软件开发|Shiro框架以及集成Spring Boot
📫 作者简介:「六月暴雪飞梨花」,专注于研究Java,就职于科技型公司后端工程师
🏆 近期荣誉:华为云云享专家、阿里云专家博主、腾讯云优秀创作者、腾讯云TDP-KOL、ACDU成员、墨天轮技术专家博主
🔥 三连支持:欢迎 ❤️关注、👍点赞、👉收藏三连,支持一下博主~
文章目录
- 1 关于Shiro中Management 配置
- 2 选择合适的版本
- 3 引入Maven依赖管理
- 4 关键配置项
- 4.1 securityManager
- 4.2 Realm 配置
- 4.3 URL 权限控制
- 5 集成Spring Boot
1 关于Shiro中Management 配置
在 Apache Shiro 权限管理框架中,Management 配置是实现用户、角色、权限精细化管控的核心环节。本文将结合实战场景,详解其适用版本、配置步骤及各参数含义,帮助开发者快速上手。
2 选择合适的版本
Shiro Management 配置核心功能在1.4.0 及以上版本中稳定支持,推荐使用1.10.0 最新稳定版。该版本修复了早期版本中权限继承漏洞,同时优化了 JWT 集成与集群环境下的会话管理,兼容性覆盖 Spring Boot 2.x/3.x、Spring Cloud 等主流开发框架。
3 引入Maven依赖管理
首先在 Maven 项目中添加核心依赖,确保包含 shiro-core 与 shiro-web(Web 项目)。
<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-core</artifactId><version>1.10.0</version>
</dependency>
<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-web</artifactId><version>1.10.0</version>
</dependency>
然后配置 SecurityManager 与 Realm,最后自定义 Realm 继承 AuthorizingRealm,重写 doGetAuthorizationInfo(权限校验)与 doGetAuthenticationInfo(身份认证)方法。
4 关键配置项
4.1 securityManager
Shiro 核心管理器,负责协调认证、授权等组件。
# 配置安全管理器
securityManager.realms=$myRealm
# 启用会话验证调度器(防止无效会话堆积)
securityManager.sessionManager.sessionValidationSchedulerEnabled=true
# 会话超时时间(单位:毫秒)
securityManager.sessionManager.globalSessionTimeout=1800000
4.2 Realm 配置
指定权限数据来源,支持 JDBC、LDAP 等多种实现
# 自定义Realm配置
myRealm=com.example.security.CustomRealm
# 密码加密器(推荐使用BCrypt)
myRealm.credentialsMatcher=$credentialsMatcher
credentialsMatcher=org.apache.shiro.authc.credential.BCryptCredentialsMatcher
4.3 URL 权限控制
通过 ShiroFilterFactoryBean 配置资源访问规则
@Bean
public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {ShiroFilterFactoryBean filter = new ShiroFilterFactoryBean();filter.setSecurityManager(securityManager);// 未认证跳转URLfilter.setLoginUrl("/login");// 认证成功默认跳转URLfilter.setSuccessUrl("/index");// 权限不足跳转URLfilter.setUnauthorizedUrl("/403");Map<String, String> filterMap = new LinkedHashMap<>();// 匿名访问资源filterMap.put("/static/**", "anon");filterMap.put("/login", "anon");// 需角色admin才能访问filterMap.put("/admin/**", "roles[admin]");// 需权限user:view才能访问filterMap.put("/user/**", "perms[user:view]");// 其余资源需认证filterMap.put("/**", "authc");filter.setFilterChainDefinitionMap(filterMap);return filter;
}
通过以上配置,可实现完整的权限管理体系。实际开发中需根据业务场景调整 Realm 数据获取逻辑与 URL 权限规则,同时注意密码加密存储与会话安全配置,保障系统权限安全。
5 集成Spring Boot
在pom.xml中引入 Shiro 与 Spring Boot 的整合依赖,替代传统的shiro-core与shiro-web。
<!-- Shiro整合Spring Boot依赖 -->
<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring-boot-starter</artifactId><version>1.10.0</version>
</dependency>
<!-- 可选:Shiro缓存支持(若需使用Redis存储会话) -->
<dependency><groupId>org.crazycake</groupId><artifactId>shiro-redis-spring-boot-starter</artifactId><version>3.2.1</version>
</dependency>
欢迎关注博主 「六月暴雪飞梨花」 或加入【六月暴雪飞梨花社区】一起学习和分享Linux、C、C++、Python、Matlab,机器人运动控制、多机器人协作,智能优化算法,滤波估计、多传感器信息融合,机器学习,人工智能等相关领域的知识和技术。