shiro框架在springboot中的扩展方法

Apache Shiro 是一个强大且易用的 Java 安全框架，用于实现身份验证、授权、加密和会话管理。在 Spring Boot 中使用 Shiro，可以通过扩展方法来简化配置和增强功能。以下是一些在 Spring Boot 中使用 Shiro 的扩展方法：

1. 配置 Shiro

在 Spring Boot 中，可以通过创建一个配置类来扩展 Shiro 的功能。例如：

@Configuration public class ShiroConfig {      @Bean     public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {         ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();         shiroFilterFactoryBean.setSecurityManager(securityManager);          // 配置过滤器链         Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();         filterChainDefinitionMap.put("/admin/**", "authc");         filterChainDefinitionMap.put("/**", "anon");         shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);          return shiroFilterFactoryBean;     }      @Bean     public DefaultWebSecurityManager securityManager() {         DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();         // 配置 Realm         securityManager.setRealm(myShiroRealm());         return securityManager;     }      @Bean     public MyShiroRealm myShiroRealm() {         return new MyShiroRealm();     } } 

在这个配置类中，我们定义了一个 ShiroFilterFactoryBean Bean 来创建 Shiro 的过滤器链，并配置了访问控制规则。同时，我们还定义了一个 DefaultWebSecurityManager Bean 来管理安全管理器，并将其与自定义的 Realm 关联起来。

2. 自定义 Realm

在上面的配置中，我们使用了自定义的 Realm 来处理身份验证和授权。可以通过扩展 AuthorizingRealm 类来实现自定义的 Realm，并在其中实现自己的身份验证和授权逻辑。例如：

public class MyShiroRealm extends AuthorizingRealm {      @Override     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {         // 获取用户身份信息         String username = (String) principals.getPrimaryPrincipal();          // 查询用户权限         List<String> permissions = getPermissionsFromDatabase(username);          // 创建授权信息对象         SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();          // 添加权限         authorizationInfo.addStringPermissions(permissions);          return authorizationInfo;     }      @Override     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {         // 获取用户输入的用户名和密码         String username = (String) token.getPrincipal();         String password = new String((char[]) token.getCredentials());          // 查询用户信息         User user = getUserFromDatabase(username);          if (user == null || !password.equals(user.getPassword())) {             throw new UnknownAccountException("用户不存在或密码错误");         }          // 创建认证信息对象         SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, password, getName());          return authenticationInfo;     }      // 从数据库中获取用户权限     private List<String> getPermissionsFromDatabase(String username) {         // 实现从数据库中获取用户权限的逻辑         return new ArrayList<>();     }      // 从数据库中获取用户信息     private User getUserFromDatabase(String username) {         // 实现从数据库中获取用户信息的逻辑         return new User();     } } 

在这个自定义的 Realm 中，我们实现了 doGetAuthorizationInfo 和 doGetAuthenticationInfo 方法来处理授权和认证逻辑。同时，我们还提供了两个辅助方法 getPermissionsFromDatabase 和 getUserFromDatabase 来从数据库中获取用户权限和信息。

这些扩展方法可以帮助你在 Spring Boot 中更方便地使用 Shiro 框架，并根据自己的需求进行定制和扩展。