文章目录
一、Shiro 和 SpringSecurity 比较
在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。
一般来说,Spring Security 和 Shiro 的比较如下:
(1)Spring Security 是一个重量级的安全管理框架;Shiro 则是一个轻量级的安全管理框架
(2)Spring Security 概念复杂,配置繁琐;Shiro 概念简单、配置简单
(3)Spring Security 功能强大;Shiro 功能简单
虽然 Shiro 功能简单,但是也能满足大部分的业务场景。所以在传统的 SSM 项目中,一般来说,可以整合 Shiro。
在 Spring Boot 中,由于 Spring Boot 官方提供了大量的非常方便的开箱即用的 Starter ,当然也提供了 Spring Security 的 Starter ,使得在 Spring Boot 中使用 Spring Security 变得更加容易,甚至只需要添加一个依赖就可以保护所有的接口,所以,如果是 Spring Boot 项目,一般选择 Spring Security 。
这只是一个建议的组合,单纯从技术上来说,无论怎么组合,都是没有问题的。
在 Spring Boot 中整合 Shiro ,有两种不同的方案:
第一种就是原封不动的,将 SSM 整合 Shiro 的配置用 Java 重写一遍。
第二种就是使用 Shiro 官方提供的一个 Starter 来配置,但是,这个 Starter 并没有简化多少配置。
二、原生的整合
1. 环境搭建
(1)创建 SpringBoot 时加入 web 依赖即可
(2)添加 Shiro 相关的依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>1.4.0</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>
2. 创建 Realm
//AuthorizingRealm 既有认证又有授权
public class MyRealm extends AuthorizingRealm {
/**
* 完成授权
* @param principals
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
return null;
}
/**
* 完成认证
* @param token
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//获取用户名
String username = (String) token.getPrincipal();
if ("yolo".equals(username)) {
return new SimpleAuthenticationInfo(username, "123", getName());
}
return null;
}
}
在 Realm 中实现简单的认证操作即可,不做授权,授权的具体写法和 SSM 中的 Shiro 一样。这里的认证表示用户名必须是 yolo ,用户密码必须是 123 ,满足这样的条件,就能登录成功!
3. 配置 ShiroConfig
@Configuration
public class ShiroConfig {
@Bean
MyRealm myRealm() {
return new MyRealm();
}
@Bean
SecurityManager securityManager() {
DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
manager.setRealm(myRealm());
return manager;
}
@Bean
ShiroFilterFactoryBean shiroFilterFactoryBean() {
ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
bean.setSecurityManager(securityManager());
bean.setLoginUrl("/login");
bean.setSuccessUrl("/index");
Map<String, String> map = new LinkedHashMap<>();
//匿名访问
map.put("/doLogin", "anon");
//登录后访问
map.put("/**", "authc");
//定义拦截规则
bean.setFilterChainDefinitionMap(map);
return bean;
}
}
在这里进行 Shiro 的配置主要配置 3 个 Bean :
(1)首先需要提供一个 Realm 的实例。
(2)需要配置一个 SecurityManager,在 SecurityManager 中配置 Realm。
(3)配置一个 ShiroFilterFactoryBean ,在 ShiroFilterFactoryBean 中指定路径拦截规则等。
(4)配置登录和测试接口。
其中,ShiroFilterFactoryBean 的配置稍微多一些,配置含义如下:
setSecurityManager 表示指定 SecurityManager。
(1) setLoginUrl 表示指定登录页面。
(2)setSuccessUrl 表示指定登录成功页面。
(3)接下来的 Map 中配置了路径拦截规则,注意,要有序。
4. 配置 Controller
这些东西都配置完成后,接下来配置登录 Controller:
@RestController
public class HelloController {
@GetMapping("/login")
public String loging() {
return "please login";
}
@PostMapping("/doLogin")
public void doLogin(String username, String password) {
Subject subject = SecurityUtils.getSubject();
try {
subject.login(new UsernamePasswordToken(username, password));
System.out.println("success");
} catch (AuthenticationException e) {
e.printStackTrace();
System.out.println("fail>>" + e.getMessage());
}
}
@GetMapping("/hello")
public String hello() {
return "hello shiro!";
}
}
测试时,首先访问 /hello 接口,由于未登录,所以会自动跳转到 /login 接口:
登录成功:
访问成功:
三、使用 Shiro Starter 实现
1. 环境搭建
原生的整合配置方式实际上相当于把 SSM 中的 XML 配置拿到 Spring Boot 中用 Java 代码重新写了一遍,除了这种方式之外,我们也可以直接使用 Shiro 官方提供的 Starter
创建成功后,添加 shiro-spring-boot-web-starter ,这个依赖可以代替之前的 shiro-web 和 shiro-spring 两个依赖,pom.xml 文件如下:
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring-boot-web-starter</artifactId>
<version>1.4.0</version>
</dependency>
</dependencies>
2. 配置 ShiroConfig
@Configuration
public class ShiroConfig {
@Bean
Realm realm() {
TextConfigurationRealm realm = new TextConfigurationRealm();
//设置两个角色及密码
realm.setUserDefinitions("yolo=123,user \n admin=123,admin");
//设置角色的权限
realm.setRoleDefinitions("admin=read,write \n user=read");
return realm;
}
@Bean
ShiroFilterChainDefinition shiroFilterChainDefinition() {
DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();
//设置路径的访问权限
definition.addPathDefinition("/doLogin", "anon");
definition.addPathDefinition("/**", "authc");
return definition;
}
}
这里的配置和前面的比较像,但是不再需要 ShiroFilterFactoryBean 实例了,替代它的是 ShiroFilterChainDefinition ,在这里定义 Shiro 的路径匹配规则即可。
3. 配置 Shiro 信息
接下来在 application.properties 中配置 Shiro 的基本信息:
shiro.sessionManager.sessionIdCookieEnabled=true
shiro.sessionManager.sessionIdUrlRewritingEnabled=true
shiro.unauthorizedUrl=/unauthorizedurl
shiro.web.enabled=true
shiro.successUrl=/index
shiro.loginUrl=/login
第一行表示是否允许将sessionId 放到 cookie 中
第二行表示是否允许将 sessionId 放到 Url 地址拦中
第三行表示访问未获授权的页面时,默认的跳转路径
第四行表示开启 shiro
第五行表示登录成功的跳转页面
第六行表示登录页面
登录验证测试同上,不再赘述。