一、前言
我们在学习springboot的时候说过,要完成某项功能,引入一些依赖,我们第一反应就是这个功能看看有没有对应的starter的依赖,因为引入了对应的starter之后可以帮我们完成自动装配的功能.
其实Shiro是有提供starter的依赖的,但是在官网的文档中好像没找到对应的文档说明(有找到的同学可以告知我一下),最后是在github中找到shiro对springboot的的支持.
github地址:
https://github.com/apache/shiro/tree/master/support/spring-boot/spring-boot-web-starter
有了这个starter我们整合起来就非常方便了.
二、回顾Spring整合Shiro的步骤
我们先回顾一下之前我们在没有使用springboot的环境下如何配置shiro
- (1) 需要在pom.xml添加shiro相关的依赖包.
<!--Shiro核心依赖-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.2</version>
</dependency>
<!--Shiro中Web相关的支持-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>1.2.2</version>
</dependency>
<!--Shiro与Spring整合-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.2.2</version>
</dependency>
- (2) 在web.xml中配置ShiroFilter过滤器,拦截用户的请求.
<!-- shiro过虑器,DelegatingFilterProx会从spring容器中找shiroFilter -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
- (3) 创建applicationContext-shiro.xml关于Shiro和Spring整合的配置文件,需要配置如下信息:
- 自定义Realm
- 安全管理器SecurityManager
- 处理请求的ShiroFilterFactoryBean
配置如下:
<!-- 自定义Realm -->
<bean id="userRealm" class="cn.lanxw.wms.realm.UserRealm"/>
<!-- 配置安全管理器SecurityManager -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="userRealm"/>
</bean>
<!-- 定义ShiroFilter -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/login"/>
<property name="successUrl" value="/main"/>
<property name="unauthorizedUrl" value="/WEB-INF/views/common/nopermission.ftl"/>
<property name="filterChainDefinitions">
<value>
/js/**=anon
/images/**=anon
/style/**=anon
/logout=logout
/**=authc
</value>
</property>
</bean>
- (4) 如果还需要使用Shiro注解完成权限控制,还需要在配置文件中添加如下配置:
<!-- 开启aop,使用CGlib基于继承的动态代理 -->
<aop:config proxy-target-class="true"></aop:config>
<!-- 开启shiro注解支持 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager" />
</bean>
并在控制器方法上使用 @RequiresPermissions 注解,表示该方法是需要权限控制的.
@RequestMapping("/employee")
@RequiresPermissions("employee:page")
public String employeePage(){
return "employee/list";
}
使用了Shiro注解控制权限之后,当登陆用户没有权限的时候,默认会抛出AuthorizationException 异常.我们会写一个控制器增强类,来对控制器中抛出的异常进行统一的管理.
//对所有的Controller做增强
@ControllerAdvice
public class ErrorAdvice {
//需要捕获的异常
@ExceptionHandler(AuthorizationException.class)
public String handlerException(){
//处理没有权限的时候的逻辑 (TODO)
return "nopermission";//跳转到没有权限的页面.
}
}
三、SpringBoot整合Shiro
我们需要导入springboot中关于shiro的starter的依赖,里面已经配置好shiro相关的bean信息.具体帮我们创建了什么bean,可以看shiro-spring-boot-web-start-1.4.0.jar/META-INF/spring.factories中所配置的配置类.
我们只需要配置少了的信息就可以完成springboot和shiro的集成.
步骤:
1.在pom.xml文件中添加springboot对shiro支持的依赖.
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring-boot-web-starter</artifactId>
<version>1.4.0</version>
</dependency>
2.在application.properties中添加如下配置.
server.port=8088
#shiro登录页面的地址
shiro.loginUrl=/login
#登录成功后主页面的地址
shiro.successUrl=/main
#配置权限时候的登陆地址
shiro.unauthorizedUrl=/nopermission
3.在启动类中配置安全管理器DefaultWebSecurityManager对象和请求拦截规则ShiroFilterChainDefinition对象.配置如下:
package cn.lanxw.shiro;
import cn.lanxw.shiro.realm.UserRealm;
import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.context.annotation.Bean;
import sun.security.krb5.Realm;
import java.util.List;
@SpringBootApplication
public class BootApplication {
/*
创建安全管理器对象,关联自定义Realm
*/
@Bean
public DefaultWebSecurityManager securityManager(UserRealm userRealm){
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(userRealm);
return securityManager;
}
/**
* 定义拦截的规则
* @return
*/
@Bean
public ShiroFilterChainDefinition shiroFilterChainDefinition(){
DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
//浏览器标签页的图标放行.
chainDefinition.addPathDefinition("/**/favicon.ico","anon");
//静态资源放行
chainDefinition.addPathDefinition("/js/**","anon");
chainDefinition.addPathDefinition("/html/**","anon");
chainDefinition.addPathDefinition("/css/**","anon");
//剩下的资源都需要登录才能访问
chainDefinition.addPathDefinition("/**","authc");
return chainDefinition;
}
public static void main(String[] args) {
SpringApplication.run(BootApplication.class, args);
}
}
到这步其实springboot和shiro就已经整合完毕了,其他的该怎么配就怎么配.
其他:关于SpringBoot整合Shiro的简易代码我上传到gitHub了,有需要的同学可以自行下载.
https://github.com/javalanxiongwei/springboot-shiro
