Shiro学习（三）：shiro整合springboot

一、Shiro整合到Springboot步骤

1、准备SpringBoot 环境，这一步省略

2、引入Shiro 依赖

因为是Web 项目，所以需要引入web 相关依赖 shiro-spring-boot-web-starter，如下所示：

3、准备Realm

因为实例化 ShiroFilterFactoryBean 时需要注入 SecurityManager 的bean，而

SecurityManager 实例化时需要绑定Realm。

在真正工作中，我们一般需要从数据库中查询用户信息、角色信息和用户权限信息，

即一般自定义Relam，自定义Realm如下：

@Component
public class CustomRealm extends AuthorizingRealm {@Autowiredprivate UserService userService;@Autowiredprivate RoleService roleService;@Autowiredprivate PermissionService permissionService;{//用于密码加密和比对HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();matcher.setHashAlgorithmName("MD5");matcher.setHashIterations(1024);this.setCredentialsMatcher(matcher);}/*** 授权* todo 注意：*    1、授权是在认证之后的操作，授权方法需要用到认证方法返回的 AuthenticationInfo  中的用户信息*    2、该方法是在父类 AuthorizingRealm.getAuthorizationInfo() 方法中调用的，在 getAuthorizationInfo()*          方法中，回先从缓存中查询权限信息，若缓存中数据不存在，再执行改当前方法从数据库中查询权限数据*          针对这个逻辑，我们可以扩展Shiro 把数据放到缓存中（一般放到redis 中）*** @param principals  即 doGetAuthenticationInfo 方法返回的 AuthenticationInfo 中的用户信息（这里是User ）* @return*/@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {System.out.println("查询数据库，根据用户信息查询角色和权限信息~~~~~~~~~~~~~~~~~~~~~~~~");//0、判断是否完成认证Subject subject = SecurityUtils.getSubject();if(subject == null || subject.isAuthenticated())return null;//1. 获取认证用户的信息User user = (User) principals.getPrimaryPrincipal();//2. 基于用户信息获取当前用户拥有的角色。Set<Role> roleSet = roleService.findRolesByUid(user.getId());Set<Integer> roleIdSet = new HashSet<>();Set<String> roleNameSet = new HashSet<>();for (Role role : roleSet) {roleIdSet.add(role.getId());roleNameSet.add(role.getRoleName());}//3. 基于用户拥有的角色查询权限信息Set<Permission> permSet = permissionService.findPermsByRoleSet(roleIdSet);Set<String> permNameSet = new HashSet<>();for (Permission permission : permSet) {permNameSet.add(permission.getPermName());}//4. 声明AuthorizationInfo对象作为返回值，传入角色信息和权限信息SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();info.setRoles(roleNameSet);info.setStringPermissions(permNameSet);//5. 返回return info;}/*** 认证 用户执行认证操作传入的用户名和密码* 只需要完成用户名校验即可，密码校验由Shiro内部完成** @param token* @return* @throws AuthenticationException*/@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {//1、获取用户名称String userName = (String) token.getPrincipal();//2、判断用户名称是否为空if(StringUtils.isEmpty(userName)){// 返回null，会默认抛出一个异常，org.apache.shiro.authc.UnknownAccountExceptionreturn null;}//4、如果用户名称不为空，则基于用户名称去查询用户信息//这一步一般是自己的UserService 服务//模拟查询用户信息User user = userService.findByUsername(userName);if(user == null){return null;}//5、构建 AuthenticationInfo 对象，并填充用户信息/*** todo 注意：*    SimpleAuthenticationInfo 第一个参数是用户信息，第二个参数是用户密码，第三个参数是Realm名称（这个参数没有意义）*/SimpleAuthenticationInfo info =  new SimpleAuthenticationInfo(user,user.getPassword(),"CustomRealm!!!");//设置盐info.setCredentialsSalt(ByteSource.Util.bytes(user.getSalt()));//返回 AuthenticationInfo 对象return info;}}

