微信公众号 讲师中心
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
搜索
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程
自媒体 新闻
首页 > Java > java教程 > 正文

Shiro权限框架整合Spring详细配置教程

看不見的法師
发布: 2025-07-12 19:25:01
原创
422人浏览过

shiro整合spring的核心在于通过配置将shiro的安全管理功能嵌入spring应用上下文中。1. 添加maven依赖,包括shiro-spring、spring-context、spring-beans、spring-web及日志组件;2. 创建自定义realm类继承authorizingrealm,实现dogetauthorizationinfo和dogetauthenticationinfo方法;3. 配置shiroconfig类,定义myrealm、securitymanager、shirofilterfactorybean等bean,并设置url拦截规则和权限控制支持;4. 在spring boot启动类中启用shiro;5. 使用@requiresroles或@requirespermissions注解实现权限控制;6. 分布式环境下处理session共享可通过shiro自带session管理、spring session或第三方方案如redis实现;7. 实现sso可通过集成cas或自定义oauth 2.0协议;8. 自定义认证流程需创建自定义authenticationtoken和realm,并在认证方法中添加额外校验逻辑如验证码验证。

Shiro权限框架整合Spring详细配置教程

Shiro整合Spring,核心在于将Shiro的安全管理功能无缝嵌入到Spring的应用上下文中,实现权限控制、认证和授权等功能。这需要配置Shiro的各种组件,并让Spring管理它们的生命周期。

Shiro权限框架整合Spring详细配置教程

解决方案

  1. 添加Maven依赖: 首先,在你的pom.xml文件中添加Shiro和Spring相关的依赖。

    Shiro权限框架整合Spring详细配置教程
    <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.9.0</version>
</dependency>

<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-context</artifactId>
    <version>5.3.23</version>
</dependency>

<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-beans</artifactId>
    <version>5.3.23</version>
</dependency>

<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-web</artifactId>
    <version>5.3.23</version>
</dependency>

<!-- 引入slf4j日志 -->
<dependency>
    <groupId>org.slf4j</groupId>
    <artifactId>slf4j-api</artifactId>
    <version>1.7.36</version>
</dependency>
<dependency>
    <groupId>ch.qos.logback</groupId>
    <artifactId>logback-classic</artifactId>
    <version>1.2.11</version>
</dependency>
    登录后复制

    版本号根据实际情况调整,Spring Web依赖主要用于Web应用。

  2. 配置Shiro的Realm: Realm是Shiro用于获取用户身份验证和授权信息的组件。你需要创建一个Realm实现类,并配置它。

    Shiro权限框架整合Spring详细配置教程
    public class MyRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService; // 假设你有一个UserService

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = (String) principals.getPrimaryPrincipal();
        User user = userService.findByUsername(username); // 从数据库获取用户
        if (user == null) {
            return null;
        }
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        // 添加角色
        user.getRoles().forEach(role -> authorizationInfo.addRole(role.getName()));

        //添加权限
        user.getPermissions().forEach(permission -> authorizationInfo.addStringPermission(permission.getName()));
        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();
        User user = userService.findByUsername(username); // 从数据库获取用户
        if (user == null) {
            return null; // 用户不存在
        }
        return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), getName());
    }
}
    登录后复制

    这里假设你有一个UserService用于从数据库获取用户信息。注意,密码通常需要进行加密存储,并使用Shiro提供的加密工具类进行验证。

  3. 配置Shiro的SecurityManager:SecurityManager是Shiro的核心组件,用于管理所有的Subject,并协调认证和授权。

    @Configuration
public class ShiroConfig {

    @Bean
    public MyRealm myRealm() {
        return new MyRealm();
    }

    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm());
        return securityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/login", "anon"); // 允许匿名访问
        filterChainDefinitionMap.put("/logout", "logout");
        filterChainDefinitionMap.put("/**", "authc"); // 其他所有请求需要认证
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        shiroFilterFactoryBean.setLoginUrl("/login"); // 未认证跳转URL
        shiroFilterFactoryBean.setSuccessUrl("/index"); // 认证成功URL
        shiroFilterFactoryBean.setUnauthorizedUrl("/403"); // 未授权URL

        return shiroFilterFactoryBean;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }
}
    登录后复制

    这个配置类定义了Shiro的Realm、SecurityManager和ShiroFilterFactoryBean。ShiroFilterFactoryBean定义了URL的拦截规则。AuthorizationAttributeSourceAdvisorDefaultAdvisorAutoProxyCreator用于支持基于注解的权限控制。LifecycleBeanPostProcessor用于管理Shiro Bean的生命周期。注意@DependsOn注解,确保lifecycleBeanPostProcessor先被创建。

