shiro_springboot.zip

Apache Shiro 是一个强大且易用的 Java 安全框架，提供身份验证、授权、加密和会话管理功能，简化了企业级应用的安全实施。在本案例中，我们将深入探讨如何将 Shiro 集成到 Spring Boot 应用中，实现用户认证和授权。 一、Shiro 概述 Shiro 提供了简单但全面的安全模型，其核心组件包括 Realm（域）、Subject（当前安全主体）、Session Manager（会话管理器）和 Cache Manager（缓存管理器）。Realm 是连接应用程序与安全数据源的桥梁，处理身份验证和授权请求。Subject 表示当前正在系统中执行的操作用户，而 Session Manager 和 Cache Manager 分别负责会话管理和缓存相关的操作。 二、Spring Boot 集成 Shiro 集成 Shiro 和 Spring Boot 首先需要在项目中引入 Shiro 相关依赖。在 Maven 的 `pom.xml` 文件中添加如下依赖： ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.7.1</version> </dependency> ``` 三、配置 Shiro 1. 创建 `ShiroConfig` 类，配置 Realm： ```java @Configuration public class ShiroConfig { @Autowired private MyRealm myRealm; @Bean public DefaultWebSecurityManager securityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(myRealm); return securityManager; } } ``` 2. 实现 Realm 类，处理认证和授权逻辑： ```java @Service public class MyRealm extends AuthorizingRealm { @Autowired private UserService userService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 授权逻辑 } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 认证逻辑 } } ``` 四、过滤器链配置 在 `ShiroConfig` 类中，我们还需要配置 Shiro 过滤器链： ```java @Bean public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) { ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean(); factoryBean.setSecurityManager(securityManager); Map<String, Filter> filters = new HashMap<>(); // 配置过滤器 filters.put("authc", FormAuthenticationFilter.class); // 其他过滤器配置... factoryBean.setFilters(filters); // 配置过滤器链 Map<String, String> filterChainDefinitionMap = new HashMap<>(); filterChainDefinitionMap.put("/login", "authc"); // 其他 URL 规则... filterChainDefinitionMap.put("/**", "anon"); factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return factoryBean; } ``` 五、控制器与视图 创建登录页面和登录控制器，处理用户登录请求。例如，`LoginController` 可以包含如下方法： ```java @Controller public class LoginController { @GetMapping("/login") public String login() { return "login"; } @PostMapping("/login") public String loginProcess(@RequestParam("username") String username, @RequestParam("password") String password, Model model) { // 调用 Shiro 的 Subject 进行登录尝试 Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(username, password); try { subject.login(token); return "redirect:/index"; } catch (AuthenticationException e) { model.addAttribute("error", "用户名或密码错误"); return "login"; } } @GetMapping("/logout") public String logout() { SecurityUtils.getSubject().logout(); return "redirect:/login"; } } ``` 六、权限控制 在 Shiro 中，你可以通过注解 `@RequiresPermissions` 和 `@RequiresRoles` 来实现基于角色和权限的访问控制。例如： ```java @GetMapping("/admin") @RequiresRoles("admin") public String adminPage() { return "admin"; } @GetMapping("/user") @RequiresPermissions("user:view") public String userPage() { return "user"; } ``` 以上内容只是 Shiro 集成 Spring Boot 的基础操作，实际项目中可能需要根据需求进行更复杂的定制，例如实现自定义拦截器、缓存策略、会话管理等。通过阅读提供的链接（https://blog.csdn.net/Insist___/article/details/104193024），你可以获取更多关于 Shiro 配置和使用的实例细节。这个案例将帮助你快速理解和实践 Shiro 在 Spring Boot 应用中的应用，为你的项目提供安全可靠的保障。