关注后，后台回复 java ，领取松哥为你精心准备的技术干货！

在 Spring Boot 中做权限管理，一般来说，主流的方案是 Spring Security ，但是，仅仅从技术角度来说，也可以使用 Shiro。

今天松哥就来和大家聊聊 Spring Boot 整合 Shiro 的话题！

一般来说，Spring Security 和 Shiro 的比较如下：

1. Spring Security 是一个重量级的安全管理框架；Shiro 则是一个轻量级的安全管理框架

2. Spring Security 概念复杂，配置繁琐；Shiro 概念简单、配置简单

3. Spring Security 功能强大；Shiro 功能简单

4. ...

虽然 Shiro 功能简单，但是也能满足大部分的业务场景。所以在传统的 SSM 项目中，一般来说，可以整合 Shiro。

在 Spring Boot 中，由于 Spring Boot 官方提供了大量的非常方便的开箱即用的 Starter ，当然也提供了 Spring Security 的 Starter ，使得在 Spring Boot 中使用 Spring Security 变得更加容易，甚至只需要添加一个依赖就可以保护所有的接口，所以，如果是 Spring Boot 项目，一般选择 Spring Security 。

这只是一个建议的组合，单纯从技术上来说，无论怎么组合，都是没有问题的。

在 Spring Boot 中整合 Shiro ，有两种不同的方案：

1. 第一种就是原封不动的，将 SSM 整合 Shiro 的配置用 Java 重写一遍。

2. 第二种就是使用 Shiro 官方提供的一个 Starter 来配置，但是，这个 Starter 并没有简化多少配置。

原生的整合

• 创建项目

创建一个 Spring Boot 项目，只需要添加 Web 依赖即可：

项目创建成功后，加入 Shiro 相关的依赖，完整的 pom.xml 文件中的依赖如下：

1. <dependencies>

2. <dependency>

3. <groupId>org.springframework.boot</groupId>

4. <artifactId>spring-boot-starter-web</artifactId>

5. </dependency>

6. <dependency>

7. <groupId>org.apache.shiro</groupId>

8. <artifactId>shiro-web</artifactId>

9. <version>1.4.0</version>

10. </dependency>

11. <dependency>

12. <groupId>org.apache.shiro</groupId>

13. <artifactId>shiro-spring</artifactId>

14. <version>1.4.0</version>

15. </dependency>

16. </dependencies>

• 创建 Realm

接下来我们来自定义核心组件 Realm：

1. public class MyRealm extends AuthorizingRealm {

2. @Override

3. protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

4. return null;

5. }

6. @Override

7. protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

8. String username = (String) token.getPrincipal();

9. if (!"javaboy".equals(username)) {

10. throw new UnknownAccountException("账户不存在!");

11. }

12. return new SimpleAuthenticationInfo(username, "123", getName());

13. }

14. }

在 Realm 中实现简单的认证操作即可，不做授权，授权的具体写法和 SSM 中的 Shiro 一样，不赘述。这里的认证表示用户名必须是 javaboy ，用户密码必须是 123 ，满足这样的条件，就能登录成功！

• 配置 Shiro

接下来进行 Shiro 的配置：

1. @Configuration

2. public class ShiroConfig {

3. @Bean

4. MyRealm myRealm() {

5. return new MyRealm();

6. }

7. 
   

8. @Bean

9. SecurityManager securityManager() {

10. DefaultWebSecurityManager manager = new DefaultWebSecurityManager();

11. manager.setRealm(myRealm());

12. return manager;

13. }

14. 
    

15. @Bean

16. ShiroFilterFactoryBean shiroFilterFactoryBean() {

17. ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();

18. bean.setSecurityManager(securityManager());

19. bean.setLoginUrl("/login");

20. bean.setSuccessUrl("/index");

21. bean.setUnauthorizedUrl("/unauthorizedurl");

22. Map<String, String> map = new LinkedHashMap<>();

23. map.put("/doLogin", "anon");

24. map.put("/**", "authc");

25. bean.setFilterChainDefinitionMap(map);

26. return bean;