  4. 在Spring Boot启动类中启用Shiro:

    @SpringBootApplication
public class MyApplication {
    public static void main(String[] args) {
        SpringApplication.run(MyApplication.class, args);
    }
}
    登录后复制

    Spring Boot会自动扫描并加载Shiro的配置。

  5. 使用Shiro的注解: 你可以在Controller中使用Shiro的注解来控制权限。

    @Controller
public class MyController {

    @RequiresRoles("admin")
    @RequestMapping("/admin")
    public String adminPage() {
        return "admin";
    }

    @RequiresPermissions("user:create")
    @RequestMapping("/user/create")
    public String createUser() {
        return "createUser";
    }
}
    登录后复制

    @RequiresRoles用于限制只有具有特定角色的用户才能访问,@RequiresPermissions用于限制只有具有特定权限的用户才能访问。

    琅琅配音
    琅琅配音

    全能AI配音神器

    琅琅配音 208
    查看详情 琅琅配音

Shiro整合Spring后,如何处理session共享问题?

Shiro默认使用Servlet容器的Session管理,但在分布式环境下,Servlet容器的Session无法共享。解决这个问题有几种方法:

  • 使用Shiro自带的Session管理: Shiro可以自己管理Session,你需要配置一个SessionDAO用于Session的持久化,例如使用Redis或数据库存储Session。
  • 使用Spring Session: Spring Session提供了一种统一的Session管理方案,可以与Shiro集成。你需要引入Spring Session的依赖,并配置Session的存储方式。
  • 使用第三方Session共享方案: 例如使用Redis Session共享等。

使用Shiro进行单点登录(SSO)如何配置?

Shiro本身不直接提供SSO功能,但可以与其他SSO方案集成。一种常见的做法是:

  1. 集成CAS (Central Authentication Service): CAS是一种流行的开源SSO解决方案。你需要配置Shiro使用CAS的客户端,将用户的认证委托给CAS服务器。
  2. 自定义SSO集成: 你也可以自定义SSO集成,例如通过OAuth 2.0协议与其他认证服务器交互。这需要实现自定义的Realm,用于从认证服务器获取用户信息。

如何自定义Shiro的认证流程,例如增加验证码校验?

自定义Shiro的认证流程通常需要以下步骤:

  1. 自定义AuthenticationToken: 创建一个自定义的AuthenticationToken,用于携带验证码等额外信息。
  2. 自定义Realm: 在自定义的Realm中,重写doGetAuthenticationInfo方法,从AuthenticationToken中获取验证码,并进行校验。如果验证码校验失败,抛出自定义的异常。
  3. 配置ShiroFilterFactoryBean:ShiroFilterFactoryBean中,配置自定义的认证过滤器,用于处理认证流程。

doGetAuthenticationInfo中,你需要先验证验证码,如果验证码正确,再进行用户身份验证。示例代码:

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    MyAuthenticationToken myToken = (MyAuthenticationToken) token;
    String username = (String) myToken.getPrincipal();
    String captcha = myToken.getCaptcha();

    // 验证验证码
    if (!validateCaptcha(captcha)) {
        throw new IncorrectCaptchaException("验证码错误");
    }

    User user = userService.findByUsername(username);
    if (user == null) {
        return null; // 用户不存在
    }
    return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), getName());
}
登录后复制

注意,IncorrectCaptchaException需要你自定义。同时,MyAuthenticationToken也需要你自定义,继承自AuthenticationToken,并添加captcha属性。

以上就是Shiro权限框架整合Spring详细配置教程的详细内容,更多请关注php中文网其它相关文章!

相关标签:
redis apache 工具 ai red spring spring boot 分布式 maven servlet Session xml 继承 委托 redis 数据库

大家都在看:

