一、前言

我们在学习springboot的时候说过,要完成某项功能,引入一些依赖,我们第一反应就是这个功能看看有没有对应的starter的依赖,因为引入了对应的starter之后可以帮我们完成自动装配的功能.

其实Shiro是有提供starter的依赖的,但是在官网的文档中好像没找到对应的文档说明(有找到的同学可以告知我一下),最后是在github中找到shiro对springboot的的支持.
github地址:
https://github.com/apache/shiro/tree/master/support/spring-boot/spring-boot-web-starter
有了这个starter我们整合起来就非常方便了.

二、回顾Spring整合Shiro的步骤

我们先回顾一下之前我们在没有使用springboot的环境下如何配置shiro

• (1) 需要在pom.xml添加shiro相关的依赖包.

<!--Shiro核心依赖-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.2.2</version>
</dependency>
<!--Shiro中Web相关的支持-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-web</artifactId>
    <version>1.2.2</version>
</dependency>
<!--Shiro与Spring整合-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.2.2</version>
</dependency>

• (2) 在web.xml中配置ShiroFilter过滤器,拦截用户的请求.

<!-- shiro过虑器，DelegatingFilterProx会从spring容器中找shiroFilter -->
<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

• (3) 创建applicationContext-shiro.xml关于Shiro和Spring整合的配置文件,需要配置如下信息:

• 自定义Realm
• 安全管理器SecurityManager
• 处理请求的ShiroFilterFactoryBean

配置如下:

<!-- 自定义Realm -->
<bean id="userRealm" class="cn.lanxw.wms.realm.UserRealm"/>
<!-- 配置安全管理器SecurityManager -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="userRealm"/>
</bean>
<!-- 定义ShiroFilter -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login"/>
    <property name="successUrl" value="/main"/>
    <property name="unauthorizedUrl" value="/WEB-INF/views/common/nopermission.ftl"/>
    <property name="filterChainDefinitions">
        <value>
            /js/**=anon
            /images/**=anon
            /style/**=anon
            /logout=logout
            /**=authc
        </value>
    </property>
</bean>

• (4) 如果还需要使用Shiro注解完成权限控制,还需要在配置文件中添加如下配置:

<!-- 开启aop，使用CGlib基于继承的动态代理 -->
<aop:config proxy-target-class="true"></aop:config>
<!-- 开启shiro注解支持 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager" />
</bean>

并在控制器方法上使用 @RequiresPermissions 注解,表示该方法是需要权限控制的.

@RequestMapping("/employee")
@RequiresPermissions("employee:page")
public String employeePage(){
    return "employee/list";
}

使用了Shiro注解控制权限之后,当登陆用户没有权限的时候,默认会抛出AuthorizationException 异常.我们会写一个控制器增强类,来对控制器中抛出的异常进行统一的管理.

//对所有的Controller做增强
@ControllerAdvice
public class ErrorAdvice {
    //需要捕获的异常
    @ExceptionHandler(AuthorizationException.class)
    public String handlerException(){
       //处理没有权限的时候的逻辑 (TODO)
        return "nopermission";//跳转到没有权限的页面.
    }
}

三、SpringBoot整合Shiro

我们需要导入springboot中关于shiro的starter的依赖,里面已经配置好shiro相关的bean信息.具体帮我们创建了什么bean,可以看shiro-spring-boot-web-start-1.4.0.jar/META-INF/spring.factories中所配置的配置类.
我们只需要配置少了的信息就可以完成springboot和shiro的集成.

步骤:
1.在pom.xml文件中添加springboot对shiro支持的依赖.

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-spring-boot-web-starter</artifactId>
  <version>1.4.0</version>
</dependency>

2.在application.properties中添加如下配置.

server.port=8088
#shiro登录页面的地址
shiro.loginUrl=/login
#登录成功后主页面的地址
shiro.successUrl=/main
#配置权限时候的登陆地址
shiro.unauthorizedUrl=/nopermission

3.在启动类中配置安全管理器DefaultWebSecurityManager对象和请求拦截规则ShiroFilterChainDefinition对象.配置如下:

package cn.lanxw.shiro;

import cn.lanxw.shiro.realm.UserRealm;
import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.context.annotation.Bean;
import sun.security.krb5.Realm;

import java.util.List;

@SpringBootApplication
public class BootApplication {
    /*
    创建安全管理器对象,关联自定义Realm
     */
    @Bean
    public DefaultWebSecurityManager securityManager(UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    /**
     * 定义拦截的规则
     * @return
     */
    @Bean
    public ShiroFilterChainDefinition shiroFilterChainDefinition(){
        DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
        //浏览器标签页的图标放行.
        chainDefinition.addPathDefinition("/**/favicon.ico","anon");
        //静态资源放行
        chainDefinition.addPathDefinition("/js/**","anon");
        chainDefinition.addPathDefinition("/html/**","anon");
        chainDefinition.addPathDefinition("/css/**","anon");
        //剩下的资源都需要登录才能访问
        chainDefinition.addPathDefinition("/**","authc");
        return chainDefinition;
    }
    public static void main(String[] args) {
        SpringApplication.run(BootApplication.class, args);
    }
}

到这步其实springboot和shiro就已经整合完毕了,其他的该怎么配就怎么配.

其他:关于SpringBoot整合Shiro的简易代码我上传到gitHub了,有需要的同学可以自行下载.
https://github.com/javalanxiongwei/springboot-shiro