Spring + Shiro 整合的核心要点及详细实现说明

在 Spring 项目中集成 Apache Shiro 可以实现轻量级的安全控制（认证、授权、会话管理等）。以下是 Spring + Shiro 整合的核心要点及详细实现说明：

一、Spring 与 Shiro 整合的核心组件

组件	作用
`ShiroFilterFactoryBean`	创建 Shiro 过滤器链，拦截请求并执行安全规则
`SecurityManager`	Shiro 安全核心，协调 Realm、Session、Cache 等组件
`Realm`	自定义安全数据源（如数据库、LDAP），实现认证和授权逻辑
`LifecycleBeanPostProcessor`	管理 Shiro Bean 的生命周期（如自动调用 `init()` 和 `destroy()`）
`AuthorizationAttributeSourceAdvisor`	启用 Shiro 注解（如 `@RequiresRoles`）的 AOP 支持

二、整合步骤（基于 Spring Boot）

1. 添加依赖

<!-- Shiro 核心 -->
<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring-boot-starter</artifactId><version>1.12.0</version>
</dependency>
<!-- 其他依赖：Spring Web、数据库驱动等 -->

2. 配置 Shiro 核心 Bean

@Configuration
public class ShiroConfig {// 1. 创建 Realm（需自定义）@Beanpublic UserRealm userRealm() {return new UserRealm();  // 继承 AuthorizingRealm}// 2. 配置安全管理器@Beanpublic SecurityManager securityManager(UserRealm realm) {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();securityManager.setRealm(realm);return securityManager;}// 3. 配置 Shiro 过滤器链@Beanpublic ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {ShiroFilterFactoryBean factory = new ShiroFilterFactoryBean();factory.setSecurityManager(securityManager);// 设置登录页和未授权页factory.setLoginUrl("/login");factory.setUnauthorizedUrl("/403");// 定义过滤规则Map<String, String> filterMap = new LinkedHashMap<>();filterMap.put("/static/**", "anon");    // 匿名访问静态资源filterMap.put("/login", "anon");        // 登录页无需认证filterMap.put("/admin/**", "roles[admin]"); // 需要 admin 角色filterMap.put("/**", "authc");          // 其他路径需要认证factory.setFilterChainDefinitionMap(filterMap);return factory;}// 4. 启用 Shiro 注解支持@Beanpublic AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();advisor.setSecurityManager(securityManager);return advisor;}
}

三、自定义 Realm 实现

public class UserRealm extends AuthorizingRealm {@Autowiredprivate UserService userService;// 授权逻辑：获取用户权限信息@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {String username = (String) principals.getPrimaryPrincipal();SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();// 添加角色和权限（从数据库查询）info.setRoles(userService.getUserRoles(username));info.setStringPermissions(userService.getUserPermissions(username));return info;}// 认证逻辑：验证用户身份@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {String username = (String) token.getPrincipal();User user = userService.findByUsername(username);if (user == null) {throw new UnknownAccountException("用户不存在");}return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), ByteSource.Util.bytes(user.getSalt()),  // 使用盐值加密getName());}
}

四、使用 Shiro 注解控制权限

在 Controller 或 Service 层通过注解实现细粒度权限控制：

@Controller
public class AdminController {// 需要 admin 角色才能访问@RequiresRoles("admin")@GetMapping("/admin/dashboard")public String adminDashboard() {return "admin/dashboard";}// 需要 delete 权限才能调用@RequiresPermissions("user:delete")@PostMapping("/user/delete")public String deleteUser(Long id) {// 删除用户逻辑return "redirect:/user/list";}
}

五、Session 管理与缓存

1. 分布式 Session 配置（如 Redis）

@Bean
public RedisSessionDAO redisSessionDAO(RedisTemplate<String, Object> redisTemplate) {RedisSessionDAO dao = new RedisSessionDAO();dao.setRedisTemplate(redisTemplate);return dao;
}@Bean
public SessionManager sessionManager(RedisSessionDAO redisSessionDAO) {DefaultWebSessionManager manager = new DefaultWebSessionManager();manager.setSessionDAO(redisSessionDAO);return manager;
}

2. 缓存配置（EhCache 或 Redis）

@Bean
public CacheManager cacheManager() {return new MemoryConstrainedCacheManager(); // 默认内存缓存// 或使用 EhCache：return new EhCacheManager();
}

六、常见问题与解决

问题	解决方案
权限注解不生效	检查是否启用 `@EnableAspectJAutoProxy` 和 `AuthorizationAttributeSourceAdvisor`
登录后无限重定向	检查 Shiro 过滤器链配置，确保登录页设置为 `anon`
密码加盐不一致	确认 Realm 中 `SimpleAuthenticationInfo` 的盐值与数据库一致
Redis 缓存序列化失败	配置 RedisTemplate 的 Key/Value 序列化器为 `Jackson2JsonRedisSerializer`

七、整合架构图

+----------------+       +----------------+       +----------------+
|   Browser      | <---> | Shiro Filter   | <---> | Spring MVC     |
| (发起请求)      |       | (拦截请求)      |       | (Controller)    |
+----------------+       +----------------+       +----------------+|  ^|  | 调用v  |+----------------+| SecurityManager|| (协调 Realm、Session、Cache) |+----------------+|  ˄v  |+----------------+|   UserRealm    || (自定义认证/授权) |+----------------+

八、总结

优势：Shiro 轻量易用，与 Spring 整合后可通过注解快速实现细粒度权限控制，适合中小型项目。
适用场景：Web 应用安全控制、API 接口鉴权、分布式 Session 管理。
扩展建议：结合 Redis 实现分布式缓存和 Session，提升高并发场景下的性能。

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如若转载，请注明出处：http://www.pswp.cn/diannao/81991.shtml
繁体地址，请注明出处：http://hk.pswp.cn/diannao/81991.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！