shiro 和 spring boot 的集成
1 添加依赖
使用 shiro-spring-boot-web-starter 在 spring boot 中集成 shiro 只需要再添加一个依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring-boot-web-starter</artifactId>
<version>1.4.1</version>
</dependency>
2 基本配置
2.1 Bean 配置
shiro-spring-boot-web-starter 按照 spring boot 的设计理念,底层实现了大量的配置。按照官方的介绍,用户只需要添加两个必须的 Bean,就可以运行 shiro。一个是 Realm,另一个是 ShiroFilterChainDefinition。其中 Realm 可以添加多个,在启动时,会自动将他们添加进 SecurityManager。
代码如下
@Configuration
public class ShiroConfig {
/**
* 配置自定义 realm
* @return
*/
@Bean
public Realm realm() {
LoginRealm loginRealm = new LoginRealm();
HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
credentialsMatcher.setHashIterations(3);
credentialsMatcher.setHashAlgorithmName("md5");
loginRealm.setCredentialsMatcher(credentialsMatcher);
return loginRealm;
}
@Bean
public ShiroFilterChainDefinition shiroFilterChainDefinition() {
DefaultShiroFilterChainDefinition shiroFilterChainDefinition = new DefaultShiroFilterChainDefinition();
shiroFilterChainDefinition.addPathDefinition("/lib/**","anon");
shiroFilterChainDefinition.addPathDefinition("/static/**","anon");
shiroFilterChainDefinition.addPathDefinition("/verifyCode.jsp","anon");
shiroFilterChainDefinition.addPathDefinition("/checkVerifyCode","anon");
shiroFilterChainDefinition.addPathDefinition("/logout","logout");
shiroFilterChainDefinition.addPathDefinition("/login","authc");
shiroFilterChainDefinition.addPathDefinition("/**","user");
return shiroFilterChainDefinition;
}
}
另外,如果需要配置 CacheManager,还可以添加一个 Bean,例如下面使用 EhCache 作为缓存管理。
//配置缓存
@Bean
public CacheManager cacheManager() {
EhCacheManager ehCacheManager = new EhCacheManager();
ehCacheManager.setCacheManagerConfigFile("classpath:shiro-ehcache.xml");
return ehCacheManager;
}
2.2 application.properties 配置
shiro-spring-boot-web-starter 还支持使用 application.properties 配置自定义参数,修改默认值,用于程序启动时初始化自动生成的 Bean。比如常见的 Cookie 和 Session 的时效、loginUrl、successUrl 等。
#配置Shiro
shiro.loginUrl=/login
shiro.successUrl=/index
shiro.unauthorizedUrl=/unauthorized
shiro.userNativeSessionManager=true
shiro.rememberMeManager.cookie.maxAge=259200
shiro.sessionManager.cookie.maxAge=10800
2.3 底层的配置过程
阅读源码可以知道,底层会将 spring 容器中的 Realm 和 ShiroFilterChainDefinition 用 @Autowired 的方式注入后,用于创建 SecurityManager 和 ShiroFilterFactoryBean。
2.3.1 SecurityManager
shiro-spring-boot-web-starter 底层自动配置的 SecurityManager 对应生成 Bean 的配置类在 org.apache.shiro.spring.config.web.autoconfigure.ShiroWebAutoConfiguration,该类继承 AbstractShiroWebConfiguration,而 AbstractShiroWebConfiguration 继承 org.apache.shiro.spring.config.AbstractShiroConfiguration,下面是解析。

2.3.2 ShiroFilterFactoryBean
在以前使用 shiro-spring 进行集成的时候,我们需要在 shiro 的配置文件配置 ShiroFilterFactoryBean 时,配置安全管理器、successUrl、loginUrl、filterChainDefinitions 等配置。如下
<!--配置 shiro 框架的过滤器-->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!--注入安全管理器-->
<property name="securityManager" ref="securityManager"/>
<!--默认的认证成功后跳转的页面-->
<property name="successUrl" value="/index"/>
<!--认证失败、登录访问的页面-->
<property name="loginUrl" value="/login"/>
<!--没有权限访问时跳转的页面-->
<property name="unauthorizedUrl" value="/unauthorized"/>
<!--注入自定义 filter-->
<property name="filters">
<map>
<entry key="authc" value-ref="myFormAuthenticationFilter"/>
</map>
</property>
<!--配置过滤器链-->
<property name="filterChainDefinitions">
<value>
<!--静态资源不需要验证,放行-->
/lib/** = anon
/static/** = anon
/verifyCode.jsp = anon
/checkVerifyCode = anon
<!--退出登录-->
/logout = logout
<!--只有登录界面走验证-->
/login = authc
<!--其它所有页面都可以在rememberMe后访问-->
/** = user
</value>
</property>
</bean>
而使用了 shiro-spring-boot-web-starter 后,底层会自动装配生成 ShiroFilterFactoryBean,参考的源码在 org.apache.shiro.spring.config.web.autoconfigure.ShiroWebAutoConfiguration,该类继承 AbstractShiroWebFilterConfiguration,具体的方法在抽象类内,解析如下

2.4 其它可选的 properties 配置项
参考官网,可选的配置项有:

3 进阶配置
实际开发中我们可能需要重写 Filter,例如 FormAuthenticationFilter 以实现业务需求。这时候我们就需要手动创建 ShiroFilterFactoryBean 覆盖框架自动生成的。源码和解析如下

