在 Spring 项目中集成 Apache Shiro 可以实现轻量级的安全控制(认证、授权、会话管理等)。以下是 Spring + Shiro 整合的核心要点及详细实现说明:
一、Spring 与 Shiro 整合的核心组件
| 组件 | 作用 |
|---|---|
ShiroFilterFactoryBean |
创建 Shiro 过滤器链,拦截请求并执行安全规则 |
SecurityManager |
Shiro 安全核心,协调 Realm、Session、Cache 等组件 |
Realm |
自定义安全数据源(如数据库、LDAP),实现认证和授权逻辑 |
LifecycleBeanPostProcessor |
管理 Shiro Bean 的生命周期(如自动调用 init() 和 destroy()) |
AuthorizationAttributeSourceAdvisor |
启用 Shiro 注解(如 @RequiresRoles)的 AOP 支持 |
二、整合步骤(基于 Spring Boot)
1. 添加依赖
<!-- Shiro 核心 -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring-boot-starter</artifactId>
<version>1.12.0</version>
</dependency>
<!-- 其他依赖:Spring Web、数据库驱动等 -->2. 配置 Shiro 核心 Bean
@Configuration
public class ShiroConfig {
// 1. 创建 Realm(需自定义)
@Bean
public UserRealm userRealm() {
return new UserRealm(); // 继承 AuthorizingRealm
}
// 2. 配置安全管理器
@Bean
public SecurityManager securityManager(UserRealm realm) {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(realm);
return securityManager;
}
// 3. 配置 Shiro 过滤器链
@Bean
public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
ShiroFilterFactoryBean factory = new ShiroFilterFactoryBean();
factory.setSecurityManager(securityManager);
// 设置登录页和未授权页
factory.setLoginUrl("/login");
factory.setUnauthorizedUrl("/403");
// 定义过滤规则
Map<String, String> filterMap = new LinkedHashMap<>();
filterMap.put("/static/**", "anon"); // 匿名访问静态资源
filterMap.put("/login", "anon"); // 登录页无需认证
filterMap.put("/admin/**", "roles[admin]"); // 需要 admin 角色
filterMap.put("/**", "authc"); // 其他路径需要认证
factory.setFilterChainDefinitionMap(filterMap);
return factory;
}
// 4. 启用 Shiro 注解支持
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
advisor.setSecurityManager(securityManager);
return advisor;
}
}三、自定义 Realm 实现
public class UserRealm extends AuthorizingRealm {
@Autowired
private UserService userService;
// 授权逻辑:获取用户权限信息
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
String username = (String) principals.getPrimaryPrincipal();
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
// 添加角色和权限(从数据库查询)
info.setRoles(userService.getUserRoles(username));
info.setStringPermissions(userService.getUserPermissions(username));
return info;
}
// 认证逻辑:验证用户身份
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String username = (String) token.getPrincipal();
User user = userService.findByUsername(username);
if (user == null) {
throw new UnknownAccountException("用户不存在");
}
return new SimpleAuthenticationInfo(
user.getUsername(),
user.getPassword(),
ByteSource.Util.bytes(user.getSalt()), // 使用盐值加密
getName()
);
}
}四、使用 Shiro 注解控制权限
在 Controller 或 Service 层通过注解实现细粒度权限控制:
@Controller
public class AdminController {
// 需要 admin 角色才能访问
@RequiresRoles("admin")
@GetMapping("/admin/dashboard")
public String adminDashboard() {
return "admin/dashboard";
}
// 需要 delete 权限才能调用
@RequiresPermissions("user:delete")
@PostMapping("/user/delete")
public String deleteUser(Long id) {
// 删除用户逻辑
return "redirect:/user/list";
}
}五、Session 管理与缓存
1. 分布式 Session 配置(如 Redis)
@Bean
public RedisSessionDAO redisSessionDAO(RedisTemplate<String, Object> redisTemplate) {
RedisSessionDAO dao = new RedisSessionDAO();
dao.setRedisTemplate(redisTemplate);
return dao;
}
@Bean
public SessionManager sessionManager(RedisSessionDAO redisSessionDAO) {
DefaultWebSessionManager manager = new DefaultWebSessionManager();
manager.setSessionDAO(redisSessionDAO);
return manager;
}2. 缓存配置(EhCache 或 Redis)
@Bean
public CacheManager cacheManager() {
return new MemoryConstrainedCacheManager(); // 默认内存缓存
// 或使用 EhCache:return new EhCacheManager();
}六、常见问题与解决
| 问题 | 解决方案 |
|---|---|
| 权限注解不生效 | 检查是否启用 @EnableAspectJAutoProxy 和 AuthorizationAttributeSourceAdvisor |
| 登录后无限重定向 | 检查 Shiro 过滤器链配置,确保登录页设置为 anon |
| 密码加盐不一致 | 确认 Realm 中 SimpleAuthenticationInfo 的盐值与数据库一致 |
| Redis 缓存序列化失败 | 配置 RedisTemplate 的 Key/Value 序列化器为 Jackson2JsonRedisSerializer |
七、整合架构图
+----------------+ +----------------+ +----------------+
| Browser | <---> | Shiro Filter | <---> | Spring MVC |
| (发起请求) | | (拦截请求) | | (Controller) |
+----------------+ +----------------+ +----------------+
| ^
| | 调用
v |
+----------------+
| SecurityManager|
| (协调 Realm、Session、Cache) |
+----------------+
| ˄
v |
+----------------+
| UserRealm |
| (自定义认证/授权) |
+----------------+八、总结
- 优势:Shiro 轻量易用,与 Spring 整合后可通过注解快速实现细粒度权限控制,适合中小型项目。
- 适用场景:Web 应用安全控制、API 接口鉴权、分布式 Session 管理。
- 扩展建议:结合 Redis 实现分布式缓存和 Session,提升高并发场景下的性能。