登录
首页 >  文章 >  java教程

Shiro权限框架整合Spring配置全解析

时间:2025-07-13 17:58:45 383浏览 收藏

本文详细解读了如何将Apache Shiro权限框架与Spring框架进行无缝整合,打造安全可靠的应用系统。从添加Maven依赖开始,逐步讲解了自定义Realm的创建,包括身份验证(AuthenticationInfo)和授权(AuthorizationInfo)的实现,以及SecurityManager的配置。重点介绍了ShiroFilterFactoryBean的使用,通过设置URL拦截规则,实现灵活的权限控制。此外,还深入探讨了在Spring Boot中启用Shiro的方法,以及利用`@RequiresRoles`和`@RequiresPermissions`注解进行权限控制。文章还针对分布式环境下的Session共享问题,提供了Shiro自带Session管理、Spring Session以及第三方方案等多种解决方案。最后,还介绍了如何通过集成CAS或自定义OAuth 2.0协议实现单点登录(SSO),以及如何自定义认证流程,例如增加验证码校验等功能,助力开发者构建更安全、更灵活的Spring应用。

Shiro整合Spring的核心在于通过配置将Shiro的安全管理功能嵌入Spring应用上下文中。1. 添加Maven依赖,包括shiro-spring、spring-context、spring-beans、spring-web及日志组件;2. 创建自定义Realm类继承AuthorizingRealm,实现doGetAuthorizationInfo和doGetAuthenticationInfo方法;3. 配置ShiroConfig类,定义MyRealm、SecurityManager、ShiroFilterFactoryBean等Bean,并设置URL拦截规则和权限控制支持;4. 在Spring Boot启动类中启用Shiro;5. 使用@RequiresRoles或@RequiresPermissions注解实现权限控制;6. 分布式环境下处理Session共享可通过Shiro自带Session管理、Spring Session或第三方方案如Redis实现;7. 实现SSO可通过集成CAS或自定义OAuth 2.0协议;8. 自定义认证流程需创建自定义AuthenticationToken和Realm,并在认证方法中添加额外校验逻辑如验证码验证。

Shiro权限框架整合Spring详细配置教程

Shiro整合Spring,核心在于将Shiro的安全管理功能无缝嵌入到Spring的应用上下文中,实现权限控制、认证和授权等功能。这需要配置Shiro的各种组件,并让Spring管理它们的生命周期。

Shiro权限框架整合Spring详细配置教程

解决方案

  1. 添加Maven依赖: 首先,在你的pom.xml文件中添加Shiro和Spring相关的依赖。

    Shiro权限框架整合Spring详细配置教程
    
    org.apache.shiro
    shiro-spring
    1.9.0



    org.springframework
    spring-context
    5.3.23



    org.springframework
    spring-beans
    5.3.23



    org.springframework
    spring-web
    5.3.23




    org.slf4j
    slf4j-api
    1.7.36


    ch.qos.logback
    logback-classic
    1.2.11

    版本号根据实际情况调整,Spring Web依赖主要用于Web应用。

  2. 配置Shiro的Realm: Realm是Shiro用于获取用户身份验证和授权信息的组件。你需要创建一个Realm实现类,并配置它。

    Shiro权限框架整合Spring详细配置教程
    public class MyRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService; // 假设你有一个UserService

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = (String) principals.getPrimaryPrincipal();
        User user = userService.findByUsername(username); // 从数据库获取用户
        if (user == null) {
            return null;
        }
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        // 添加角色
        user.getRoles().forEach(role -> authorizationInfo.addRole(role.getName()));

        //添加权限
        user.getPermissions().forEach(permission -> authorizationInfo.addStringPermission(permission.getName()));
        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();
        User user = userService.findByUsername(username); // 从数据库获取用户
        if (user == null) {
            return null; // 用户不存在
        }
        return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), getName());
    }
}

    这里假设你有一个UserService用于从数据库获取用户信息。注意,密码通常需要进行加密存储,并使用Shiro提供的加密工具类进行验证。

  3. 配置Shiro的SecurityManager:SecurityManager是Shiro的核心组件,用于管理所有的Subject,并协调认证和授权。

    @Configuration
public class ShiroConfig {

    @Bean
    public MyRealm myRealm() {
        return new MyRealm();
    }

    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm());
        return securityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/login", "anon"); // 允许匿名访问
        filterChainDefinitionMap.put("/logout", "logout");
        filterChainDefinitionMap.put("/**", "authc"); // 其他所有请求需要认证
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        shiroFilterFactoryBean.setLoginUrl("/login"); // 未认证跳转URL
        shiroFilterFactoryBean.setSuccessUrl("/index"); // 认证成功URL
        shiroFilterFactoryBean.setUnauthorizedUrl("/403"); // 未授权URL

        return shiroFilterFactoryBean;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }
}

