1 添加依赖

使用 shiro-spring-boot-web-starter 在 spring boot 中集成 shiro 只需要再添加一个依赖

<dependency>

    <groupId>org.apache.shiro</groupId>

    <artifactId>shiro-spring-boot-web-starter</artifactId>

    <version>1.4.1</version>

</dependency>

2 基本配置

2.1 Bean 配置

shiro-spring-boot-web-starter 按照 spring boot 的设计理念,底层实现了大量的配置。按照官方的介绍,用户只需要添加两个必须的 Bean,就可以运行 shiro。一个是 Realm,另一个是 ShiroFilterChainDefinition。其中 Realm 可以添加多个,在启动时,会自动将他们添加进 SecurityManager。

代码如下

@Configuration

public class ShiroConfig {

    /**

     * 配置自定义 realm

     * @return

     */

    @Bean

    public Realm realm() {

        LoginRealm loginRealm = new LoginRealm();

        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();

        credentialsMatcher.setHashIterations(3);

        credentialsMatcher.setHashAlgorithmName("md5");

        loginRealm.setCredentialsMatcher(credentialsMatcher);

        return loginRealm;

    }

    @Bean

    public ShiroFilterChainDefinition shiroFilterChainDefinition() {

        DefaultShiroFilterChainDefinition shiroFilterChainDefinition = new DefaultShiroFilterChainDefinition();

        shiroFilterChainDefinition.addPathDefinition("/lib/**","anon");

        shiroFilterChainDefinition.addPathDefinition("/static/**","anon");

        shiroFilterChainDefinition.addPathDefinition("/verifyCode.jsp","anon");

        shiroFilterChainDefinition.addPathDefinition("/checkVerifyCode","anon");

        shiroFilterChainDefinition.addPathDefinition("/logout","logout");

        shiroFilterChainDefinition.addPathDefinition("/login","authc");

        shiroFilterChainDefinition.addPathDefinition("/**","user");

        return shiroFilterChainDefinition;

    }

}

另外,如果需要配置 CacheManager,还可以添加一个 Bean,例如下面使用 EhCache 作为缓存管理。

//配置缓存

@Bean

public CacheManager cacheManager() {

    EhCacheManager ehCacheManager = new EhCacheManager();

    ehCacheManager.setCacheManagerConfigFile("classpath:shiro-ehcache.xml");

    return ehCacheManager;

}

2.2 application.properties 配置

shiro-spring-boot-web-starter 还支持使用 application.properties 配置自定义参数,修改默认值,用于程序启动时初始化自动生成的 Bean。比如常见的 Cookie 和 Session 的时效、loginUrl、successUrl 等。

#配置Shiro

shiro.loginUrl=/login

shiro.successUrl=/index

shiro.unauthorizedUrl=/unauthorized

shiro.userNativeSessionManager=true

shiro.rememberMeManager.cookie.maxAge=259200

shiro.sessionManager.cookie.maxAge=10800

2.3 底层的配置过程

阅读源码可以知道,底层会将 spring 容器中的 Realm 和 ShiroFilterChainDefinition@Autowired 的方式注入后,用于创建 SecurityManagerShiroFilterFactoryBean

2.3.1 SecurityManager

shiro-spring-boot-web-starter 底层自动配置的 SecurityManager 对应生成 Bean 的配置类在 org.apache.shiro.spring.config.web.autoconfigure.ShiroWebAutoConfiguration,该类继承 AbstractShiroWebConfiguration,而 AbstractShiroWebConfiguration 继承 org.apache.shiro.spring.config.AbstractShiroConfiguration,下面是解析。

2.3.2 ShiroFilterFactoryBean

在以前使用 shiro-spring 进行集成的时候,我们需要在 shiro 的配置文件配置 ShiroFilterFactoryBean 时,配置安全管理器、successUrl、loginUrl、filterChainDefinitions 等配置。如下