4、准备Shiro相关的配置文件

定义Shiro 配置文件，用于实例化 SecurityManager 对象与配置拦截器链。

虽然SpringBoot 自动装配机制会自动装配 SecurityManager，但自动装载 SecurityManager 时

只会注入 Shiro 自身默认提供的Relam，这里需要把自定义的Realm注入到 SecurityManager

，所以需要我们手动装载 SecurityManager 去覆盖Springboot 自动装载的 SecurityManager。

另外在 shiro-spring-boot-web-starter 包下的文件 spring.factores 中的配置类

ShiroWebAutoConfiguration中 springboot自动装配的拦截器链中只配置了一种请求，

如图所示：

所以我们也需要在自定义的shiro配置文件中，手动配置我们需要的拦截器链。

shiro配置文件如下：

/***************************************************** Shiro 配置类* 由前边 Shiro 与Spring Web 整合可以发现，Shiro与Spring 整合的核心是向spring中注入* ShiroFilterFactoryBean；但在spring boot 中，spring boot 会自动将 ShiroFilterFactoryBean* 注入到spring 中（在 AbstractShiroWebFilterConfiguration 中完成的）* 在 AbstractShiroWebFilterConfiguration 中发现，实例化 ShiroFilterFactoryBean 时需要* 提供 SecurityManager（使用的是  DefaultWebSecurityManager） 和 ShiroFilterChainDefinition（拦截器链）* SecurityManager 实例化需要提供 Realm ,** 定义 Shiro 配置类，用于实例化  DefaultWebSecurityManager 和 ShiroFilterChainDefinition** @author lbf* @date ****************************************************/
@Configuration
public class ShiroConfig {/*** 注入* 实例化 WebSecurityManager 时需要用到Releam bean，所以在这之前 Releam 一定要存在* @param realm* @return*/@Beanpublic DefaultWebSecurityManager securityManager(CustomRealm realm, SessionManager sessionManager){DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(realm);return securityManager;}/*** 添加拦截器链* @return*/@Beanpublic ShiroFilterChainDefinition filterChainDefinition(){DefaultShiroFilterChainDefinition filterChainDefinition = new DefaultShiroFilterChainDefinition();//添加拦截器信息Map<String, String> filterChainDefinitionMap = new LinkedHashMap();/*** anon 和 authc 都是Shiro 自带的过滤器* Shiro 自带的过滤器可以在枚举 DefaultFilter 中查看*///anon: 放行filterChainDefinitionMap.put("/login.html","anon");filterChainDefinitionMap.put("/user/**","anon");//authc：认证之后放行filterChainDefinitionMap.put("/**","authc");filterChainDefinition.addPathDefinitions(filterChainDefinitionMap);return filterChainDefinition;}}

5、测试

二、Shiro 授权方式

Shiro 常用的授权方式有2种，即

1）基于连接器链的权限角色校验，就是上边配置拦截器链的方式；将需要校验的请求

配置到拦截器链 ShiroFilterChainDefinition 种，如下图所示：

2）基于注解的权限角色校验

2、基于注解的权限角色校验

Shiro 提供了基于注解的方式来简化权限和角色的校验，可以在类或方法上直接声明所需要

的角色或权限；

注解进行权限或角色校验时，是基于对Controller类进行代理，在前置增强中对请求进行权限

校验，是在拦截器链方式的后边执行。

Shiro 提供了如下几个注解用于权限和角色校验

1）@RequiresAuthentication

要求当前 Subject 已经通过认证（即用户已登录）

2）@RequiresUser

要求当前 Subject 是一个应用程序用户（已认证或通过记住我功能登录）

3）@RequiresGuest

要求当前 Subject 是一个"访客"，即未认证或未通过记住我登录

4）@RequiresRoles

要求当前 Subject 拥有指定的角色，即角色校验，常用

5）@RequiresPermissions

要求当前 Subject 拥有指定的权限，即权限校验，常用

示例代码如下：

@RestController
@RequestMapping("/item")
public class ItemController {/*** 基于过滤器链的角色、权限校验* @return*/@GetMapping("/select")public String select(){return "item Select!!!";}@GetMapping("/delete")public String delete(){return "item Delete!!!";}/*** 基于注解的角色校验* @return*/@GetMapping("/update")//默认多个角色是and 的关系@RequiresRoles(value = {"超级管理员","运营"})public String update(){return "item Update!!!";}@GetMapping("/insert")@RequiresRoles(value = {"超级管理员","运营"},logical = Logical.OR)public String insert(){return "item Update!!!";}/*** 基于注解的权限校验* logical=用于指定多个权限是同时满足，还是满足其中一个，默认是and* Logical.OR含义是：只有用于 admin 权限或del权限的用户才能执行删除操作* @return*/@GetMapping("/update")@RequiresPermissions(value =  {"item:admin","item:del"},logical = Logical.OR)public String del(){return "item del !!!";}
}

