Windows 软件
Linux 软件
Mac 软件
安卓软件
各类文章

您的位置:

Spring Boot集成Shiro指南

一、什么是Shiro?

Shiro是一个强大、易用的Java安全框架,用于身份验证、授权、密码和会话管理。Shiro的优点是简单直接,能够轻松地集成到任何Java应用程序中。

二、为什么要使用Spring Boot集成Shiro?

Spring Boot是一个快速开发框架,它提供了很多内置的特性,包括自动配置、自动装配、功能强大的监视和管理功能等。集成Shiro可以让Spring Boot应用程序更加安全、可靠和易于维护。

三、Spring Boot集成Shiro的步骤

1. 添加依赖

<dependency>
   <groupId>org.apache.shiro</groupId>
   <artifactId>shiro-spring-boot-starter</artifactId>
   <version>1.6.0</version>
</dependency>

2. 配置Shiro

在application.yml中添加以下配置:

shiro:
  filter-chain-definitions:
    /login: anon
    /logout: anon
    /**: authc
  login-url: /login
  success-url: /index
  unauthorized-url: /unauthorized

这里定义了Shiro的过滤器链和一些默认的URL。/login和/logout是匿名访问的,其他的URL需要身份验证。

3. 自定义ShiroRealm

创建一个名为MyRealm的类:

public class MyRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        User user = (User) principals.getPrimaryPrincipal();
        for (Role role : user.getRoles()) {
            authorizationInfo.addRole(role.getRoleName());
            for (Permission permission : role.getPermissions()) {
                authorizationInfo.addStringPermission(permission.getPermissionName());
            }
        }
        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        String username = upToken.getUsername();
        User user = userService.findByUsername(username);
        if (user == null) {
            throw new UnknownAccountException("用户名或密码错误!");
        }
        return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
    }
}

通过继承AuthorizingRealm和实现doGetAuthenticationInfo和doGetAuthorizationInfo方法,我们就可以定制化ShiroRealm了。

4. 自定义密码加密方式

创建一个名为MyHashedCredentialsMatcher的类:

public class MyHashedCredentialsMatcher extends HashedCredentialsMatcher {

    public MyHashedCredentialsMatcher() {
        super.setHashAlgorithmName("SHA-256"); // 哈希算法
        super.setHashIterations(5); // 哈希次数
        super.setStoredCredentialsHexEncoded(true); // 存储16进制格式
    }
}

通过继承HashedCredentialsMatcher,我们可以自定义密码加密方式。在MyRealm类中重写该方法:

@Override
public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
    HashedCredentialsMatcher hashedCredentialsMatcher = new MyHashedCredentialsMatcher();
    super.setCredentialsMatcher(hashedCredentialsMatcher);
}

5. 配置ShiroFilter

在@Configuration注解的配置类中添加以下代码:

@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") SecurityManager securityManager) {
    ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
    factoryBean.setSecurityManager(securityManager);
    factoryBean.setLoginUrl("/login");
    factoryBean.setSuccessUrl("/index");
    factoryBean.setUnauthorizedUrl("/unauthorized");

    Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
    filterChainDefinitionMap.put("/login", "anon");
    filterChainDefinitionMap.put("/logout", "logout");
    filterChainDefinitionMap.put("/static/**", "anon");
    filterChainDefinitionMap.put("/favicon.ico", "anon");
    filterChainDefinitionMap.put("/**", "authc");

    factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
    return factoryBean;
}

这里我们定义了一个ShiroFilter,设置了默认的登录、成功和未授权的URL,还有过滤器链,即哪些URL需要被验证。通常情况下静态资源,如CSS、JS和图片,是允许匿名访问的。

6. 配置SecurityManager

在@Configuration注解的配置类中添加以下代码:

@Bean
public SecurityManager securityManager(@Qualifier("authRealm") MyRealm authRealm) {
    DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
    manager.setRealm(authRealm);
    manager.setSessionManager(sessionManager());
    return manager;
}

@Bean
public SessionManager sessionManager() {
    DefaultWebSessionManager manager = new DefaultWebSessionManager();
    manager.setGlobalSessionTimeout(30 * 60 * 1000); // 会话过期时间
    manager.setDeleteInvalidSessions(true); // 删除无效的会话
    return manager;
}

@Bean(name = "authRealm")
public MyRealm authRealm(@Qualifier("hashedCredentialsMatcher") MyHashedCredentialsMatcher hashedCredentialsMatcher) {
    MyRealm realm = new MyRealm();
    realm.setCredentialsMatcher(hashedCredentialsMatcher); // 密码加密方式
    return realm;
}

@Bean(name = "hashedCredentialsMatcher")
public MyHashedCredentialsMatcher hashedCredentialsMatcher() {
    return new MyHashedCredentialsMatcher();
}

这里我们定义了一个SecurityManager,启用了我们自己定制的MyRealm,并设置了密码加密方式和会话管理器。会话过期时间可以根据需要自行调整。

四、总结

Spring Boot集成Shiro需要哪些步骤?首先添加依赖,然后配置Shiro、自定义ShiroRealm、自定义密码加密方式、配置ShiroFilter和SecurityManager。

集成Shiro能让我们的Spring Boot应用程序更加安全和可靠,并提供了更多的身份验证、密码和会话管理功能。

Spring Boot集成Shiro指南

2023-05-23
Spring Boot集成Shiro实现权限管理

2023-05-21
Spring Boot学习笔记

2023-05-17
Spring Boot集成ClickHouse

2023-05-21
Spring Boot集成MongoDB

2023-05-22
Spring Boot + Swagger 3 的使用指南

2023-05-21
Spring Boot集成Redis

2023-05-17
Keycloak Spring Boot整合

2023-05-20
java学习的一些基础笔记(java初学笔记)

2022-11-14
印象笔记记录java学习(Java成长笔记)

2022-11-12
Spring Boot 下载指南

2023-05-20
Spring Boot单例模式详解

2023-05-16
Spring Boot集成ClickHouse实践

2023-05-23
Spring Boot中文全面解析

2023-05-18
Spring Boot的优点

2023-05-22
java学习笔记(java初学笔记)

2022-11-14
使用Spring Boot Actuator监控和管理您的S

2023-05-19
使用Spring Boot进行Redis集群配置

2023-05-21
每日java学习笔记(java高手笔记)

2022-11-15
Spring Boot P 全能编程开发指南

2023-05-21