在 Spring Boot 中做權(quán)限管理，一般來(lái)說(shuō)，主流的方案是 Spring Security ，但是，僅僅從技術(shù)角度來(lái)說(shuō)，也可以使用 Shiro。

Spring Security 和 Shiro 的比較：

Spring Security 是一個(gè)重量級(jí)的安全管理框架；Shiro 則是一個(gè)輕量級(jí)的安全管理框架 Spring Security 概念復(fù)雜，配置繁瑣；Shiro 概念簡(jiǎn)單、配置簡(jiǎn)單 Spring Security 功能強(qiáng)大；Shiro 功能簡(jiǎn)單 等等

雖然 Shiro 功能簡(jiǎn)單，但是也能滿足大部分的業(yè)務(wù)場(chǎng)景。所以在傳統(tǒng)的 SSM 項(xiàng)目中，一般來(lái)說(shuō)，可以整合 Shiro。

在 Spring Boot 中，由于 Spring Boot 官方提供了大量的非常方便的開(kāi)箱即用的 Starter ，當(dāng)然也提供了 Spring Security 的 Starter ，使得在 Spring Boot 中使用 Spring Security 變得更加容易，甚至只需要添加一個(gè)依賴就可以保護(hù)所有的接口，所以，如果是 Spring Boot 項(xiàng)目，一般選擇 Spring Security 。

這只是一個(gè)建議的組合，單純從技術(shù)上來(lái)說(shuō)，無(wú)論怎么組合，都是沒(méi)有問(wèn)題的。

在 Spring Boot 中整合 Shiro ，有兩種不同的方案：

第一種就是原封不動(dòng)的，將 SSM 整合 Shiro 的配置用 Java 重寫(xiě)一遍。

第二種就是使用 Shiro 官方提供的一個(gè) Starter 來(lái)配置，但是，這個(gè) Starter 并沒(méi)有簡(jiǎn)化多少配置。

原生的整合

創(chuàng)建項(xiàng)目

創(chuàng)建一個(gè) Spring Boot 項(xiàng)目，只需要添加 Web 依賴即可：

項(xiàng)目創(chuàng)建成功后，加入 Shiro 相關(guān)的依賴，完整的 pom.xml 文件中的依賴如下：

<dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.4.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency></dependencies>

創(chuàng)建 Realm

接下來(lái)我們來(lái)自定義核心組件 Realm：

public class MyRealm extends AuthorizingRealm { @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { return null; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { String username = (String) token.getPrincipal(); if (!'javaboy'.equals(username)) { throw new UnknownAccountException('賬戶不存在!'); } return new SimpleAuthenticationInfo(username, '123', getName()); }}

在 Realm 中實(shí)現(xiàn)簡(jiǎn)單的認(rèn)證操作即可，不做授權(quán)，授權(quán)的具體寫(xiě)法和 SSM 中的 Shiro 一樣，不贅述。這里的認(rèn)證表示用戶名必須是 javaboy ，用戶密碼必須是 123 ，滿足這樣的條件，就能登錄成功！

配置 Shiro

接下來(lái)進(jìn)行 Shiro 的配置：

@Configurationpublic class ShiroConfig { @Bean MyRealm myRealm() { return new MyRealm(); } @Bean SecurityManager securityManager() { DefaultWebSecurityManager manager = new DefaultWebSecurityManager(); manager.setRealm(myRealm()); return manager; } @Bean ShiroFilterFactoryBean shiroFilterFactoryBean() { ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean(); bean.setSecurityManager(securityManager()); bean.setLoginUrl('/login'); bean.setSuccessUrl('/index'); bean.setUnauthorizedUrl('/unauthorizedurl'); Map<String, String> map = new LinkedHashMap<>(); map.put('/doLogin', 'anon'); map.put('/**', 'authc'); bean.setFilterChainDefinitionMap(map); return bean; }}

在這里進(jìn)行 Shiro 的配置主要配置 3 個(gè) Bean ：

首先需要提供一個(gè) Realm 的實(shí)例。 需要配置一個(gè) SecurityManager，在 SecurityManager 中配置 Realm。 配置一個(gè) ShiroFilterFactoryBean ，在 ShiroFilterFactoryBean 中指定路徑攔截規(guī)則等。 配置登錄和測(cè)試接口。