3、基于注解方式的权限角色校验要注意的点

1）基于注解的方式与基于配置链的方式是可以配合使用的，并不冲突，基于配置的方式在

拦截器链之后执行。

2）注解只能用在 Spring 管理的 Bean 上（如 Controller、Service 等），对于静态方法

或非 Spring 管理的类，注解不会生效

3）当权限校验失败时，Shiro 会抛出相应的异常，我们需要自己配置异常处理器处理这些异常

，如：通过 @RestControllerAdvice，@ControllerAdvice

示例代码如下：

@RestControllerAdvice(basePackages = "com.msb.controller") //指定要处理异常的包路径
public class AuthExceptionHandler {//处理授权异常@ExceptionHandler(AuthorizationException.class)public ResponseEntity<String> handleAuthorizationException(AuthorizationException e) {return ResponseEntity.status(HttpStatus.FORBIDDEN).body("无权访问: " + e.getMessage());}//处理认证异常@ExceptionHandler(AuthenticationException.class)public ResponseEntity<String> handleAuthenticationException(AuthenticationException e) {return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("认证失败: " + e.getMessage());}
}

三、RolesAuthorizationFilter 分析

以默认的角色拦截器 RolesAuthorizationFilter 分析下 Shiro 种是如何进行角色认证的

1）角色校验方法 RolesAuthorizationFilter.isAccessAllowed

//mappedValue: 需要校验的角色列表，即在连接器链种指定的角色列表
public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {//获取请求主体 Subject，即用户Subject subject = this.getSubject(request, response);//需要校验的角色列表String[] rolesArray = (String[])((String[])mappedValue);if (rolesArray != null && rolesArray.length != 0) {Set<String> roles = CollectionUtils.asSet(rolesArray);//调用 Subject.hasAllRoles 校验用户是否具有所有的 mappedValue 角色return subject.hasAllRoles(roles);} else {return true;}}

2）AuthorizingRealm.hasAllRoles

从Subject.hasAllRoles 方法一直点进去，如下所示：

Subject—>DelegatingSubject.hasAllRoles —> Authorizer.hasAllRoles

—> AuthorizingRealm.hasAllRoles

一直到 AuthorizingRealm.hasAllRoles 方法，在该方法种调用了getAuthorizationInfo

方法来获取 AuthorizationInfo，如下图所示：

3）AuthorizingRealm.getAuthorizationInfo 方法

在 getAuthorizationInfo 方法种，我们重点看下 doGetAuthorizationInfo 方法；

到这里是不是有点眼熟，doGetAuthorizationInfo是一个抽象方法，它有多个实现，

其中有一个实现就是上边我们自定义的CustomRealm中的方法

如下图所示：

四、自定义拦截器

在工作中Shiro 默认提供的校验拦截器往往不能满足我们实际的需要，这就需要我们自定义

Shiro拦截器，如：上边RolesAuthorizationFilter 是校验用户具有角色列表中的所有角色才

校验通过，而在工作中常常有 “存在一个角色在角色列表中就行” 的场景；

1、自定义Shiro拦截器解决 “存在一个角色在角色列表中就行” 的场景

自定义过滤器需要继承类 AuthorizationFilter，并重写 isAccessAllowed 方法

示例代码如下：

public class RolesOrAuthorizationFilter extends AuthorizationFilter {/*** 用户角色校验* @param request* @param response* @param mappedValue   指定的角色列表，* @return* @throws Exception*/@Overrideprotected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {//获取校验主题，可以认为就是用户信息Subject subject = this.getSubject(request, response);/*** 获取用户指定的角色列表，就是在 初始化 ShiroFilterChainDefinition过程中指定的角色列表* （如：roles[超级管理员,运营]，[]中的内容）*/String[] rolesArray = (String[])((String[])mappedValue);if(rolesArray != null && rolesArray.length > 0){for (String role:rolesArray){//有一个角色校验通过，则表示校验通过，返回trueif(subject.hasRole(role)){return true;}}}else {return true;}return false;}
}

