文章 专题 AI工具 学习 下载 问答 源码 最近更新
PHP
会员中心 讲师中心 微信公众号
首页 > Java > java教程 > 正文

Shiro权限框架整合Spring详细配置教程

看不見的法師
发布: 2025-07-12 19:25:01
原创
362人浏览过

shiro整合spring的核心在于通过配置将shiro的安全管理功能嵌入spring应用上下文中。1. 添加maven依赖,包括shiro-spring、spring-context、spring-beans、spring-web及日志组件;2. 创建自定义realm类继承authorizingrealm,实现dogetauthorizationinfo和dogetauthenticationinfo方法;3. 配置shiroconfig类,定义myrealm、securitymanager、shirofilterfactorybean等bean,并设置url拦截规则和权限控制支持;4. 在spring boot启动类中启用shiro;5. 使用@requiresroles或@requirespermissions注解实现权限控制;6. 分布式环境下处理session共享可通过shiro自带session管理、spring session或第三方方案如redis实现;7. 实现sso可通过集成cas或自定义oauth 2.0协议;8. 自定义认证流程需创建自定义authenticationtoken和realm,并在认证方法中添加额外校验逻辑如验证码验证。

Shiro权限框架整合Spring详细配置教程

Shiro整合Spring,核心在于将Shiro的安全管理功能无缝嵌入到Spring的应用上下文中,实现权限控制、认证和授权等功能。这需要配置Shiro的各种组件,并让Spring管理它们的生命周期。

Shiro权限框架整合Spring详细配置教程

解决方案

  1. 添加Maven依赖: 首先,在你的pom.xml文件中添加Shiro和Spring相关的依赖。

    Shiro权限框架整合Spring详细配置教程
    <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.9.0</version>
</dependency>

<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-context</artifactId>
    <version>5.3.23</version>
</dependency>

<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-beans</artifactId>
    <version>5.3.23</version>
</dependency>

<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-web</artifactId>
    <version>5.3.23</version>
</dependency>

<!-- 引入slf4j日志 -->
<dependency>
    <groupId>org.slf4j</groupId>
    <artifactId>slf4j-api</artifactId>
    <version>1.7.36</version>
</dependency>
<dependency>
    <groupId>ch.qos.logback</groupId>
    <artifactId>logback-classic</artifactId>
    <version>1.2.11</version>
</dependency>
    登录后复制

    版本号根据实际情况调整,Spring Web依赖主要用于Web应用。

  2. 配置Shiro的Realm: Realm是Shiro用于获取用户身份验证和授权信息的组件。你需要创建一个Realm实现类,并配置它。

    Shiro权限框架整合Spring详细配置教程
    public class MyRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService; // 假设你有一个UserService

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = (String) principals.getPrimaryPrincipal();
        User user = userService.findByUsername(username); // 从数据库获取用户
        if (user == null) {
            return null;
        }
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        // 添加角色
        user.getRoles().forEach(role -> authorizationInfo.addRole(role.getName()));

        //添加权限
        user.getPermissions().forEach(permission -> authorizationInfo.addStringPermission(permission.getName()));
        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();
        User user = userService.findByUsername(username); // 从数据库获取用户
        if (user == null) {
            return null; // 用户不存在
        }
        return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), getName());
    }
}
    登录后复制

    这里假设你有一个UserService用于从数据库获取用户信息。注意,密码通常需要进行加密存储,并使用Shiro提供的加密工具类进行验证。

  3. 配置Shiro的SecurityManager:SecurityManager是Shiro的核心组件,用于管理所有的Subject,并协调认证和授权。

    @Configuration
public class ShiroConfig {

    @Bean
    public MyRealm myRealm() {
        return new MyRealm();
    }

    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm());
        return securityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/login", "anon"); // 允许匿名访问
        filterChainDefinitionMap.put("/logout", "logout");
        filterChainDefinitionMap.put("/**", "authc"); // 其他所有请求需要认证
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        shiroFilterFactoryBean.setLoginUrl("/login"); // 未认证跳转URL
        shiroFilterFactoryBean.setSuccessUrl("/index"); // 认证成功URL
        shiroFilterFactoryBean.setUnauthorizedUrl("/403"); // 未授权URL

        return shiroFilterFactoryBean;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }
}
    登录后复制

