Shiro与Spring Boot的集成详解

在Java企业级应用开发中，安全性是一个至关重要的方面。Apache Shiro作为一个强大且易于使用的Java安全框架，提供了身份验证、授权、加密和会话管理等核心安全功能。将Shiro与Spring Boot集成，可以进一步提升应用的安全性，并简化安全配置和管理。本文将详细介绍Shiro与Spring Boot的集成过程，并给出具体的实现步骤和代码示例。

一、项目准备

首先，你需要创建一个Spring Boot项目。可以使用Spring Initializr（https://start.spring.io/）快速生成项目基础结构。在生成项目时，除了基本的Spring Boot依赖外，还需要添加Shiro的Spring Boot Starter依赖。

在pom.xml中添加以下依赖：

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-starter</artifactId>
    <version>最新版本</version> <!-- 请替换为实际可用的最新版本 -->
</dependency>

确保你使用的是最新版本的shiro-spring-boot-starter，以便获得最新的功能和安全修复。

二、配置Shiro

在Spring Boot中集成Shiro，需要创建Shiro的配置类。这个配置类将负责Shiro的初始化、安全管理器的配置、Realm的注入以及过滤器链的定义。

1. 创建Shiro配置类

在项目的src/main/java目录下，创建一个新的Java类，命名为ShiroConfig。这个类将使用Java配置的方式来设置Shiro。

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.realm.Realm;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class ShiroConfig {

    @Bean
    public SecurityManager securityManager(Realm realm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        return securityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);

        // 定义过滤器链
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/login", "anon"); // 允许匿名访问登录页面
        filterChainDefinitionMap.put("/logout", "logout"); // 登出处理
        filterChainDefinitionMap.put("/**", "authc"); // 其他所有请求都需要认证

        shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilter;
    }

    // 自定义Realm的Bean，这里假设你已经有一个MyRealm类
    @Bean
    public Realm myRealm() {
        return new MyRealm();
    }
}

2. 编写Realm类

Realm是Shiro中用于进行身份验证和授权的核心组件。你需要创建一个继承自AuthorizingRealm的类，并实现doGetAuthenticationInfo和doGetAuthorizationInfo方法。

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class MyRealm extends AuthorizingRealm {

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        String username = upToken.getUsername();

        // 这里应该通过数据库或其他数据源验证用户名和密码
        // 假设密码是硬编码的，实际开发中应从数据库获取
        String password = "encodedPassword"; // 假设的加密密码

        if (!"encodedPassword".equals(new String(upToken.getPassword()))) {
            throw new IncorrectCredentialsException("Incorrect credentials.");
        }

        return new SimpleAuthenticationInfo(username, password, getName());
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = (String) principals.getPrimaryPrincipal();

        // 根据用户名查询权限信息
        // 这里应该通过数据库或其他数据源查询
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        // 假设给所有用户都赋予"user"角色
        info.addRole("user");

        return info;
    }
}

注意：在实际应用中，密码应该是加密存储的，并且应该通过数据库或其他数据源来验证用户名和密码。

三、创建登录和注销控制器

接下来，你需要创建处理用户登录和注销的控制器。

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;

@Controller
public class LoginController {

    @GetMapping("/login")
    public String login() {
        return "login"; // 返回登录页面的视图名
    }

    @PostMapping("/login")
    public String login(String username, String password) {
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);

        try {
            subject.login(token);
            return "redirect:/"; // 登录成功后重定向到首页
        } catch (Exception e) {
            // 登录失败，返回登录页面并显示错误信息
            return "login";
        }
    }

    @GetMapping("/logout")
    public String logout() {
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        return "redirect:/login"; // 登出后重定向到登录页面
    }
}

四、配置登录和未登录的页面

在application.properties或application.yml中，你可以配置登录和未登录时重定向的页面。但是，由于Shiro的过滤器链已经定义了这些行为，通常不需要在这里额外配置。

五、测试与验证

完成上述配置后，你可以启动Spring Boot应用并测试登录和注销功能。确保你的前端页面（如login.html）能够正确发送用户名和密码到/login端点，并在登录成功后重定向到首页。

六、总结

通过本文，我们详细介绍了如何在Spring Boot项目中集成Apache Shiro。从添加依赖、配置Shiro、编写Realm类到创建登录和注销控制器，每一步都详细说明了如何操作。Shiro的集成使得Spring Boot应用的安全性得到了极大的提升，同时也简化了安全配置和管理。

在实际开发中，你可能需要根据具体需求对Shiro进行更详细的配置，比如自定义过滤器、处理跨域请求、集成JWT等。但无论如何，Shiro都为你提供了一个强大且灵活的安全框架，帮助你轻松实现应用的安全性需求。

希望本文对你有所帮助，如果你有任何疑问或需要进一步的帮助，请随时访问我的码小课网站（www.maxiaoke.com），获取更多关于Java和Spring Boot的教程和资料。