springboot-shiro.zip

《SpringBoot整合Shiro实现权限管理详解》 在现代企业级Web应用开发中，权限管理和认证是不可或缺的重要组成部分。SpringBoot以其简洁、高效的特点成为Java开发者首选的微服务框架，而Apache Shiro则是一个强大且易用的安全管理框架，能够很好地处理用户的身份验证、授权和会话管理。本文将详细介绍如何在SpringBoot项目中集成Shiro，实现一套完整的权限管理系统。 Shiro的核心组件包括：Subject（主体）、SecurityManager（安全管理器）、Realm（领域）和SessionManager（会话管理器）。Subject代表当前操作的用户，SecurityManager是Shiro的中枢，负责协调各个组件工作；Realm是Shiro与应用安全数据源的桥梁，负责从数据库中获取用户身份验证和授权信息；SessionManager则用于管理用户的会话。 集成Shiro到SpringBoot项目的第一步是添加依赖。在`pom.xml`中，我们需要引入SpringBoot的Web和Shiro相关依赖： ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.2</version> </dependency> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>2.1.3</version> </dependency> ``` 接下来，我们需要创建一个自定义的Realm，继承自`AuthorizingRealm`，并重写`doGetAuthenticationInfo`和`doGetAuthorizationInfo`方法，以从数据库中获取用户信息和权限列表： ```java public class CustomRealm extends AuthorizingRealm { //... @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 从token中获取用户名，然后从数据库查询用户信息 // ... return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); } @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 从principals中获取用户名，然后从数据库查询角色和权限 // ... SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); info.setRoles(Arrays.asList(user.getRoles())); info.setStringPermissions(Arrays.asList(user.getPermissions())); return info; } } ``` 配置Shiro，需要在SpringBoot的配置类中设置SecurityManager，并注册刚刚创建的 Realm： ```java @Configuration public class ShiroConfig { @Bean public SecurityManager securityManager(CustomRealm customRealm) { DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager(customRealm); return defaultSecurityManager; } @Bean public CustomRealm customRealm() { return new CustomRealm(); } // ... } ``` 我们可以在Controller层使用Shiro的注解来实现权限控制，如`@RequiresAuthentication`、`@RequiresRoles`和`@RequiresPermissions`： ```java @RestController public class UserController { @GetMapping("/users") @RequiresAuthentication public List<User> getUsers() { // 获取用户列表 // ... } @GetMapping("/admin/users") @RequiresRoles("admin") public List<User> getAdminUsers() { // 获取管理员用户列表 // ... } @GetMapping("/delete/user/{id}") @RequiresPermissions("user:delete") public String deleteUser(@PathVariable Long id) { // 删除用户 // ... } } ``` 以上就是SpringBoot结合Shiro实现权限管理的基本步骤。通过这种方式，我们可以方便地进行用户登录验证、角色权限分配以及URL级别的访问控制。当然，实际项目中可能还需要考虑更多细节，比如会话管理、记住我功能、拦截器配置等，但这些都属于Shiro的进阶用法，可以在此基础上进一步扩展。希望这个教程对你的项目有所帮助，如果有任何疑问或建议，欢迎随时交流。