1 添加依赖
使用 shiro-spring-boot-web-starter 在 spring boot 中集成 shiro 只需要再添加一个依赖
org.apache.shiro shiro-spring-boot-web-starter 1.4.1
2 基本配置
2.1 Bean 配置
shiro-spring-boot-web-starter
按照 spring boot 的设计理念,底层实现了大量的配置。按照官方的介绍,用户只需要添加两个必须的 Bean,就可以运行 shiro。一个是 Realm
,另一个是 ShiroFilterChainDefinition
。其中 Realm 可以添加多个,在启动时,会自动将他们添加进 SecurityManager。
代码如下
@Configurationpublic class ShiroConfig { /** * 配置自定义 realm * @return */ @Bean public Realm realm() { LoginRealm loginRealm = new LoginRealm(); HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher(); credentialsMatcher.setHashIterations(3); credentialsMatcher.setHashAlgorithmName("md5"); loginRealm.setCredentialsMatcher(credentialsMatcher); return loginRealm; } @Bean public ShiroFilterChainDefinition shiroFilterChainDefinition() { DefaultShiroFilterChainDefinition shiroFilterChainDefinition = new DefaultShiroFilterChainDefinition(); shiroFilterChainDefinition.addPathDefinition("/lib/**","anon"); shiroFilterChainDefinition.addPathDefinition("/static/**","anon"); shiroFilterChainDefinition.addPathDefinition("/verifyCode.jsp","anon"); shiroFilterChainDefinition.addPathDefinition("/checkVerifyCode","anon"); shiroFilterChainDefinition.addPathDefinition("/logout","logout"); shiroFilterChainDefinition.addPathDefinition("/login","authc"); shiroFilterChainDefinition.addPathDefinition("/**","user"); return shiroFilterChainDefinition; }}
另外,如果需要配置 CacheManager,还可以添加一个 Bean,例如下面使用 EhCache 作为缓存管理。
//配置缓存@Beanpublic CacheManager cacheManager() { EhCacheManager ehCacheManager = new EhCacheManager(); ehCacheManager.setCacheManagerConfigFile("classpath:shiro-ehcache.xml"); return ehCacheManager;}
2.2 application.properties 配置
shiro-spring-boot-web-starter
还支持使用 application.properties
配置自定义参数,修改默认值,用于程序启动时初始化自动生成的 Bean。比如常见的 Cookie 和 Session 的时效、loginUrl、successUrl 等。
#配置Shiroshiro.loginUrl=/loginshiro.successUrl=/indexshiro.unauthorizedUrl=/unauthorizedshiro.userNativeSessionManager=trueshiro.rememberMeManager.cookie.maxAge=259200shiro.sessionManager.cookie.maxAge=10800
2.3 底层的配置过程
阅读源码可以知道,底层会将 spring 容器中的 Realm 和 ShiroFilterChainDefinition
用 @Autowired
的方式注入后,用于创建 SecurityManager
和 ShiroFilterFactoryBean
。
2.3.1 SecurityManager
shiro-spring-boot-web-starter
底层自动配置的 SecurityManager
对应生成 Bean 的配置类在 org.apache.shiro.spring.config.web.autoconfigure.ShiroWebAutoConfiguration
,该类继承 AbstractShiroWebConfiguration
,而 AbstractShiroWebConfiguration
继承 org.apache.shiro.spring.config.AbstractShiroConfiguration
,下面是解析。
2.3.2 ShiroFilterFactoryBean
在以前使用 shiro-spring
进行集成的时候,我们需要在 shiro 的配置文件配置 ShiroFilterFactoryBean
时,配置安全管理器、successUrl、loginUrl、filterChainDefinitions 等配置。如下
/lib/** = anon /static/** = anon /verifyCode.jsp = anon /checkVerifyCode = anon /logout = logout /login = authc /** = user
而使用了 shiro-spring-boot-web-starter
后,底层会自动装配生成 ShiroFilterFactoryBean
,参考的源码在 org.apache.shiro.spring.config.web.autoconfigure.ShiroWebAutoConfiguration
,该类继承 AbstractShiroWebFilterConfiguration
,具体的方法在抽象类内,解析如下
2.4 其它可选的 properties 配置项
参考官网,可选的配置项有:
3 进阶配置
实际开发中我们可能需要重写 Filter,例如 FormAuthenticationFilter 以实现业务需求。这时候我们就需要手动创建 ShiroFilterFactoryBean
覆盖框架自动生成的。源码和解析如下
4 注意事项
需要注意的一点是,使用 shiro-spring-boot-web-starter
时,会出现一些 bug:在 Controller 内的方法上用注解的方式做权限控制时(打了 @RequiresPermissions
标签),@RequestMapping
标签会出问题,前台浏览器访问时会报 404 错误。解决办法就是在添加一个 Bean,如下
/** * setUsePrefix(true)用于解决一个奇怪的bug。在引入spring aop的情况下。 * 在@Controller注解的类的方法中加入@RequiresRole等shiro注解,会导致该方法无法映射请求,导致返回404。 * 加入这项配置能解决这个bug */@Beanpublic static DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator(){ DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator=new DefaultAdvisorAutoProxyCreator(); defaultAdvisorAutoProxyCreator.setUsePrefix(true); return defaultAdvisorAutoProxyCreator;}