    这个配置类定义了Shiro的Realm、SecurityManager和ShiroFilterFactoryBean。ShiroFilterFactoryBean定义了URL的拦截规则。AuthorizationAttributeSourceAdvisorDefaultAdvisorAutoProxyCreator用于支持基于注解的权限控制。LifecycleBeanPostProcessor用于管理Shiro Bean的生命周期。注意@DependsOn注解,确保lifecycleBeanPostProcessor先被创建。

  4. 在Spring Boot启动类中启用Shiro:

    @SpringBootApplication
public class MyApplication {
    public static void main(String[] args) {
        SpringApplication.run(MyApplication.class, args);
    }
}

    Spring Boot会自动扫描并加载Shiro的配置。

  5. 使用Shiro的注解: 你可以在Controller中使用Shiro的注解来控制权限。

    @Controller
public class MyController {

    @RequiresRoles("admin")
    @RequestMapping("/admin")
    public String adminPage() {
        return "admin";
    }

    @RequiresPermissions("user:create")
    @RequestMapping("/user/create")
    public String createUser() {
        return "createUser";
    }
}

    @RequiresRoles用于限制只有具有特定角色的用户才能访问,@RequiresPermissions用于限制只有具有特定权限的用户才能访问。

Shiro整合Spring后,如何处理session共享问题?

Shiro默认使用Servlet容器的Session管理,但在分布式环境下,Servlet容器的Session无法共享。解决这个问题有几种方法:

  • 使用Shiro自带的Session管理: Shiro可以自己管理Session,你需要配置一个SessionDAO用于Session的持久化,例如使用Redis或数据库存储Session。
  • 使用Spring Session: Spring Session提供了一种统一的Session管理方案,可以与Shiro集成。你需要引入Spring Session的依赖,并配置Session的存储方式。
  • 使用第三方Session共享方案: 例如使用Redis Session共享等。

使用Shiro进行单点登录(SSO)如何配置?

Shiro本身不直接提供SSO功能,但可以与其他SSO方案集成。一种常见的做法是:

  1. 集成CAS (Central Authentication Service): CAS是一种流行的开源SSO解决方案。你需要配置Shiro使用CAS的客户端,将用户的认证委托给CAS服务器。
  2. 自定义SSO集成: 你也可以自定义SSO集成,例如通过OAuth 2.0协议与其他认证服务器交互。这需要实现自定义的Realm,用于从认证服务器获取用户信息。

如何自定义Shiro的认证流程,例如增加验证码校验?

自定义Shiro的认证流程通常需要以下步骤:

  1. 自定义AuthenticationToken: 创建一个自定义的AuthenticationToken,用于携带验证码等额外信息。
  2. 自定义Realm: 在自定义的Realm中,重写doGetAuthenticationInfo方法,从AuthenticationToken中获取验证码,并进行校验。如果验证码校验失败,抛出自定义的异常。
  3. 配置ShiroFilterFactoryBean:ShiroFilterFactoryBean中,配置自定义的认证过滤器,用于处理认证流程。

doGetAuthenticationInfo中,你需要先验证验证码,如果验证码正确,再进行用户身份验证。示例代码:

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    MyAuthenticationToken myToken = (MyAuthenticationToken) token;
    String username = (String) myToken.getPrincipal();
    String captcha = myToken.getCaptcha();

    // 验证验证码
    if (!validateCaptcha(captcha)) {
        throw new IncorrectCaptchaException("验证码错误");
    }

    User user = userService.findByUsername(username);
    if (user == null) {
        return null; // 用户不存在
    }
    return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), getName());
}

注意,IncorrectCaptchaException需要你自定义。同时,MyAuthenticationToken也需要你自定义,继承自AuthenticationToken,并添加captcha属性。

以上就是本文的全部内容了,是否有顺利帮助你解决问题?若是能给你带来学习上的帮助,请大家多多支持golang学习网!更多关于文章的相关知识,也可关注golang学习网公众号。

Spring Shiro 权限控制 单点登录 Session共享
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>