4 注意事项
需要注意的一点是,使用 shiro-spring-boot-web-starter 时,会出现一些 bug:在 Controller 内的方法上用注解的方式做权限控制时(打了 @RequiresPermissions 标签),@RequestMapping 标签会出问题,前台浏览器访问时会报 404 错误。解决办法就是在添加一个 Bean,如下
/**
* setUsePrefix(true)用于解决一个奇怪的bug。在引入spring aop的情况下。
* 在@Controller注解的类的方法中加入@RequiresRole等shiro注解,会导致该方法无法映射请求,导致返回404。
* 加入这项配置能解决这个bug
*/
@Bean
public static DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator(){
DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator=new DefaultAdvisorAutoProxyCreator();
defaultAdvisorAutoProxyCreator.setUsePrefix(true);
return defaultAdvisorAutoProxyCreator;
}
shiro 和 spring boot 的集成的更多相关文章
- Spring Boot:集成Druid数据源
综合概述 数据库连接池负责分配.管理和释放数据库连接,它允许应用程序重复使用一个现有的数据库连接,而不是再重新建立一个:释放空闲时间超过最大空闲时间的数据库连接来避免因为没有释放数据库连接而引起的数据 ...
- Spring Boot快速集成kaptcha生成验证码
Kaptcha是一个非常实用的验证码生成工具,可以通过配置生成多样化的验证码,以图片的形式显示,从而无法进行复制粘贴:下面将详细介绍下Spring Boot快速集成kaptcha生成验证码的过程. 本 ...
- [转帖]spring boot项目集成jacoco
小试牛刀:spring boot项目集成jacoco 2019-03-28 20:14:36 zyq23333 阅读数 509 版权声明:本文为博主原创文章,遵循CC 4.0 BY-SA版权协议, ...
- Java | Spring Boot Swagger2 集成REST ful API 生成接口文档
Spring Boot Swagger2 集成REST ful API 生成接口文档 原文 简介 由于Spring Boot 的特性,用来开发 REST ful 变得非常容易,并且结合 Swagg ...
- Spring Boot 项目集成 Alibaba Druid
Druid 是一个非常好用的数据库连接池,但是他的好并不止体现在作为一个连接池加快数据访问性能上和连接管理上,他带有一个强大的监控工具:Druid Monitor.不仅可以监控数据源和慢查询,还可以监 ...
- Spring Boot Redis 集成配置(转)
Spring Boot Redis 集成配置 .embody{ padding:10px 10px 10px; margin:0 -20px; border-bottom:solid 1px #ede ...
- spring boot 2 集成JWT实现api接口认证
JSON Web Token(JWT)是目前流行的跨域身份验证解决方案.官网:https://jwt.io/本文使用spring boot 2 集成JWT实现api接口验证. 一.JWT的数据结构 J ...
- [Spring Boot 系列] 集成maven和Spring boot的profile功能
由于项目的需要, 今天给spirng boot项目添加了profile功能.再网上搜索了一圈,也没有找到满意的参考资料,其实配置并不难,就是没有一个one stop(一站式)讲解的地方,所以有了写这篇 ...
- Kafka的安装及与Spring Boot的集成
安装JDK 下载jdk-8u202-ea-bin-b03-linux-x64-07_nov_2018.tar.gz 解压 配置 $ vi /etc/profile,在最后加入下面两行 export J ...
随机推荐
- 缩放手势 ScaleGestureDetector 源码解析,这一篇就够了
其实在我们日常的编程中,对于缩放手势的使用并不是很经常,这一手势主要是用在图片浏览方面,比如下方例子.但是(敲重点),作为 Android 入门的基础来说,学习 ScaleGestureDetecto ...
- 基于jsp技术的校园二手交易网站
[项目介绍]基于jsp的校园二手商品交易网站系统使用jsp技术进行开发,项目主要实现了一整套的校园二手交易逻辑, 主要功能如下(包括但不限于,只列出主要功能): 管理员模块 |-----用户管理 ...
- 用nodejs调用webservice
用nodejs调用webservice,是用soap包实现的. 步骤如下: 第一步:安装soap包 npm install soap 第二部:调用webservice var soap = requ ...
- 写在Logg SAP项目上线之际
根据大环境大行业的惯用做法,公司建立Logg品牌是在意料之中.毫无意外的,Logg也要上到SAP系统中. 其实按它的业务模式来说上SAP系统并不困难,早在几年前就已经有做过了.无非就是接单不生产,外包 ...
- ABP开发框架前后端开发系列---(13)高级查询功能及界面的处理
在一般的检索界面中,基于界面易用和美观方便的考虑,我们往往只提供一些常用的条件查询进行列表数据的查询,但是有时候一些业务表字段很多,一些不常见的条件可能在某些场景下也需要用到.因此我们在通用的查询条件 ...
- 无法启动print spooler服务,错误2,系统找不到指定的文件
来自百度: 无法启动print spooler服务,错误2,系统找不到指定的文件 我的打印机无法运行:出现"打印后台程序没有执行"提示.查:print spooler没有启动.点击 ...
- SSM(三)Mybatis动态SQL
1.查询语句,where: <resultMap id="xxx" type="xx..Student" autoMapping="false& ...
- GRPC Oauth Identity
gRPC中集成asp.net identity实现oAuth认证 在asp.net core 3.0中开启identity认证 asp.net core 3.0种需要导入的identity包与core ...
- 真实项目中 ThreadLocal 的妙用
一.什么是 ThreadLocal ThreadLocal 提供了线程的局部变量,每个线程都可以通过 set() 和 get() 来对这个局部变量进行操作,但不会和其他线程的局部变量冲突,实现了线程间 ...
- .Net之Layui多图片上传
前言: 多图上传在一些特殊的需求中我们经常会遇到,其实多图上传的原理大家都有各自的见解.对于Layui多图上传和我之前所说的通过js获取文本框中的文件数组遍历提交的原理一样,只不过是Layui中的up ...