其中，ShiroFilterFactoryBean 的配置稍微多一些，配置含義如下：

setSecurityManager 表示指定 SecurityManager。 setLoginUrl 表示指定登錄頁(yè)面。 setSuccessUrl 表示指定登錄成功頁(yè)面。 接下來(lái)的 Map 中配置了路徑攔截規(guī)則，注意，要有序。

這些東西都配置完成后，接下來(lái)配置登錄 Controller:

@RestControllerpublic class LoginController { @PostMapping('/doLogin') public void doLogin(String username, String password) { Subject subject = SecurityUtils.getSubject(); try { subject.login(new UsernamePasswordToken(username, password)); System.out.println('登錄成功!'); } catch (AuthenticationException e) { e.printStackTrace(); System.out.println('登錄失敗!'); } } @GetMapping('/hello') public String hello() { return 'hello'; } @GetMapping('/login') public String login() { return 'please login!'; }}

測(cè)試時(shí)，首先訪問(wèn) /hello 接口，由于未登錄，所以會(huì)自動(dòng)跳轉(zhuǎn)到 /login 接口：

然后調(diào)用 /doLogin 接口完成登錄：

再次訪問(wèn) /hello 接口，就可以成功訪問(wèn)了：

使用 Shiro Starter

上面這種配置方式實(shí)際上相當(dāng)于把 SSM 中的 XML 配置拿到 Spring Boot 中用 Java 代碼重新寫(xiě)了一遍，除了這種方式之外，我們也可以直接使用 Shiro 官方提供的 Starter 。

創(chuàng)建工程，和上面的一樣

創(chuàng)建成功后，添加 shiro-spring-boot-web-starter ，這個(gè)依賴可以代替之前的 shiro-web 和 shiro-spring 兩個(gè)依賴，pom.xml 文件如下：

<dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.4.0</version> </dependency></dependencies>創(chuàng)建 Realm

這里的 Realm 和前面的一樣，我就不再贅述。

配置 Shiro 基本信息

接下來(lái)在 application.properties 中配置 Shiro 的基本信息：

shiro.sessionManager.sessionIdCookieEnabled=trueshiro.sessionManager.sessionIdUrlRewritingEnabled=trueshiro.unauthorizedUrl=/unauthorizedurlshiro.web.enabled=trueshiro.successUrl=/indexshiro.loginUrl=/login

配置解釋：

第一行表示是否允許將sessionId 放到 cookie 中 第二行表示是否允許將 sessionId 放到 Url 地址攔中 第三行表示訪問(wèn)未獲授權(quán)的頁(yè)面時(shí)，默認(rèn)的跳轉(zhuǎn)路徑 第四行表示開(kāi)啟 shiro 第五行表示登錄成功的跳轉(zhuǎn)頁(yè)面 第六行表示登錄頁(yè)面

配置 ShiroConfig

@Configurationpublic class ShiroConfig { @Bean MyRealm myRealm() { return new MyRealm(); } @Bean DefaultWebSecurityManager securityManager() { DefaultWebSecurityManager manager = new DefaultWebSecurityManager(); manager.setRealm(myRealm()); return manager; } @Bean ShiroFilterChainDefinition shiroFilterChainDefinition() { DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition(); definition.addPathDefinition('/doLogin', 'anon'); definition.addPathDefinition('/**', 'authc'); return definition; }}

這里的配置和前面的比較像，但是不再需要 ShiroFilterFactoryBean 實(shí)例了，替代它的是 ShiroFilterChainDefinition ，在這里定義 Shiro 的路徑匹配規(guī)則即可。

這里定義完之后，接下來(lái)的登錄接口定義以及測(cè)試方法都和前面的一致，我就不再贅述了。大家可以參考上文。

總結(jié)

本文主要向大家介紹了 Spring Boot 整合 Shiro 的兩種方式，一種是傳統(tǒng)方式的 Java 版，另一種則是使用 Shiro 官方提供的 Starter，兩種方式

更多關(guān)于Spring Boot技巧請(qǐng)查看下面的相關(guān)鏈接