溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Spring Boot2開發(fā)之Spring Boot整合Shiro兩種詳細方法

發(fā)布時間:2020-09-06 18:11:53 來源:腳本之家 閱讀:195 作者:_江南一點雨 欄目:編程語言

在 Spring Boot 中做權限管理,一般來說,主流的方案是 Spring Security ,但是,僅僅從技術角度來說,也可以使用 Shiro。

Spring Security 和 Shiro 的比較:

  • Spring Security 是一個重量級的安全管理框架;Shiro 則是一個輕量級的安全管理框架
  • Spring Security 概念復雜,配置繁瑣;Shiro 概念簡單、配置簡單
  • Spring Security 功能強大;Shiro 功能簡單
  • 等等

雖然 Shiro 功能簡單,但是也能滿足大部分的業(yè)務場景。所以在傳統(tǒng)的 SSM 項目中,一般來說,可以整合 Shiro。

在 Spring Boot 中,由于 Spring Boot 官方提供了大量的非常方便的開箱即用的 Starter ,當然也提供了 Spring Security 的 Starter ,使得在 Spring Boot 中使用 Spring Security 變得更加容易,甚至只需要添加一個依賴就可以保護所有的接口,所以,如果是 Spring Boot 項目,一般選擇 Spring Security 。

這只是一個建議的組合,單純從技術上來說,無論怎么組合,都是沒有問題的。

在 Spring Boot 中整合 Shiro ,有兩種不同的方案:

第一種就是原封不動的,將 SSM 整合 Shiro 的配置用 Java 重寫一遍。

第二種就是使用 Shiro 官方提供的一個 Starter 來配置,但是,這個 Starter 并沒有簡化多少配置。

原生的整合

創(chuàng)建項目

創(chuàng)建一個 Spring Boot 項目,只需要添加 Web 依賴即可:

Spring Boot2開發(fā)之Spring Boot整合Shiro兩種詳細方法

項目創(chuàng)建成功后,加入 Shiro 相關的依賴,完整的 pom.xml 文件中的依賴如下:

<dependencies>
 <dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-web</artifactId>
 </dependency>
 <dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-web</artifactId>
  <version>1.4.0</version>
 </dependency>
 <dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-spring</artifactId>
  <version>1.4.0</version>
 </dependency>
</dependencies>

創(chuàng)建 Realm

接下來我們來自定義核心組件 Realm:

public class MyRealm extends AuthorizingRealm {
 @Override
 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
  return null;
 }
 @Override
 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
  String username = (String) token.getPrincipal();
  if (!"javaboy".equals(username)) {
   throw new UnknownAccountException("賬戶不存在!");
  }
  return new SimpleAuthenticationInfo(username, "123", getName());
 }
}

在 Realm 中實現(xiàn)簡單的認證操作即可,不做授權,授權的具體寫法和 SSM 中的 Shiro 一樣,不贅述。這里的認證表示用戶名必須是 javaboy ,用戶密碼必須是 123 ,滿足這樣的條件,就能登錄成功!

配置 Shiro

接下來進行 Shiro 的配置:

@Configuration
public class ShiroConfig {
 @Bean
 MyRealm myRealm() {
  return new MyRealm();
 }
 
 @Bean
 SecurityManager securityManager() {
  DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
  manager.setRealm(myRealm());
  return manager;
 }
 
 @Bean
 ShiroFilterFactoryBean shiroFilterFactoryBean() {
  ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
  bean.setSecurityManager(securityManager());
  bean.setLoginUrl("/login");
  bean.setSuccessUrl("/index");
  bean.setUnauthorizedUrl("/unauthorizedurl");
  Map<String, String> map = new LinkedHashMap<>();
  map.put("/doLogin", "anon");
  map.put("/**", "authc");
  bean.setFilterChainDefinitionMap(map);
  return bean;
 }
}

在這里進行 Shiro 的配置主要配置 3 個 Bean :

  1. 首先需要提供一個 Realm 的實例。
  2. 需要配置一個 SecurityManager,在 SecurityManager 中配置 Realm。
  3. 配置一個 ShiroFilterFactoryBean ,在 ShiroFilterFactoryBean 中指定路徑攔截規(guī)則等。
  4. 配置登錄和測試接口。

