiroFilterFactoryBean 实例了,替代它的是 ShiroFilterChainDefinition ,在这里定义 Shiro 的路径匹配规则即可。

这里定义完之后,接下来的登录接口定义以及测试方法都和前面的一致,我就不再赘述了。大家可以参考上文。

总结

本文主要向大家介绍了 Spring Boot 整合 Shiro 的两种方式,一种是传统方式的 Java 版,另一种则是使用 Shiro 官方提供的 Starter,两种方式,不知道大家有没有学会呢?

本文案例,我已经上传到 GitHub ,欢迎大家 star:https://github.com/lenve/javaboy-code-samples

关于本文,有问题欢迎留言讨论。

Spring Boot 整合 Shiro ,两种方式全总结!

●Docker 入门及安装[Docker 系列-1]

●Spring Boot 中 10 行代码构建 RESTful 风格应用

●Nginx 极简入门教程!

●Spring Boot 一个依赖搞定 session 共享,没有比这更简单的方案了!

●Spring Boot 操作 Redis,三种方案全解析!

●面试干货 | Java 能否自定义一个类叫 java.lang.System?

●一文读懂 Spring Boot 配置文件 application.properties !

●这一次,我连 web.xml 都不要了,纯 Java 搭建 SSM 环境

●没有一条路是容易的,特别是转行计算机这条路

●Spring Boot + Vue 前后端分离开发,权限管理的一点思路

Spring Boot 整合 Shiro ,两种方式全总结!

Spring Boot 整合 Shiro ,两种方式全总结!
你点的每个赞,我都认真当成了喜欢

本文分享自微信公众号 - 江南一点雨(a_javaboy)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

版权声明:程序员胖胖胖虎阿 发表于 2022年9月9日 下午7:24。
转载请注明:Spring Boot 整合 Shiro ,两种方式全总结! | 胖虎的工具箱-编程导航

相关文章

暂无评论

暂无评论...