Spring + Shiro 整合的核心要点及详细实现说明
在 Spring 项目中集成 Apache Shiro 可以实现轻量级的安全控制(认证、授权、会话管理等)。以下是 Spring + Shiro 整合的核心要点及详细实现说明:
一、Spring 与 Shiro 整合的核心组件
| 组件 | 作用 |
|---|---|
ShiroFilterFactoryBean | 创建 Shiro 过滤器链,拦截请求并执行安全规则 |
SecurityManager | Shiro 安全核心,协调 Realm、Session、Cache 等组件 |
Realm | 自定义安全数据源(如数据库、LDAP),实现认证和授权逻辑 |
LifecycleBeanPostProcessor | 管理 Shiro Bean 的生命周期(如自动调用 init() 和 destroy()) |
AuthorizationAttributeSourceAdvisor | 启用 Shiro 注解(如 @RequiresRoles)的 AOP 支持 |
二、整合步骤(基于 Spring Boot)
1. 添加依赖
<!-- Shiro 核心 -->
<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring-boot-starter</artifactId><version>1.12.0</version>
</dependency>
<!-- 其他依赖:Spring Web、数据库驱动等 -->2. 配置 Shiro 核心 Bean
@Configuration
public class ShiroConfig {// 1. 创建 Realm(需自定义)@Beanpublic UserRealm userRealm() {return new UserRealm(); // 继承 AuthorizingRealm}// 2. 配置安全管理器@Beanpublic SecurityManager securityManager(UserRealm realm) {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();securityManager.setRealm(realm);return securityManager;}// 3. 配置 Shiro 过滤器链@Beanpublic ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {ShiroFilterFactoryBean factory = new ShiroFilterFactoryBean();factory.setSecurityManager(securityManager);// 设置登录页和未授权页factory.setLoginUrl("/login");factory.setUnauthorizedUrl("/403");// 定义过滤规则Map<String, String> filterMap = new LinkedHashMap<>();filterMap.put("/static/**", "anon"); // 匿名访问静态资源filterMap.put("/login", "anon"); // 登录页无需认证filterMap.put("/admin/**", "roles[admin]"); // 需要 admin 角色filterMap.put("/**", "authc"); // 其他路径需要认证factory.setFilterChainDefinitionMap(filterMap);return factory;}// 4. 启用 Shiro 注解支持@Beanpublic AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();advisor.setSecurityManager(securityManager);return advisor;}
}三、自定义 Realm 实现
public class UserRealm extends AuthorizingRealm {@Autowiredprivate UserService userService;// 授权逻辑:获取用户权限信息@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {String username = (String) principals.getPrimaryPrincipal();SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();// 添加角色和权限(从数据库查询)info.setRoles(userService.getUserRoles(username));info.setStringPermissions(userService.getUserPermissions(username));return info;}// 认证逻辑:验证用户身份@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {String username = (String) token.getPrincipal();User user = userService.findByUsername(username);if (user == null) {throw new UnknownAccountException("用户不存在");}return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), ByteSource.Util.bytes(user.getSalt()), // 使用盐值加密getName());}
}四、使用 Shiro 注解控制权限
在 Controller 或 Service 层通过注解实现细粒度权限控制:
@Controller
public class AdminController {// 需要 admin 角色才能访问@RequiresRoles("admin")@GetMapping("/admin/dashboard")public String adminDashboard() {return "admin/dashboard";}// 需要 delete 权限才能调用@RequiresPermissions("user:delete")@PostMapping("/user/delete")public String deleteUser(Long id) {// 删除用户逻辑return "redirect:/user/list";}
}五、Session 管理与缓存
1. 分布式 Session 配置(如 Redis)
@Bean
public RedisSessionDAO redisSessionDAO(RedisTemplate<String, Object> redisTemplate) {RedisSessionDAO dao = new RedisSessionDAO();dao.setRedisTemplate(redisTemplate);return dao;
}@Bean
public SessionManager sessionManager(RedisSessionDAO redisSessionDAO) {DefaultWebSessionManager manager = new DefaultWebSessionManager();manager.setSessionDAO(redisSessionDAO);return manager;
}2. 缓存配置(EhCache 或 Redis)
@Bean
public CacheManager cacheManager() {return new MemoryConstrainedCacheManager(); // 默认内存缓存// 或使用 EhCache:return new EhCacheManager();
}六、常见问题与解决
| 问题 | 解决方案 |
|---|---|
| 权限注解不生效 | 检查是否启用 @EnableAspectJAutoProxy 和 AuthorizationAttributeSourceAdvisor |
| 登录后无限重定向 | 检查 Shiro 过滤器链配置,确保登录页设置为 anon |
| 密码加盐不一致 | 确认 Realm 中 SimpleAuthenticationInfo 的盐值与数据库一致 |
| Redis 缓存序列化失败 | 配置 RedisTemplate 的 Key/Value 序列化器为 Jackson2JsonRedisSerializer |
七、整合架构图
+----------------+ +----------------+ +----------------+
| Browser | <---> | Shiro Filter | <---> | Spring MVC |
| (发起请求) | | (拦截请求) | | (Controller) |
+----------------+ +----------------+ +----------------+| ^| | 调用v |+----------------+| SecurityManager|| (协调 Realm、Session、Cache) |+----------------+| ˄v |+----------------+| UserRealm || (自定义认证/授权) |+----------------+八、总结
- 优势:Shiro 轻量易用,与 Spring 整合后可通过注解快速实现细粒度权限控制,适合中小型项目。
- 适用场景:Web 应用安全控制、API 接口鉴权、分布式 Session 管理。
- 扩展建议:结合 Redis 实现分布式缓存和 Session,提升高并发场景下的性能。