其中,ShiroFilterFactoryBean 的配置稍微多一些,配置含義如下:

  • setSecurityManager 表示指定 SecurityManager。
  • setLoginUrl 表示指定登錄頁面。
  • setSuccessUrl 表示指定登錄成功頁面。
  • 接下來的 Map 中配置了路徑攔截規(guī)則,注意,要有序。

這些東西都配置完成后,接下來配置登錄 Controller:

@RestController
public class LoginController {
 @PostMapping("/doLogin")
 public void doLogin(String username, String password) {
  Subject subject = SecurityUtils.getSubject();
  try {
   subject.login(new UsernamePasswordToken(username, password));
   System.out.println("登錄成功!");
  } catch (AuthenticationException e) {
   e.printStackTrace();
   System.out.println("登錄失敗!");
  }
 }
 @GetMapping("/hello")
 public String hello() {
  return "hello";
 }
 @GetMapping("/login")
 public String login() {
  return "please login!";
 }
}

測試時,首先訪問 /hello 接口,由于未登錄,所以會自動跳轉到 /login 接口:

Spring Boot2開發(fā)之Spring Boot整合Shiro兩種詳細方法

然后調用 /doLogin 接口完成登錄:

Spring Boot2開發(fā)之Spring Boot整合Shiro兩種詳細方法

再次訪問 /hello 接口,就可以成功訪問了:

Spring Boot2開發(fā)之Spring Boot整合Shiro兩種詳細方法

使用 Shiro Starter

上面這種配置方式實際上相當于把 SSM 中的 XML 配置拿到 Spring Boot 中用 Java 代碼重新寫了一遍,除了這種方式之外,我們也可以直接使用 Shiro 官方提供的 Starter 。

創(chuàng)建工程,和上面的一樣

創(chuàng)建成功后,添加 shiro-spring-boot-web-starter ,這個依賴可以代替之前的 shiro-web 和 shiro-spring 兩個依賴,pom.xml 文件如下:

<dependencies>
 <dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-web</artifactId>
 </dependency>
 <dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-spring-boot-web-starter</artifactId>
  <version>1.4.0</version>
 </dependency>
</dependencies>

創(chuàng)建 Realm

這里的 Realm 和前面的一樣,我就不再贅述。

配置 Shiro 基本信息

接下來在 application.properties 中配置 Shiro 的基本信息:

shiro.sessionManager.sessionIdCookieEnabled=true
shiro.sessionManager.sessionIdUrlRewritingEnabled=true
shiro.unauthorizedUrl=/unauthorizedurl
shiro.web.enabled=true
shiro.successUrl=/index
shiro.loginUrl=/login

配置解釋:

  1. 第一行表示是否允許將sessionId 放到 cookie 中
  2. 第二行表示是否允許將 sessionId 放到 Url 地址攔中
  3. 第三行表示訪問未獲授權的頁面時,默認的跳轉路徑
  4. 第四行表示開啟 shiro
  5. 第五行表示登錄成功的跳轉頁面
  6. 第六行表示登錄頁面

配置 ShiroConfig

@Configuration
public class ShiroConfig {
 @Bean
 MyRealm myRealm() {
  return new MyRealm();
 }
 @Bean
 DefaultWebSecurityManager securityManager() {
  DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
  manager.setRealm(myRealm());
  return manager;
 }
 @Bean
 ShiroFilterChainDefinition shiroFilterChainDefinition() {
  DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();
  definition.addPathDefinition("/doLogin", "anon");
  definition.addPathDefinition("/**", "authc");
  return definition;
 }
}

這里的配置和前面的比較像,但是不再需要 ShiroFilterFactoryBean 實例了,替代它的是 ShiroFilterChainDefinition ,在這里定義 Shiro 的路徑匹配規(guī)則即可。

這里定義完之后,接下來的登錄接口定義以及測試方法都和前面的一致,我就不再贅述了。大家可以參考上文。

總結

本文主要向大家介紹了 Spring Boot 整合 Shiro 的兩種方式,一種是傳統(tǒng)方式的 Java 版,另一種則是使用 Shiro 官方提供的 Starter,兩種方式

更多關于Spring Boot技巧請查看下面的相關鏈接

向AI問一下細節(jié)

免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權內(nèi)容。

AI