2、将自定义Filter 交给Shiro 管理

自定义的角色校验器（过滤器）如何交给Shiro管理？

由配置类 ShiroWebFilterConfiguration 初始化 ShiroFilterFactoryBean 时可以发现，过滤器

是在 ShiroFilterFactoryBean 实例化时交给 ShiroFilterFactoryBean 管理的；到这里就明白

了，我们可以手动初始化 ShiroFilterFactoryBean 来覆盖springboot 的自动初始化

ShiroFilterFactoryBean，并把自定义的 RolesOrAuthorizationFilter 过滤器交给

ShiroFilterFactoryBean 管理。

在配置类ShiroConfig 中手动注入ShiroFilterFactoryBean 代码如下：

//手动注入  ShiroFilterFactoryBean，覆盖 Springboot 自动装载ShiroFilterFactoryBean；/*** 初始化一些url* ShiroFilterFactoryBean 实例化需要的url，这些url可以在配置文件中配置*///登录url@Value("#{ @environment['shiro.loginUrl'] ?: '/login.jsp' }")protected String loginUrl;//登录成功后跳转url@Value("#{ @environment['shiro.successUrl'] ?: '/' }")protected String successUrl;//校验失败的url@Value("#{ @environment['shiro.unauthorizedUrl'] ?: null }")protected String unauthorizedUrl;/*** 手动注入 ShiroFilterFactoryBean，覆盖 Springboot 自动装载ShiroFilterFactoryBean；* 用于把自定义的过滤器交给 Shiro 管理* @param securityManager* @param filterChainDefinition  过滤器链* @return*/@Beanpublic ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager,ShiroFilterChainDefinition filterChainDefinition){//创建 ShiroFilterFactoryBeanShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();//设置大量的urlfilterFactoryBean.setLoginUrl(this.loginUrl);filterFactoryBean.setSuccessUrl(this.successUrl);filterFactoryBean.setUnauthorizedUrl(this.unauthorizedUrl);//设置安全管理器filterFactoryBean.setSecurityManager(securityManager);//设置过滤器链filterFactoryBean.setFilterChainDefinitionMap(filterChainDefinition.getFilterChainMap());//设置自定义过滤器 ，// todo 注意：这里一定要手动的new出来这个自定义过滤器，如果使用Spring自动注入自定义过滤器，//                    会造成无法获取到Subject//         因为spring 自动注入 自定义过滤器 RolesOrAuthorizationFilter 初始化太早了，而RolesOrAuthorizationFilter//        初始化时需要做一些Shiro处理后，RolesOrAuthorizationFilter 实例才能拿到SubjectfilterFactoryBean.getFilters().put("roleOr",new RolesOrAuthorizationFilter());return filterFactoryBean;}

3、在拦截器链 ShiroFilterChainDefinition 配置使用自定义过滤器

由上边可以知道自定义Shiro 过滤器 RolesOrAuthorizationFilter 的名称是 “roleOr”；

在拦截器链 ShiroFilterChainDefinition 中的配置如下：

@Beanpublic ShiroFilterChainDefinition filterChainDefinition(){DefaultShiroFilterChainDefinition filterChainDefinition = new DefaultShiroFilterChainDefinition();//添加拦截器信息，LinkedHashMap有序Map<String, String> filterChainDefinitionMap = new LinkedHashMap();/*** anon 和 authc 都是Shiro 自带的过滤器* Shiro 自带的过滤器可以在枚举 DefaultFilter 中查看*///anon: 放行filterChainDefinitionMap.put("/login.html","anon");filterChainDefinitionMap.put("/user/**","anon");//使用自定义的过滤器，有一个角色在[超级管理员,运营] 中就校验通过filterChainDefinitionMap.put("/item/select","rolesOr[超级管理员,运营]");//filterChainDefinitionMap.put("/item/select","roles[超级管理员,运营]");filterChainDefinitionMap.put("/item/delete","perms[item:delete,item:insert]");//authc：认证之后放行filterChainDefinitionMap.put("/**","authc");filterChainDefinition.addPathDefinitions(filterChainDefinitionMap);return filterChainDefinition;}