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
来源:php中文网
收藏 点赞
上一篇:如何使用Java判断文件路径是否位于指定目录下(任意深度) 下一篇:MyBatisPlus多租户架构的完整实现方案
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
最新问题
Gradle项目中的依赖冲突管理:以Spring Boot子依赖版本为例 本文深入探讨了Gradle项目中处理传递性依赖版本冲突的策略,特别是当主项目依赖新版SpringBoot,而某个库(如Springdoc-OpenAPI-UI)传递性依赖旧版SpringBoot时。文章重点介绍了通过选择兼容的直接依赖版本来解决冲突的最佳实践,并辅以Gradle的resolutionStrategy高级用法,同时简要分析了Java模块系统(Jigsaw)在此类问题中的适用性。
2025-11-08 23:53:01
540
Spring Boot应用中JDBC连接泄露与HikariCP优化实践 本文旨在解决SpringBoot应用中因多线程并发操作导致的JDBC连接池耗尽问题,特别是当使用HikariCP时。文章将深入探讨HikariCP连接池的关键配置参数,如maximumPoolSize和connectionTimeout,并提供优化JDBC连接使用时间、缩短事务范围以及采用乐观锁等策略,以确保连接的有效释放和复用,从而提升应用的稳定性和并发处理能力。
2025-11-08 23:40:01
536
Java MVC模式实践:构建清晰、可维护的应用程序 本文深入探讨Java中MVC模式的正确实践,通过分析一个餐厅管理系统案例,揭示视图层(View)和控制器层(Controller)常见的职责混淆问题。我们将详细阐述模型、视图、控制器的核心职责,并提供具体的代码重构示例,旨在帮助开发者实现更严格的职责分离,提升代码的可维护性、可测试性及UI灵活性,并探讨异常处理的最佳实践。
2025-11-08 23:38:01
870
Spring 6/Spring Boot 3 HTTP 接口中的重试机制实现 本文深入探讨了在Spring6和SpringBoot3中,如何为新的HTTP接口实现健壮的重试机制。针对传统WebClientretryWhen()方法在HTTP接口中应用不便的问题,文章详细介绍了通过ExchangeFilterFunction拦截请求并处理错误响应,从而优雅地集成重试策略。通过代码示例,展示了如何配置WebClient并在HttpServiceProxyFactory中使用,确保所有通过HTTP接口发出的请求都能统一地应用重试逻辑,提升服务韧性。
2025-11-08 23:21:01
582
Spring Boot多线程环境下JDBC连接池耗尽的排查与优化 本教程旨在解决SpringBoot应用在多线程并发执行数据库操作时,因JDBC连接池耗尽导致的CannotCreateTransactionException异常。文章将深入探讨HikariCP连接池的配置优化、精细化JDBC连接的生命周期管理,以及如何通过分离业务逻辑和采用乐观锁等策略,有效缩短连接持有时间,从而提升应用的并发处理能力和稳定性。
2025-11-08 23:11:31
763
优化Logstash Logback结构化日志:简化多字段对象参数记录 本文旨在解决LogstashLogback中记录包含多个字段的对象(如ID)时,代码冗余的问题。通过详细阐述传统v()方法的不足,并引入StructuredArguments.fields()(或f())这一高效解决方案,指导开发者如何利用该方法自动将对象字段作为结构化参数输出,同时结合toString()方法优化日志消息的显示,从而显著提升日志代码的简洁性和可维护性。
2025-11-08 23:11:13
987
Logstash Logback:优化复杂对象结构化日志记录 本教程介绍如何使用LogstashLogback中的StructuredArguments.fields()方法,简化复杂对象(如具有多个ID字段的对象)的结构化日志记录。通过自动提取对象字段并将其作为独立的结构化参数添加到JSON日志中,此方法显著减少了代码冗余,同时保持了日志内容的丰富性和可读性。
2025-11-08 23:08:01
420
Spring 6 HTTP 接口中的重试机制实现指南 本文深入探讨了在Spring6和SpringBoot3中,如何为基于新HTTP接口的客户端实现请求重试机制。由于HTTP接口本身不直接提供重试功能,文章详细介绍了通过集成WebClient的ExchangeFilterFunction来拦截并处理请求失败,从而实现灵活的、可配置的重试策略,确保服务调用的韧性。
2025-11-08 23:05:01
443
Logstash Logback:优化多字段对象结构化日志记录 本文探讨了在使用LogstashLogback进行结构化日志记录时,如何高效地处理包含多个字段的对象ID。针对手动添加冗余结构化参数的问题,教程介绍了如何利用StructuredArguments.fields()方法,通过反射自动将对象字段作为结构化参数添加到日志中,同时通过重写toString()方法自定义日志消息中的显示内容,从而显著简化代码并提升可读性。
2025-11-08 23:01:21
481
Java ThreadLocal的深层价值:超越线程内部变量的隐式状态管理艺术 ThreadLocal在Java并发编程中提供了一种独特的机制,它允许每个线程拥有其变量的独立副本,从而避免了同步开销。其核心价值在于实现隐式、线程隔离的状态管理,使得共享服务或数据结构能够在不要求客户端代码显式传递或管理线程特定上下文的情况下,维护其内部状态,极大地简化了API设计并提高了代码可读性。
2025-11-08 23:01:00
861
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部