    这个配置类定义了Shiro的Realm、SecurityManager和ShiroFilterFactoryBean。ShiroFilterFactoryBean定义了URL的拦截规则。AuthorizationAttributeSourceAdvisor和DefaultAdvisorAutoProxyCreator用于支持基于注解的权限控制。LifecycleBeanPostProcessor用于管理Shiro Bean的生命周期。注意@DependsOn注解,确保lifecycleBeanPostProcessor先被创建。

  4. 在Spring Boot启动类中启用Shiro:

    @SpringBootApplication
public class MyApplication {
    public static void main(String[] args) {
        SpringApplication.run(MyApplication.class, args);
    }
}
    登录后复制

    Spring Boot会自动扫描并加载Shiro的配置。

  5. 使用Shiro的注解: 你可以在Controller中使用Shiro的注解来控制权限。

    @Controller
public class MyController {

    @RequiresRoles("admin")
    @RequestMapping("/admin")
    public String adminPage() {
        return "admin";
    }

    @RequiresPermissions("user:create")
    @RequestMapping("/user/create")
    public String createUser() {
        return "createUser";
    }
}
    登录后复制

    @RequiresRoles用于限制只有具有特定角色的用户才能访问,@RequiresPermissions用于限制只有具有特定权限的用户才能访问。

Shiro整合Spring后,如何处理session共享问题?

Shiro默认使用Servlet容器的Session管理,但在分布式环境下,Servlet容器的Session无法共享。解决这个问题有几种方法:

  • 使用Shiro自带的Session管理: Shiro可以自己管理Session,你需要配置一个SessionDAO用于Session的持久化,例如使用Redis或数据库存储Session。
  • 使用Spring Session: Spring Session提供了一种统一的Session管理方案,可以与Shiro集成。你需要引入Spring Session的依赖,并配置Session的存储方式。
  • 使用第三方Session共享方案: 例如使用Redis Session共享等。

使用Shiro进行单点登录(SSO)如何配置?

Shiro本身不直接提供SSO功能,但可以与其他SSO方案集成。一种常见的做法是:

  1. 集成CAS (Central Authentication Service): CAS是一种流行的开源SSO解决方案。你需要配置Shiro使用CAS的客户端,将用户的认证委托给CAS服务器。
  2. 自定义SSO集成: 你也可以自定义SSO集成,例如通过OAuth 2.0协议与其他认证服务器交互。这需要实现自定义的Realm,用于从认证服务器获取用户信息。

如何自定义Shiro的认证流程,例如增加验证码校验?

自定义Shiro的认证流程通常需要以下步骤:

  1. 自定义AuthenticationToken: 创建一个自定义的AuthenticationToken,用于携带验证码等额外信息。
  2. 自定义Realm: 在自定义的Realm中,重写doGetAuthenticationInfo方法,从AuthenticationToken中获取验证码,并进行校验。如果验证码校验失败,抛出自定义的异常。
  3. 配置ShiroFilterFactoryBean: 在ShiroFilterFactoryBean中,配置自定义的认证过滤器,用于处理认证流程。

在doGetAuthenticationInfo中,你需要先验证验证码,如果验证码正确,再进行用户身份验证。示例代码:

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    MyAuthenticationToken myToken = (MyAuthenticationToken) token;
    String username = (String) myToken.getPrincipal();
    String captcha = myToken.getCaptcha();

    // 验证验证码
    if (!validateCaptcha(captcha)) {
        throw new IncorrectCaptchaException("验证码错误");
    }

    User user = userService.findByUsername(username);
    if (user == null) {
        return null; // 用户不存在
    }
    return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), getName());
}
登录后复制

注意,IncorrectCaptchaException需要你自定义。同时,MyAuthenticationToken也需要你自定义,继承自AuthenticationToken,并添加captcha属性。

以上就是Shiro权限框架整合Spring详细配置教程的详细内容,更多请关注php中文网其它相关文章!

