在 Spring Boot 中做權(quán)限管理，一般來說，主流的方案是 Spring Security ，但是，僅僅從技術(shù)角度來說，也可以使用 Shiro。

Spring Security 和 Shiro 的比較：

Spring Security 是一個(gè)重量級的安全管理框架；Shiro 則是一個(gè)輕量級的安全管理框架 Spring Security 概念復(fù)雜，配置繁瑣；Shiro 概念簡單、配置簡單 Spring Security 功能強(qiáng)大；Shiro 功能簡單 等等

雖然 Shiro 功能簡單，但是也能滿足大部分的業(yè)務(wù)場景。所以在傳統(tǒng)的 SSM 項(xiàng)目中，一般來說，可以整合 Shiro。

在 Spring Boot 中，由于 Spring Boot 官方提供了大量的非常方便的開箱即用的 Starter ，當(dāng)然也提供了 Spring Security 的 Starter ，使得在 Spring Boot 中使用 Spring Security 變得更加容易，甚至只需要添加一個(gè)依賴就可以保護(hù)所有的接口，所以，如果是 Spring Boot 項(xiàng)目，一般選擇 Spring Security 。

這只是一個(gè)建議的組合，單純從技術(shù)上來說，無論怎么組合，都是沒有問題的。

在 Spring Boot 中整合 Shiro ，有兩種不同的方案：

第一種就是原封不動的，將 SSM 整合 Shiro 的配置用 Java 重寫一遍。

第二種就是使用 Shiro 官方提供的一個(gè) Starter 來配置，但是，這個(gè) Starter 并沒有簡化多少配置。

原生的整合

創(chuàng)建項(xiàng)目

創(chuàng)建一個(gè) Spring Boot 項(xiàng)目，只需要添加 Web 依賴即可：

項(xiàng)目創(chuàng)建成功后，加入 Shiro 相關(guān)的依賴，完整的 pom.xml 文件中的依賴如下：

<dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.4.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency></dependencies>

創(chuàng)建 Realm

接下來我們來自定義核心組件 Realm：

public class MyRealm extends AuthorizingRealm { @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { return null; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { String username = (String) token.getPrincipal(); if (!'javaboy'.equals(username)) { throw new UnknownAccountException('賬戶不存在!'); } return new SimpleAuthenticationInfo(username, '123', getName()); }}

在 Realm 中實(shí)現(xiàn)簡單的認(rèn)證操作即可，不做授權(quán)，授權(quán)的具體寫法和 SSM 中的 Shiro 一樣，不贅述。這里的認(rèn)證表示用戶名必須是 javaboy ，用戶密碼必須是 123 ，滿足這樣的條件，就能登錄成功！

配置 Shiro

接下來進(jìn)行 Shiro 的配置：

@Configurationpublic class ShiroConfig { @Bean MyRealm myRealm() { return new MyRealm(); } @Bean SecurityManager securityManager() { DefaultWebSecurityManager manager = new DefaultWebSecurityManager(); manager.setRealm(myRealm()); return manager; } @Bean ShiroFilterFactoryBean shiroFilterFactoryBean() { ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean(); bean.setSecurityManager(securityManager()); bean.setLoginUrl('/login'); bean.setSuccessUrl('/index'); bean.setUnauthorizedUrl('/unauthorizedurl'); Map<String, String> map = new LinkedHashMap<>(); map.put('/doLogin', 'anon'); map.put('/**', 'authc'); bean.setFilterChainDefinitionMap(map); return bean; }}

在這里進(jìn)行 Shiro 的配置主要配置 3 個(gè) Bean ：

首先需要提供一個(gè) Realm 的實(shí)例。 需要配置一個(gè) SecurityManager，在 SecurityManager 中配置 Realm。 配置一個(gè) ShiroFilterFactoryBean ，在 ShiroFilterFactoryBean 中指定路徑攔截規(guī)則等。 配置登錄和測試接口。

其中，ShiroFilterFactoryBean 的配置稍微多一些，配置含義如下：

setSecurityManager 表示指定 SecurityManager。 setLoginUrl 表示指定登錄頁面。 setSuccessUrl 表示指定登錄成功頁面。 接下來的 Map 中配置了路徑攔截規(guī)則，注意，要有序。

這些東西都配置完成后，接下來配置登錄 Controller:

@RestControllerpublic class LoginController { @PostMapping('/doLogin') public void doLogin(String username, String password) { Subject subject = SecurityUtils.getSubject(); try { subject.login(new UsernamePasswordToken(username, password)); System.out.println('登錄成功!'); } catch (AuthenticationException e) { e.printStackTrace(); System.out.println('登錄失敗!'); } } @GetMapping('/hello') public String hello() { return 'hello'; } @GetMapping('/login') public String login() { return 'please login!'; }}

測試時(shí)，首先訪問 /hello 接口，由于未登錄，所以會自動跳轉(zhuǎn)到 /login 接口：

然后調(diào)用 /doLogin 接口完成登錄：

再次訪問 /hello 接口，就可以成功訪問了：

使用 Shiro Starter

上面這種配置方式實(shí)際上相當(dāng)于把 SSM 中的 XML 配置拿到 Spring Boot 中用 Java 代碼重新寫了一遍，除了這種方式之外，我們也可以直接使用 Shiro 官方提供的 Starter 。

創(chuàng)建工程，和上面的一樣

創(chuàng)建成功后，添加 shiro-spring-boot-web-starter ，這個(gè)依賴可以代替之前的 shiro-web 和 shiro-spring 兩個(gè)依賴，pom.xml 文件如下：

<dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.4.0</version> </dependency></dependencies>創(chuàng)建 Realm

這里的 Realm 和前面的一樣，我就不再贅述。

配置 Shiro 基本信息

接下來在 application.properties 中配置 Shiro 的基本信息：

shiro.sessionManager.sessionIdCookieEnabled=trueshiro.sessionManager.sessionIdUrlRewritingEnabled=trueshiro.unauthorizedUrl=/unauthorizedurlshiro.web.enabled=trueshiro.successUrl=/indexshiro.loginUrl=/login

配置解釋：

第一行表示是否允許將sessionId 放到 cookie 中 第二行表示是否允許將 sessionId 放到 Url 地址攔中 第三行表示訪問未獲授權(quán)的頁面時(shí)，默認(rèn)的跳轉(zhuǎn)路徑 第四行表示開啟 shiro 第五行表示登錄成功的跳轉(zhuǎn)頁面 第六行表示登錄頁面

配置 ShiroConfig

@Configurationpublic class ShiroConfig { @Bean MyRealm myRealm() { return new MyRealm(); } @Bean DefaultWebSecurityManager securityManager() { DefaultWebSecurityManager manager = new DefaultWebSecurityManager(); manager.setRealm(myRealm()); return manager; } @Bean ShiroFilterChainDefinition shiroFilterChainDefinition() { DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition(); definition.addPathDefinition('/doLogin', 'anon'); definition.addPathDefinition('/**', 'authc'); return definition; }}

這里的配置和前面的比較像，但是不再需要 ShiroFilterFactoryBean 實(shí)例了，替代它的是 ShiroFilterChainDefinition ，在這里定義 Shiro 的路徑匹配規(guī)則即可。

這里定義完之后，接下來的登錄接口定義以及測試方法都和前面的一致，我就不再贅述了。大家可以參考上文。

總結(jié)

本文主要向大家介紹了 Spring Boot 整合 Shiro 的兩種方式，一種是傳統(tǒng)方式的 Java 版，另一種則是使用 Shiro 官方提供的 Starter，兩種方式

更多關(guān)于Spring Boot技巧請查看下面的相關(guān)鏈接