Spring Boot2 系列教程(三十二)Spring Boot 整合 Shiro

在 Spring Boot 中做權(quán)限管理,一般來(lái)說(shuō),主流的方案是 Spring Security ,但是,僅僅從技術(shù)角度來(lái)說(shuō),也可以使用 Shiro。

今天松哥就來(lái)和大家聊聊 Spring Boot 整合 Shiro 的話題!

一般來(lái)說(shuō),Spring Security 和 Shiro 的比較如下:

  1. Spring Security 是一個(gè)重量級(jí)的安全管理框架;Shiro 則是一個(gè)輕量級(jí)的安全管理框架
  2. Spring Security 概念復(fù)雜,配置繁瑣;Shiro 概念簡(jiǎn)單、配置簡(jiǎn)單
  3. Spring Security 功能強(qiáng)大;Shiro 功能簡(jiǎn)單
  4. ...

雖然 Shiro 功能簡(jiǎn)單,但是也能滿足大部分的業(yè)務(wù)場(chǎng)景。所以在傳統(tǒng)的 SSM 項(xiàng)目中,一般來(lái)說(shuō),可以整合 Shiro。

在 Spring Boot 中,由于 Spring Boot 官方提供了大量的非常方便的開(kāi)箱即用的 Starter ,當(dāng)然也提供了 Spring Security 的 Starter ,使得在 Spring Boot 中使用 Spring Security 變得更加容易,甚至只需要添加一個(gè)依賴就可以保護(hù)所有的接口,所以,如果是 Spring Boot 項(xiàng)目,一般選擇 Spring Security 。

這只是一個(gè)建議的組合,單純從技術(shù)上來(lái)說(shuō),無(wú)論怎么組合,都是沒(méi)有問(wèn)題的。

在 Spring Boot 中整合 Shiro ,有兩種不同的方案:

  1. 第一種就是原封不動(dòng)的,將 SSM 整合 Shiro 的配置用 Java 重寫(xiě)一遍。
  2. 第二種就是使用 Shiro 官方提供的一個(gè) Starter 來(lái)配置,但是,這個(gè) Starter 并沒(méi)有簡(jiǎn)化多少配置。

原生的整合

  • 創(chuàng)建項(xiàng)目

創(chuàng)建一個(gè) Spring Boot 項(xiàng)目,只需要添加 Web 依賴即可:

image

項(xiàng)目創(chuàng)建成功后,加入 Shiro 相關(guān)的依賴,完整的 pom.xml 文件中的依賴如下:

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-web</artifactId>
        <version>1.4.0</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-spring</artifactId>
        <version>1.4.0</version>
    </dependency>
</dependencies>
  • 創(chuàng)建 Realm

接下來(lái)我們來(lái)自定義核心組件 Realm:

public class MyRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();
        if (!"javaboy".equals(username)) {
            throw new UnknownAccountException("賬戶不存在!");
        }
        return new SimpleAuthenticationInfo(username, "123", getName());
    }
}

在 Realm 中實(shí)現(xiàn)簡(jiǎn)單的認(rèn)證操作即可,不做授權(quán),授權(quán)的具體寫(xiě)法和 SSM 中的 Shiro 一樣,不贅述。這里的認(rèn)證表示用戶名必須是 javaboy ,用戶密碼必須是 123 ,滿足這樣的條件,就能登錄成功!

  • 配置 Shiro

接下來(lái)進(jìn)行 Shiro 的配置:

@Configuration
public class ShiroConfig {
    @Bean
    MyRealm myRealm() {
        return new MyRealm();
    }
    
    @Bean
    SecurityManager securityManager() {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(myRealm());
        return manager;
    }
    
    @Bean
    ShiroFilterFactoryBean shiroFilterFactoryBean() {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(securityManager());
        bean.setLoginUrl("/login");
        bean.setSuccessUrl("/index");
        bean.setUnauthorizedUrl("/unauthorizedurl");
        Map<String, String> map = new LinkedHashMap<>();
        map.put("/doLogin", "anon");
        map.put("/**", "authc");
        bean.setFilterChainDefinitionMap(map);
        return bean;
    }
}

在這里進(jìn)行 Shiro 的配置主要配置 3 個(gè) Bean :

  1. 首先需要提供一個(gè) Realm 的實(shí)例。
  2. 需要配置一個(gè) SecurityManager,在 SecurityManager 中配置 Realm。
  3. 配置一個(gè) ShiroFilterFactoryBean ,在 ShiroFilterFactoryBean 中指定路徑攔截規(guī)則等。
  4. 配置登錄和測(cè)試接口。