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
相关标签:
redis apache 工具 ai red spring spring boot 分布式 maven servlet Session xml 继承 委托 redis 数据库
来源:php中文网
收藏 点赞
上一篇:如何使用Java判断文件路径是否位于指定目录下(任意深度) 下一篇:MyBatisPlus多租户架构的完整实现方案
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
最新问题
Java Stream与集合操作:高效移除元素及字符串处理技巧 本文深入探讨了在Java中如何高效地使用StreamAPI、Collection.removeIf()方法以及字符串处理函数,以实现从集合中移除特定元素和对字符串内容进行转换。文章通过具体示例,纠正了常见的编程误区,并提供了简洁、性能优化的代码实践,旨在帮助开发者更好地理解和运用Java核心库进行数据处理。
2025-07-12 22:42:22
568
Java Stream API与集合操作:高效移除特定元素与字符串处理 本文深入探讨了在Java中如何高效地使用StreamAPI和List.removeIf()方法来移除集合和字符串中的特定元素。我们将通过具体示例,演示如何根据条件过滤数字序列,以及如何从字符串中删除空格。同时,文章还将指出常见的编码误区,并提供最佳实践,帮助开发者编写出更简洁、更具可读性和性能的代码。
2025-07-12 22:32:12
898
Java Stream API:高效数据过滤与集合操作实践 本文深入探讨了JavaStreamAPI在集合元素过滤与字符串操作中的应用。通过分析实际案例,我们将学习如何利用StreamAPI高效地移除集合中符合特定条件的元素,以及正确处理字符串中的字符删除问题,并提供清晰的代码示例与最佳实践,帮助读者避免常见陷阱。
2025-07-12 22:26:01
843
Java Stream API:高效过滤与改造集合及字符串 本文深入探讨JavaStreamAPI在集合元素过滤与字符串处理中的应用,纠正常见误区,并提供最佳实践。通过具体示例,详细讲解如何使用List.removeIf()实现集合元素的条件移除,以及多种方法处理字符串中的空白字符,旨在提升代码的简洁性、可读性与效率。
2025-07-12 22:24:11
126
Java集合与字符串操作:高效移除元素与字符的策略 本文旨在探讨在Java中如何高效地从集合中移除特定元素,以及从字符串中移除特定字符。我们将分析常见的误区,并提供基于Java8StreamAPI、List.removeIf()方法以及String类方法的最佳实践,帮助开发者编写更简洁、性能更优的代码。
2025-07-12 22:04:01
361
JPA One-to-Many 关系中避免子实体重复的最佳实践 本文旨在解决JPAOne-to-Many关系中,当多个父实体关联相同的子实体时,子实体在数据库中被重复持久化的问题。核心策略是通过在保存父实体前查询数据库,复用已存在的子实体,而非每次都创建新实例。文章将详细阐述实现方法、提供代码示例,并探讨相关持久化操作的注意事项,确保数据一致性与避免冗余。
2025-07-12 21:42:13
337
JPA One-to-Many 关系:如何防止子实体重复并重用现有数据 本文探讨了在JPAOne-to-Many关系中,如何避免因重复数据导致子实体(如过敏原)在数据库中重复存储的问题。核心解决方案是在持久化父实体(如食材)时,先查询子实体(如过敏原)是否已存在。若存在,则关联现有实体而非创建新实体,从而确保数据唯一性和一致性。文章提供了详细的代码示例和最佳实践,帮助开发者有效管理实体关系,优化数据存储。
2025-07-12 21:32:41
282
Java中实现数学模运算:处理负数情况的精确方法 本文深入探讨了Java中模运算的实现,重点区分了Java内置的%运算符与数学意义上的模运算在处理负数时的差异。通过对比分析和提供两种实用方法(基于公式的修正法和条件判断法),旨在帮助开发者在Java中准确实现符合数学定义的模运算,确保在各种场景下获得预期的非负余数。
2025-07-12 21:28:01
860
怎样用Java实现缓存?Guava Cache使用 GuavaCache是一个适合中小型Java项目的本地缓存实现。1.它提供自动加载、过期策略、大小限制等功能;2.使用简单,API简洁,无需引入外部服务;3.支持基于时间与访问的过期机制、条目数量或权重控制、统计信息及异步刷新;4.创建时通过CacheBuilder构建实例并配置策略;5.可结合Spring的@Cacheable注解提升开发效率;6.不适合大数据量或跨JVM场景。
2025-07-12 21:24:02
881
Java中XML与JSON互相转换的性能优化方案 1.选择高性能库:处理JSON时,Jackson通常性能最优,Fastjson在特定场景更快但需注意安全性,Gson适合中小型项目;处理XML时,JAXB适合开发效率,StAX/SAX适合大数据量和低内存场景。2.优化配置:禁用美化输出、忽略空值、禁用未知属性失败机制;复用ObjectMapper/Gson实例;合理设置数据模型与注解;必要时使用自定义序列化器。3.高效转换策略:优先采用流式API(如JacksonStreaming、StAX)处理大型文件;分批处理逻辑块;减少临时对象创建,结合
2025-07-12 21:22:01
677
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
app下载
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习
PHP中文网抖音号
发现有趣的

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部