一、什么是Shiro?
Shiro是一个强大、易用的Java安全框架,用于身份验证、授权、密码和会话管理。Shiro的优点是简单直接,能够轻松地集成到任何Java应用程序中。
二、为什么要使用Spring Boot集成Shiro?
Spring Boot是一个快速开发框架,它提供了很多内置的特性,包括自动配置、自动装配、功能强大的监视和管理功能等。集成Shiro可以让Spring Boot应用程序更加安全、可靠和易于维护。
三、Spring Boot集成Shiro的步骤
1. 添加依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring-boot-starter</artifactId>
<version>1.6.0</version>
</dependency>
2. 配置Shiro
在application.yml中添加以下配置:
shiro:
filter-chain-definitions:
/login: anon
/logout: anon
/**: authc
login-url: /login
success-url: /index
unauthorized-url: /unauthorized
这里定义了Shiro的过滤器链和一些默认的URL。/login和/logout是匿名访问的,其他的URL需要身份验证。
3. 自定义ShiroRealm
创建一个名为MyRealm的类:
public class MyRealm extends AuthorizingRealm {
@Autowired
private UserService userService;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
User user = (User) principals.getPrimaryPrincipal();
for (Role role : user.getRoles()) {
authorizationInfo.addRole(role.getRoleName());
for (Permission permission : role.getPermissions()) {
authorizationInfo.addStringPermission(permission.getPermissionName());
}
}
return authorizationInfo;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
UsernamePasswordToken upToken = (UsernamePasswordToken) token;
String username = upToken.getUsername();
User user = userService.findByUsername(username);
if (user == null) {
throw new UnknownAccountException("用户名或密码错误!");
}
return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
}
}
通过继承AuthorizingRealm和实现doGetAuthenticationInfo和doGetAuthorizationInfo方法,我们就可以定制化ShiroRealm了。
4. 自定义密码加密方式
创建一个名为MyHashedCredentialsMatcher的类:
public class MyHashedCredentialsMatcher extends HashedCredentialsMatcher {
public MyHashedCredentialsMatcher() {
super.setHashAlgorithmName("SHA-256"); // 哈希算法
super.setHashIterations(5); // 哈希次数
super.setStoredCredentialsHexEncoded(true); // 存储16进制格式
}
}
通过继承HashedCredentialsMatcher,我们可以自定义密码加密方式。在MyRealm类中重写该方法:
@Override
public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
HashedCredentialsMatcher hashedCredentialsMatcher = new MyHashedCredentialsMatcher();
super.setCredentialsMatcher(hashedCredentialsMatcher);
}
5. 配置ShiroFilter
在@Configuration注解的配置类中添加以下代码:
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") SecurityManager securityManager) {
ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
factoryBean.setSecurityManager(securityManager);
factoryBean.setLoginUrl("/login");
factoryBean.setSuccessUrl("/index");
factoryBean.setUnauthorizedUrl("/unauthorized");
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
filterChainDefinitionMap.put("/login", "anon");
filterChainDefinitionMap.put("/logout", "logout");
filterChainDefinitionMap.put("/static/**", "anon");
filterChainDefinitionMap.put("/favicon.ico", "anon");
filterChainDefinitionMap.put("/**", "authc");
factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return factoryBean;
}
这里我们定义了一个ShiroFilter,设置了默认的登录、成功和未授权的URL,还有过滤器链,即哪些URL需要被验证。通常情况下静态资源,如CSS、JS和图片,是允许匿名访问的。
6. 配置SecurityManager
在@Configuration注解的配置类中添加以下代码:
@Bean
public SecurityManager securityManager(@Qualifier("authRealm") MyRealm authRealm) {
DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
manager.setRealm(authRealm);
manager.setSessionManager(sessionManager());
return manager;
}
@Bean
public SessionManager sessionManager() {
DefaultWebSessionManager manager = new DefaultWebSessionManager();
manager.setGlobalSessionTimeout(30 * 60 * 1000); // 会话过期时间
manager.setDeleteInvalidSessions(true); // 删除无效的会话
return manager;
}
@Bean(name = "authRealm")
public MyRealm authRealm(@Qualifier("hashedCredentialsMatcher") MyHashedCredentialsMatcher hashedCredentialsMatcher) {
MyRealm realm = new MyRealm();
realm.setCredentialsMatcher(hashedCredentialsMatcher); // 密码加密方式
return realm;
}
@Bean(name = "hashedCredentialsMatcher")
public MyHashedCredentialsMatcher hashedCredentialsMatcher() {
return new MyHashedCredentialsMatcher();
}
这里我们定义了一个SecurityManager,启用了我们自己定制的MyRealm,并设置了密码加密方式和会话管理器。会话过期时间可以根据需要自行调整。
四、总结
Spring Boot集成Shiro需要哪些步骤?首先添加依赖,然后配置Shiro、自定义ShiroRealm、自定义密码加密方式、配置ShiroFilter和SecurityManager。
集成Shiro能让我们的Spring Boot应用程序更加安全和可靠,并提供了更多的身份验证、密码和会话管理功能。
原创文章,作者:DJZXU,如若转载,请注明出处:https://www.506064.com/n/343230.html
微信扫一扫 
支付宝扫一扫 