其中,ShiroFilterFactoryBean 的配置稍微多一些,配置含義如下:

  • setSecurityManager 表示指定 SecurityManager。
  • setLoginUrl 表示指定登錄頁(yè)面。
  • setSuccessUrl 表示指定登錄成功頁(yè)面。
  • 接下來(lái)的 Map 中配置了路徑攔截規(guī)則,注意,要有序。

這些東西都配置完成后,接下來(lái)配置登錄 Controller:

@RestController
public class LoginController {
    @PostMapping("/doLogin")
    public void doLogin(String username, String password) {
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(new UsernamePasswordToken(username, password));
            System.out.println("登錄成功!");
        } catch (AuthenticationException e) {
            e.printStackTrace();
            System.out.println("登錄失敗!");
        }
    }
    @GetMapping("/hello")
    public String hello() {
        return "hello";
    }
    @GetMapping("/login")
    public String  login() {
        return "please login!";
    }
}

測(cè)試時(shí),首先訪問(wèn) /hello 接口,由于未登錄,所以會(huì)自動(dòng)跳轉(zhuǎn)到 /login 接口:

image

然后調(diào)用 /doLogin 接口完成登錄:

image

再次訪問(wèn) /hello 接口,就可以成功訪問(wèn)了:

image

使用 Shiro Starter

上面這種配置方式實(shí)際上相當(dāng)于把 SSM 中的 XML 配置拿到 Spring Boot 中用 Java 代碼重新寫(xiě)了一遍,除了這種方式之外,我們也可以直接使用 Shiro 官方提供的 Starter 。

  • 創(chuàng)建工程,和上面的一樣

創(chuàng)建成功后,添加 shiro-spring-boot-web-starter ,這個(gè)依賴可以代替之前的 shiro-webshiro-spring 兩個(gè)依賴,pom.xml 文件如下:

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-spring-boot-web-starter</artifactId>
        <version>1.4.0</version>
    </dependency>
</dependencies>
  • 創(chuàng)建 Realm

這里的 Realm 和前面的一樣,我就不再贅述。

  • 配置 Shiro 基本信息

接下來(lái)在 application.properties 中配置 Shiro 的基本信息:

shiro.sessionManager.sessionIdCookieEnabled=true
shiro.sessionManager.sessionIdUrlRewritingEnabled=true
shiro.unauthorizedUrl=/unauthorizedurl
shiro.web.enabled=true
shiro.successUrl=/index
shiro.loginUrl=/login

配置解釋:

  1. 第一行表示是否允許將sessionId 放到 cookie 中
  2. 第二行表示是否允許將 sessionId 放到 Url 地址攔中
  3. 第三行表示訪問(wèn)未獲授權(quán)的頁(yè)面時(shí),默認(rèn)的跳轉(zhuǎn)路徑
  4. 第四行表示開(kāi)啟 shiro
  5. 第五行表示登錄成功的跳轉(zhuǎn)頁(yè)面
  6. 第六行表示登錄頁(yè)面
  • 配置 ShiroConfig
@Configuration
public class ShiroConfig {
    @Bean
    MyRealm myRealm() {
        return new MyRealm();
    }
    @Bean
    DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(myRealm());
        return manager;
    }
    @Bean
    ShiroFilterChainDefinition shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();
        definition.addPathDefinition("/doLogin", "anon");
        definition.addPathDefinition("/**", "authc");
        return definition;
    }
}

這里的配置和前面的比較像,但是不再需要 ShiroFilterFactoryBean 實(shí)例了,替代它的是 ShiroFilterChainDefinition ,在這里定義 Shiro 的路徑匹配規(guī)則即可。

這里定義完之后,接下來(lái)的登錄接口定義以及測(cè)試方法都和前面的一致,我就不再贅述了。大家可以參考上文。

總結(jié)

本文主要向大家介紹了 Spring Boot 整合 Shiro 的兩種方式,一種是傳統(tǒng)方式的 Java 版,另一種則是使用 Shiro 官方提供的 Starter,兩種方式,不知道大家有沒(méi)有學(xué)會(huì)呢?

本文案例,我已經(jīng)上傳到 GitHub ,歡迎大家 star:https://github.com/lenve/javaboy-code-samples

關(guān)于本文,有問(wèn)題歡迎留言討論。

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容