39.2. Spring Boot Shiro权限管理【从零开始学Spring Boot】

在本教程中，我们将深入探讨如何使用Spring Boot和Apache Shiro进行权限管理。Spring Boot以其简洁的配置和快速的应用开发能力而闻名，而Shiro则是一个强大的安全管理框架，提供了认证、授权、会话管理和安全加密等功能。通过结合两者，我们可以构建一个高效且易于维护的安全系统。 我们需要在Spring Boot项目中引入Apache Shiro的相关依赖。这通常通过在`pom.xml`或`build.gradle`文件中添加Shiro的依赖项来完成。例如，对于Maven项目，可以在`pom.xml`中加入如下代码： ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version> </dependency> ``` 接下来，我们需要配置Shiro的`SecurityManager`，这是Shiro的核心组件，负责整个安全流程的管理。在Spring Boot中，我们可以使用`@Configuration`和`@EnableShiroWeb`注解创建一个配置类，如下所示： ```java @Configuration @EnableShiroWeb public class ShiroConfig { // 配置SecurityManager @Bean public DefaultWebSecurityManager securityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 设置Realm securityManager.setRealm(userRealm()); return securityManager; } // 创建自定义的UserRealm，实现认证和授权逻辑 @Bean public UserRealm userRealm() { UserRealm userRealm = new UserRealm(); // 配置认证和授权的策略 // ... return userRealm; } } ``` 在`UserRealm`中，我们需要实现`AuthenticatingRealm`和`AuthorizingRealm`接口，以处理认证和授权。认证涉及用户登录验证，授权则确定用户可以访问哪些资源。通常，我们会从数据库或其他数据源加载用户信息，并根据这些信息执行验证。 ```java public class UserRealm extends AuthorizingRealm { @Autowired private UserService userService; // 实现认证方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 从token中获取用户名 String username = (String) token.getPrincipal(); // 调用UserService查找用户信息 User user = userService.findByUsername(username); if (user == null) { throw new UnknownAccountException("用户不存在"); } // 创建AuthenticationInfo对象并返回 return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); } // 实现授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { User user = (User) principals.getPrimaryPrincipal(); // 根据用户角色和权限加载授权信息 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); // ... return authorizationInfo; } } ``` 此外，我们还需要配置Shiro的过滤器链，以便在用户访问受保护的URL时进行拦截和处理。这可以通过创建一个名为`shiroFilter`的@Bean来完成，其中包含一系列的过滤器映射，如`authc`(认证过滤器)，`perms`(权限过滤器)等。 ```java @Bean public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) { ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean(); factoryBean.setSecurityManager(securityManager); Map<String, Filter> filters = new HashMap<>(); // 添加其他自定义过滤器 // ... factoryBean.setFilters(filters); Map<String, String> filterChainDefinitionMap = new HashMap<>(); filterChainDefinitionMap.put("/", "anon"); // 允许匿名访问首页 filterChainDefinitionMap.put("/login", "authc"); // 认证后访问登录页面 filterChainDefinitionMap.put("/**", "authc, roles[admin]"); // 访问其他所有路径需要admin角色 // 其他过滤链配置... factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return factoryBean; } ``` 别忘了在Spring Boot的主配置类上添加`@EnableWebMvc`，以启用Spring MVC支持，因为Shiro的过滤器需要与Web MVC协同工作。 通过以上步骤，我们已经在Spring Boot应用中成功集成了Apache Shiro，实现了用户认证和权限管理。在实际应用中，你可能需要根据具体需求调整过滤器链、 Realm的实现以及认证和授权策略。同时，Shiro还提供了丰富的API和扩展点，允许开发者进行更精细的控制和定制，以满足复杂的安全场景。