<!--配置 shiro 框架的过滤器-->

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

    <!--注入安全管理器-->

    <property name="securityManager" ref="securityManager"/>

    <!--默认的认证成功后跳转的页面-->

    <property name="successUrl" value="/index"/>

    <!--认证失败、登录访问的页面-->

    <property name="loginUrl" value="/login"/>

    <!--没有权限访问时跳转的页面-->

    <property name="unauthorizedUrl" value="/unauthorized"/>

    <!--注入自定义 filter-->

    <property name="filters">

        <map>

            <entry key="authc" value-ref="myFormAuthenticationFilter"/>

        </map>

    </property>

    <!--配置过滤器链-->

    <property name="filterChainDefinitions">

        <value>

            <!--静态资源不需要验证,放行-->

            /lib/** = anon

            /static/** = anon

            /verifyCode.jsp = anon

            /checkVerifyCode = anon

            <!--退出登录-->

            /logout = logout

            <!--只有登录界面走验证-->

            /login = authc

            <!--其它所有页面都可以在rememberMe后访问-->

            /** = user

        </value>

    </property>

</bean>

而使用了 shiro-spring-boot-web-starter 后,底层会自动装配生成 ShiroFilterFactoryBean,参考的源码在 org.apache.shiro.spring.config.web.autoconfigure.ShiroWebAutoConfiguration,该类继承 AbstractShiroWebFilterConfiguration,具体的方法在抽象类内,解析如下

2.4 其它可选的 properties 配置项

参考官网,可选的配置项有:

3 进阶配置

实际开发中我们可能需要重写 Filter,例如 FormAuthenticationFilter 以实现业务需求。这时候我们就需要手动创建 ShiroFilterFactoryBean 覆盖框架自动生成的。源码和解析如下

4 注意事项

需要注意的一点是,使用 shiro-spring-boot-web-starter 时,会出现一些 bug:在 Controller 内的方法上用注解的方式做权限控制时(打了 @RequiresPermissions 标签),@RequestMapping 标签会出问题,前台浏览器访问时会报 404 错误。解决办法就是在添加一个 Bean,如下

/**

 * setUsePrefix(true)用于解决一个奇怪的bug。在引入spring aop的情况下。

 * 在@Controller注解的类的方法中加入@RequiresRole等shiro注解,会导致该方法无法映射请求,导致返回404。

 * 加入这项配置能解决这个bug

 */

@Bean

public static DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator(){

    DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator=new DefaultAdvisorAutoProxyCreator();

    defaultAdvisorAutoProxyCreator.setUsePrefix(true);

    return defaultAdvisorAutoProxyCreator;

}

shiro 和 spring boot 的集成的更多相关文章

  1. Spring Boot:集成Druid数据源

    综合概述 数据库连接池负责分配.管理和释放数据库连接,它允许应用程序重复使用一个现有的数据库连接,而不是再重新建立一个:释放空闲时间超过最大空闲时间的数据库连接来避免因为没有释放数据库连接而引起的数据 ...

  2. Spring Boot快速集成kaptcha生成验证码

    Kaptcha是一个非常实用的验证码生成工具,可以通过配置生成多样化的验证码,以图片的形式显示,从而无法进行复制粘贴:下面将详细介绍下Spring Boot快速集成kaptcha生成验证码的过程. 本 ...

  3. [转帖]spring boot项目集成jacoco

    小试牛刀:spring boot项目集成jacoco 2019-03-28 20:14:36 zyq23333 阅读数 509   版权声明:本文为博主原创文章,遵循CC 4.0 BY-SA版权协议, ...

  4. Java | Spring Boot Swagger2 集成REST ful API 生成接口文档

      Spring Boot Swagger2 集成REST ful API 生成接口文档 原文 简介 由于Spring Boot 的特性,用来开发 REST ful 变得非常容易,并且结合 Swagg ...

  5. Spring Boot 项目集成 Alibaba Druid

    Druid 是一个非常好用的数据库连接池,但是他的好并不止体现在作为一个连接池加快数据访问性能上和连接管理上,他带有一个强大的监控工具:Druid Monitor.不仅可以监控数据源和慢查询,还可以监 ...

