### Shiro与Spring Boot的集成详解 在Java企业级应用开发中，安全性是一个至关重要的方面。Apache Shiro作为一个强大且易于使用的Java安全框架，提供了身份验证、授权、加密和会话管理等核心安全功能。将Shiro与Spring Boot集成，可以进一步提升应用的安全性，并简化安全配置和管理。本文将详细介绍Shiro与Spring Boot的集成过程，并给出具体的实现步骤和代码示例。 #### 一、项目准备 首先，你需要创建一个Spring Boot项目。可以使用Spring Initializr（https://start.spring.io/）快速生成项目基础结构。在生成项目时，除了基本的Spring Boot依赖外，还需要添加Shiro的Spring Boot Starter依赖。 在`pom.xml`中添加以下依赖： ```xml org.apache.shiro shiro-spring-boot-starter 最新版本 ``` 确保你使用的是最新版本的`shiro-spring-boot-starter`，以便获得最新的功能和安全修复。 #### 二、配置Shiro 在Spring Boot中集成Shiro，需要创建Shiro的配置类。这个配置类将负责Shiro的初始化、安全管理器的配置、Realm的注入以及过滤器链的定义。 ##### 1. 创建Shiro配置类 在项目的`src/main/java`目录下，创建一个新的Java类，命名为`ShiroConfig`。这个类将使用Java配置的方式来设置Shiro。 ```java import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.spring.web.ShiroFilterFactoryBean; import org.apache.shiro.web.mgt.DefaultWebSecurityManager; import org.apache.shiro.realm.Realm; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; @Configuration public class ShiroConfig { @Bean public SecurityManager securityManager(Realm realm) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(realm); return securityManager; } @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean(); shiroFilter.setSecurityManager(securityManager); // 定义过滤器链 Map filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); // 允许匿名访问登录页面 filterChainDefinitionMap.put("/logout", "logout"); // 登出处理 filterChainDefinitionMap.put("/**", "authc"); // 其他所有请求都需要认证 shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilter; } // 自定义Realm的Bean，这里假设你已经有一个MyRealm类 @Bean public Realm myRealm() { return new MyRealm(); } } ``` ##### 2. 编写Realm类 Realm是Shiro中用于进行身份验证和授权的核心组件。你需要创建一个继承自`AuthorizingRealm`的类，并实现`doGetAuthenticationInfo`和`doGetAuthorizationInfo`方法。 ```java import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.authz.SimpleAuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; public class MyRealm extends AuthorizingRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken) token; String username = upToken.getUsername(); // 这里应该通过数据库或其他数据源验证用户名和密码 // 假设密码是硬编码的，实际开发中应从数据库获取 String password = "encodedPassword"; // 假设的加密密码 if (!"encodedPassword".equals(new String(upToken.getPassword()))) { throw new IncorrectCredentialsException("Incorrect credentials."); } return new SimpleAuthenticationInfo(username, password, getName()); } @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { String username = (String) principals.getPrimaryPrincipal(); // 根据用户名查询权限信息 // 这里应该通过数据库或其他数据源查询 SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); // 假设给所有用户都赋予"user"角色 info.addRole("user"); return info; } } ``` 注意：在实际应用中，密码应该是加密存储的，并且应该通过数据库或其他数据源来验证用户名和密码。 #### 三、创建登录和注销控制器 接下来，你需要创建处理用户登录和注销的控制器。 ```java import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.subject.Subject; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PostMapping; @Controller public class LoginController { @GetMapping("/login") public String login() { return "login"; // 返回登录页面的视图名 } @PostMapping("/login") public String login(String username, String password) { Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(username, password); try { subject.login(token); return "redirect:/"; // 登录成功后重定向到首页 } catch (Exception e) { // 登录失败，返回登录页面并显示错误信息 return "login"; } } @GetMapping("/logout") public String logout() { Subject subject = SecurityUtils.getSubject(); subject.logout(); return "redirect:/login"; // 登出后重定向到登录页面 } } ``` #### 四、配置登录和未登录的页面 在`application.properties`或`application.yml`中，你可以配置登录和未登录时重定向的页面。但是，由于Shiro的过滤器链已经定义了这些行为，通常不需要在这里额外配置。 #### 五、测试与验证 完成上述配置后，你可以启动Spring Boot应用并测试登录和注销功能。确保你的前端页面（如`login.html`）能够正确发送用户名和密码到`/login`端点，并在登录成功后重定向到首页。 #### 六、总结 通过本文，我们详细介绍了如何在Spring Boot项目中集成Apache Shiro。从添加依赖、配置Shiro、编写Realm类到创建登录和注销控制器，每一步都详细说明了如何操作。Shiro的集成使得Spring Boot应用的安全性得到了极大的提升，同时也简化了安全配置和管理。 在实际开发中，你可能需要根据具体需求对Shiro进行更详细的配置，比如自定义过滤器、处理跨域请求、集成JWT等。但无论如何，Shiro都为你提供了一个强大且灵活的安全框架，帮助你轻松实现应用的安全性需求。 希望本文对你有所帮助，如果你有任何疑问或需要进一步的帮助，请随时访问我的码小课网站（www.maxiaoke.com），获取更多关于Java和Spring Boot的教程和资料。