shiro框架在springboot中如何集成

Apache Shiro 是一个强大且易用的 Java 安全框架，用于身份验证、授权、加密和会话管理。在 Spring Boot 中集成 Shiro 相对简单，以下是一些关键步骤：

1. 添加依赖

首先，在你的 pom.xml 文件中添加 Shiro 和 Spring Boot Shiro 相关的依赖：

<dependencies>     <!-- Shiro Core -->     <dependency>         <groupId>org.apache.shiro</groupId>         <artifactId>shiro-core</artifactId>         <version>1.7.1</version>     </dependency>     <!-- Spring Boot Shiro Starter -->     <dependency>         <groupId>org.apache.shiro</groupId>         <artifactId>shiro-spring-boot-starter</artifactId>         <version>1.7.1</version>     </dependency>     <!-- Spring Boot Starter Web -->     <dependency>         <groupId>org.springframework.boot</groupId>         <artifactId>spring-boot-starter-web</artifactId>     </dependency> </dependencies> 

确保你使用的 Shiro 和 Spring Boot 版本兼容。

2. 配置 Shiro

创建一个配置类来设置 Shiro。例如，你可以创建一个名为 ShiroConfig 的类：

import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.spring.web.ShiroFilterFactoryBean; import org.apache.shiro.web.mgt.DefaultWebSecurityManager; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration;  @Configuration public class ShiroConfig {      @Bean     public SecurityManager securityManager() {         DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();         // 设置用户和角色         securityManager.setRealm(myRealm());         return securityManager;     }      @Bean     public MyRealm myRealm() {         return new MyRealm();     }      @Bean     public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {         ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();         shiroFilterFactoryBean.setSecurityManager(securityManager);          // 配置过滤器链         Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();         filterChainDefinitionMap.put("/admin/**", "authc");         filterChainDefinitionMap.put("/**", "anon");         shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);          return shiroFilterFactoryBean;     } } 

在这个例子中，我们定义了一个自定义的 Realm（MyRealm），用于处理身份验证和授权逻辑。ShiroFilterFactoryBean 用于配置过滤器链，定义哪些 URL 需要身份验证，哪些不需要。

3. 实现自定义 Realm

创建一个自定义的 Realm 类来实现 org.apache.shiro.realm.AuthorizingRealm 接口。例如：

import org.apache.shiro.authc.*; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.authz.SimpleAuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection;  import java.util.HashSet; import java.util.Set;  public class MyRealm extends AuthorizingRealm {      @Override     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {         String username = (String) principals.getPrimaryPrincipal();         // 查询用户角色和权限         Set<String> roles = getRolesForUser(username);         Set<String> permissions = getPermissionsForUser(username);          SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();         authorizationInfo.setRoles(roles);         authorizationInfo.setStringPermissions(permissions);         return authorizationInfo;     }      @Override     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {         UsernamePasswordToken upToken = (UsernamePasswordToken) token;         String username = upToken.getUsername();          // 查询用户信息         User user = getUserByUsername(username);         if (user == null) {             throw new UnknownAccountException("用户不存在");         }          return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), getName());     }      private Set<String> getRolesForUser(String username) {         // 实现获取用户角色的逻辑         return new HashSet<>();     }      private Set<String> getPermissionsForUser(String username) {         // 实现获取用户权限的逻辑         return new HashSet<>();     }      private User getUserByUsername(String username) {         // 实现根据用户名查询用户的逻辑         return null;     } } 

在这个例子中，我们实现了 doGetAuthorizationInfo 和 doGetAuthenticationInfo 方法，用于处理授权和身份验证逻辑。

4. 创建用户和角色

你需要创建一些用户和角色数据来测试 Shiro。这些数据可以存储在数据库中，或者简单地硬编码在配置类中。例如：

import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration;  import java.util.HashMap; import java.util.Map;  @Configuration public class UserRolesConfig {      @Bean     public Map<String, String> users() {         Map<String, String> users = new HashMap<>();         users.put("admin", "admin_password");         users.put("user", "user_password");         return users;     }      @Bean     public Map<String, Set<String>> roles() {         Map<String, Set<String>> roles = new HashMap<>();         Set<String> adminRoles = new HashSet<>();         adminRoles.add("admin");         roles.put("admin", adminRoles);          Set<String> userRoles = new HashSet<>();         userRoles.add("user");         roles.put("user", userRoles);          return roles;     } } 

在这个例子中，我们定义了两个 Bean：users 和 roles，分别存储用户名和密码，以及用户的角色信息。

5. 测试 Shiro

现在你可以启动你的 Spring Boot 应用，并测试 Shiro 的身份验证和授权功能。例如，你可以尝试访问 /admin/** URL，看看是否需要身份验证，以及能否正确访问受保护的资源。

以上就是在 Spring Boot 中集成 Apache Shiro 的基本步骤。你可以根据自己的需求进一步扩展和定制 Shiro 的配置和功能。