  6. Spring Boot Redis 集成配置(转)

    Spring Boot Redis 集成配置 .embody{ padding:10px 10px 10px; margin:0 -20px; border-bottom:solid 1px #ede ...

  7. spring boot 2 集成JWT实现api接口认证

    JSON Web Token(JWT)是目前流行的跨域身份验证解决方案.官网:https://jwt.io/本文使用spring boot 2 集成JWT实现api接口验证. 一.JWT的数据结构 J ...

  8. [Spring Boot 系列] 集成maven和Spring boot的profile功能

    由于项目的需要, 今天给spirng boot项目添加了profile功能.再网上搜索了一圈,也没有找到满意的参考资料,其实配置并不难,就是没有一个one stop(一站式)讲解的地方,所以有了写这篇 ...

  9. Kafka的安装及与Spring Boot的集成

    安装JDK 下载jdk-8u202-ea-bin-b03-linux-x64-07_nov_2018.tar.gz 解压 配置 $ vi /etc/profile,在最后加入下面两行 export J ...

随机推荐

  1. m3u8解析、转码、下载、合并

    m3u8解析.转码.下载.合并 现在网也上大多数视频需要下载都很麻烦,极少数是MP4,大多都是m3u8, 先说视频下载, pc端: 打开网页,点击视频播放,打开开发者工具,找到网络那一栏, 等整个网页 ...

  2. Laravel --- Laravel 5.3 队列使用方法

    一.设置存储方式 在config/queue.php中查看队列驱动,在.env 设置[QUEUE_DRIVER] 主要介绍数据库驱动 二.数据库驱动 1.修改.env CACHE_DRIVER=fil ...

  3. golang开发:类库篇(一) Zap高性能日志类库的使用

    为什么要用zap来写日志 原来是写PHP的,一直用的error_log,第一次写Go项目的时候,还真不知道该怎么写日志,后来就按照PHP的写法自己不成规范的捣鼓写.去了新公司之后,发现用的是zap.后 ...

  4. 一文详解 LVS、Nginx 及 HAProxy 工作原理( 附大图 )

    当前大多数的互联网系统都使用了服务器集群技术,集群是将相同服务部署在多台服务器上构成一个集群整体对外提供服务,这些集群可以是 Web 应用服务器集群,也可以是数据库服务器集群,还可以是分布式缓存服务器 ...

  5. spring源码解析之IOC容器(四)——属性注入

    上一篇跟踪了bean的创建过程,接下来,我们继续跟踪bean的属性填充的过程.先回到doCreateBean方法,代码如下: protected Object doCreateBean(final S ...

  6. Oracle数据库视图的创建以及使用

    创建视图语句: CREATE [OR REPLACE] [FORCE|NOFORCE] VIEW view_name [(alias[, alias]...)] AS subquery [WITH C ...

  7. .NET CORE与Spring Boot编写控制台程序应有的优雅姿势

    本文分别说明.NET CORE与Spring Boot 编写控制台程序应有的“正确”方法,以便.NET程序员.JAVA程序员可以相互学习与加深了解,注意本文只介绍用法,不会刻意强调哪种语言或哪种框架写 ...

  8. ES5_05_Function扩展

    Function 构造器的语法: 注意: 参数 arg1 , arg2 , argN 被函数使用的参数的名称必须是合法命名的.参数名称是一个有效的JavaScript标识符的字符串,或者一个用逗号分隔 ...

  9. 浅谈Invoke 和 BegionInvoke的用法

    很多人对Invoke和BeginInvoke理解不深刻,不知道该怎么应用,在这篇博文里将详细阐述Invoke和BeginInvoke的用法: 首先说下Invoke和BeginInvoke有两种用法: ...

  10. 浅入深出Vue:子组件与数据传递

    上一篇了解了组件的概念及在使用中需要注意的地方.在面对单个组件逻辑复杂需要拆分时,难免会遇到父子组件之间数据传递的问题.那么我们来了解一下在父子组件之间进行数据传递时需要遵循哪些约定,以及要注意哪些问 ...