27. }

28. }

在这里进行 Shiro 的配置主要配置 3 个 Bean ：

1. 首先需要提供一个 Realm 的实例。

2. 需要配置一个 SecurityManager，在 SecurityManager 中配置 Realm。

3. 配置一个 ShiroFilterFactoryBean ，在 ShiroFilterFactoryBean 中指定路径拦截规则等。

4. 配置登录和测试接口。

其中，ShiroFilterFactoryBean 的配置稍微多一些，配置含义如下：

• setSecurityManager 表示指定 SecurityManager。

• setLoginUrl 表示指定登录页面。

• setSuccessUrl 表示指定登录成功页面。

• 接下来的 Map 中配置了路径拦截规则，注意，要有序。

这些东西都配置完成后，接下来配置登录 Controller:

1. @RestController

2. public class LoginController {

3. @PostMapping("/doLogin")

4. public void doLogin(String username, String password) {

5. Subject subject = SecurityUtils.getSubject();

6. try {

7. subject.login(new UsernamePasswordToken(username, password));

8. System.out.println("登录成功!");

9. } catch (AuthenticationException e) {

10. e.printStackTrace();

11. System.out.println("登录失败!");

12. }

13. }

14. @GetMapping("/hello")

15. public String hello() {

16. return "hello";

17. }

18. @GetMapping("/login")

19. public String login() {

20. return "please login!";

21. }

22. }

测试时，首先访问 /hello 接口，由于未登录，所以会自动跳转到 /login 接口：

然后调用 /doLogin 接口完成登录：

再次访问 /hello 接口，就可以成功访问了：

使用 Shiro Starter

上面这种配置方式实际上相当于把 SSM 中的 XML 配置拿到 Spring Boot 中用 Java 代码重新写了一遍，除了这种方式之外，我们也可以直接使用 Shiro 官方提供的 Starter 。

• 创建工程，和上面的一样

创建成功后，添加 shiro-spring-boot-web-starter ，这个依赖可以代替之前的 shiro-web 和 shiro-spring 两个依赖，pom.xml 文件如下：

1. <dependencies>

2. <dependency>

3. <groupId>org.springframework.boot</groupId>

4. <artifactId>spring-boot-starter-web</artifactId>

5. </dependency>

6. <dependency>

7. <groupId>org.apache.shiro</groupId>

8. <artifactId>shiro-spring-boot-web-starter</artifactId>

9. <version>1.4.0</version>

10. </dependency>

11. </dependencies>

• 创建 Realm

这里的 Realm 和前面的一样，我就不再赘述。

• 配置 Shiro 基本信息

接下来在 application.properties 中配置 Shiro 的基本信息：

1. shiro.sessionManager.sessionIdCookieEnabled=true

2. shiro.sessionManager.sessionIdUrlRewritingEnabled=true

3. shiro.unauthorizedUrl=/unauthorizedurl

4. shiro.web.enabled=true

5. shiro.successUrl=/index

6. shiro.loginUrl=/login

配置解释：

1. 第一行表示是否允许将sessionId 放到 cookie 中

2. 第二行表示是否允许将 sessionId 放到 Url 地址拦中

3. 第三行表示访问未获授权的页面时，默认的跳转路径

4. 第四行表示开启 shiro

5. 第五行表示登录成功的跳转页面

6. 第六行表示登录页面

• 配置 ShiroConfig

1. @Configuration

2. public class ShiroConfig {

3. @Bean

4. MyRealm myRealm() {

5. return new MyRealm();

6. }

7. @Bean

8. DefaultWebSecurityManager securityManager() {

9. DefaultWebSecurityManager manager = new DefaultWebSecurityManager();

10. manager.setRealm(myRealm());

11. return manager;

12. }

13. @Bean

14. ShiroFilterChainDefinition shiroFilterChainDefinition() {

15. DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();

16. definition.addPathDefinition("/doLogin", "anon");

17. definition.addPathDefinition("/**", "authc");

18. return definition;

19. }

20. }

这里的配置和前面的比较像，但是不再需要 ShiroFilterFactoryBean 实例了，替代它的是 ShiroFilterChainDefinition ，在这里定义 Shiro 的路径匹配规则即可。

这里定义完之后，接下来的登录接口定义以及测试方法都和前面的一致，我就不再赘述了。大家可以参考上文。

总结

本文主要向大家介绍了 Spring Boot 整合 Shiro 的两种方式，一种是传统方式的 Java 版，另一种则是使用 Shiro 官方提供的 Starter，两种方式，不知道大家有没有学会呢？

本文案例，我已经上传到 GitHub ，欢迎大家 star：https://github.com/lenve/javaboy-code-samples

关于本文，有问题欢迎留言讨论。