39.1 Spring Boot Shiro权限管理【从零开始学Spring Boot】

在本教程中，我们将深入探讨如何使用Spring Boot与Apache Shiro进行权限管理。Spring Boot以其简洁的配置和快速的应用开发而闻名，而Shiro则是一个轻量级的安全框架，适用于身份验证、授权、会话管理和安全性相关的缓存。结合两者，我们可以构建一个高效且易于维护的权限控制系统。 我们需要在项目中引入Shiro和Spring Boot的相关依赖。这通常通过在`pom.xml`文件中添加Maven依赖来完成。确保你添加了如下的Shiro和Spring Boot Web的依赖： ```xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.8.0</version> </dependency> <!-- 其他相关依赖 --> </dependencies> ``` 接下来，我们需要配置Shiro。在Spring Boot中，我们可以通过创建一个名为`ShiroConfig`的类并使用`@Configuration`和`@EnableWebSecurity`注解来实现。在这个配置类中，我们可以定义安全策略、过滤器链、Realm（用于身份验证和授权）等。 ```java @Configuration @EnableWebSecurity public class ShiroConfig { // 配置 Realm @Bean public MyRealm myRealm() { return new MyRealm(); } // 配置 SecurityManager @Bean(name = "securityManager") public DefaultWebSecurityManager securityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(myRealm()); return securityManager; } // 配置 Filter Chain @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") SecurityManager securityManager) { ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean(); factoryBean.setSecurityManager(securityManager); // 配置过滤器链 Map<String, Filter> filters = new HashMap<>(); // ... 添加其他过滤器 factoryBean.setFilters(filters); // 配置URL过滤规则 Map<String, String> filterChainDefinitionMap = new HashMap<>(); // ... 添加URL过滤规则 factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return factoryBean; } } ``` 在这个配置中，你需要实现自定义的`Realm`类，以处理认证和授权逻辑。例如，你可以连接到数据库来验证用户名和密码，以及获取用户角色和权限。 然后，我们可以在控制器中使用Shiro的注解来控制权限。例如，`@RequiresRoles`和`@RequiresPermissions`可以用来限制只有特定角色或权限的用户才能访问特定的资源。 ```java @RestController public class UserController { @GetMapping("/admin") @RequiresRoles("admin") public String adminPage() { return "Admin Page"; } @GetMapping("/user") @RequiresPermissions("user:view") public String userPage() { return "User Page"; } } ``` 在实际应用中，你可能还需要处理会话管理、登录登出逻辑、密码加密解密等问题。Shiro提供了丰富的API和工具，可以帮助你实现这些功能。 Spring Boot与Shiro的结合为开发者提供了一个强大而灵活的安全管理框架。通过合理的配置和自定义实现，你可以轻松地实现权限控制、用户管理等功能，为你的Web应用提供强大的安全保障。在实践中，你可能需要参考更多文档和示例来了解Shiro的更多细节，并根据项目的具体需求进行调整。