?Spring + Shiro 整合的核心要點及詳細實現說明

在 Spring 項目中集成 Apache Shiro 可以實現輕量級的安全控制（認證、授權、會話管理等）。以下是 ?Spring + Shiro 整合的核心要點及詳細實現說明：

一、Spring 與 Shiro 整合的核心組件

?組件?	?作用?
`ShiroFilterFactoryBean`	創建 Shiro 過濾器鏈，攔截請求并執行安全規則
`SecurityManager`	Shiro 安全核心，協調 Realm、Session、Cache 等組件
`Realm`	自定義安全數據源（如數據庫、LDAP），實現認證和授權邏輯
`LifecycleBeanPostProcessor`	管理 Shiro Bean 的生命周期（如自動調用 `init()` 和 `destroy()`）
`AuthorizationAttributeSourceAdvisor`	啟用 Shiro 注解（如 `@RequiresRoles`）的 AOP 支持

二、整合步驟（基于 Spring Boot）

1. 添加依賴

<!-- Shiro 核心 -->
<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring-boot-starter</artifactId><version>1.12.0</version>
</dependency>
<!-- 其他依賴：Spring Web、數據庫驅動等 -->

2. 配置 Shiro 核心 Bean

@Configuration
public class ShiroConfig {// 1. 創建 Realm（需自定義）@Beanpublic UserRealm userRealm() {return new UserRealm();  // 繼承 AuthorizingRealm}// 2. 配置安全管理器@Beanpublic SecurityManager securityManager(UserRealm realm) {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();securityManager.setRealm(realm);return securityManager;}// 3. 配置 Shiro 過濾器鏈@Beanpublic ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {ShiroFilterFactoryBean factory = new ShiroFilterFactoryBean();factory.setSecurityManager(securityManager);// 設置登錄頁和未授權頁factory.setLoginUrl("/login");factory.setUnauthorizedUrl("/403");// 定義過濾規則Map<String, String> filterMap = new LinkedHashMap<>();filterMap.put("/static/?**?", "anon");    // 匿名訪問靜態資源filterMap.put("/login", "anon");        // 登錄頁無需認證filterMap.put("/admin/?**?", "roles[admin]"); // 需要 admin 角色filterMap.put("/?**?", "authc");          // 其他路徑需要認證factory.setFilterChainDefinitionMap(filterMap);return factory;}// 4. 啟用 Shiro 注解支持@Beanpublic AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();advisor.setSecurityManager(securityManager);return advisor;}
}

三、自定義 Realm 實現

public class UserRealm extends AuthorizingRealm {@Autowiredprivate UserService userService;// 授權邏輯：獲取用戶權限信息@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {String username = (String) principals.getPrimaryPrincipal();SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();// 添加角色和權限（從數據庫查詢）info.setRoles(userService.getUserRoles(username));info.setStringPermissions(userService.getUserPermissions(username));return info;}// 認證邏輯：驗證用戶身份@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {String username = (String) token.getPrincipal();User user = userService.findByUsername(username);if (user == null) {throw new UnknownAccountException("用戶不存在");}return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), ByteSource.Util.bytes(user.getSalt()),  // 使用鹽值加密getName());}
}

四、使用 Shiro 注解控制權限

在 Controller 或 Service 層通過注解實現細粒度權限控制：

@Controller
public class AdminController {// 需要 admin 角色才能訪問@RequiresRoles("admin")@GetMapping("/admin/dashboard")public String adminDashboard() {return "admin/dashboard";}// 需要 delete 權限才能調用@RequiresPermissions("user:delete")@PostMapping("/user/delete")public String deleteUser(Long id) {// 刪除用戶邏輯return "redirect:/user/list";}
}

五、Session 管理與緩存

1. 分布式 Session 配置（如 Redis）

@Bean
public RedisSessionDAO redisSessionDAO(RedisTemplate<String, Object> redisTemplate) {RedisSessionDAO dao = new RedisSessionDAO();dao.setRedisTemplate(redisTemplate);return dao;
}@Bean
public SessionManager sessionManager(RedisSessionDAO redisSessionDAO) {DefaultWebSessionManager manager = new DefaultWebSessionManager();manager.setSessionDAO(redisSessionDAO);return manager;
}

2. 緩存配置（EhCache 或 Redis）

@Bean
public CacheManager cacheManager() {return new MemoryConstrainedCacheManager(); // 默認內存緩存// 或使用 EhCache：return new EhCacheManager();
}

六、常見問題與解決

?問題?	?解決方案?
權限注解不生效	檢查是否啟用 `@EnableAspectJAutoProxy` 和 `AuthorizationAttributeSourceAdvisor`
登錄后無限重定向	檢查 Shiro 過濾器鏈配置，確保登錄頁設置為 `anon`
密碼加鹽不一致	確認 Realm 中 `SimpleAuthenticationInfo` 的鹽值與數據庫一致
Redis 緩存序列化失敗	配置 RedisTemplate 的 Key/Value 序列化器為 `Jackson2JsonRedisSerializer`

七、整合架構圖

+----------------+       +----------------+       +----------------+
|   Browser      | <---> | Shiro Filter   | <---> | Spring MVC     |
| (發起請求)      |       | (攔截請求)      |       | (Controller)    |
+----------------+       +----------------+       +----------------+|  ^|  | 調用v  |+----------------+| SecurityManager|| (協調 Realm、Session、Cache) |+----------------+|  ?v  |+----------------+|   UserRealm    || (自定義認證/授權) |+----------------+

八、總結

?優勢?：Shiro 輕量易用，與 Spring 整合后可通過注解快速實現細粒度權限控制，適合中小型項目。
?適用場景?：Web 應用安全控制、API 接口鑒權、分布式 Session 管理。
?擴展建議?：結合 Redis 實現分布式緩存和 Session，提升高并發場景下的性能。

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/diannao/81991.shtml
繁體地址，請注明出處：http://hk.pswp.cn/diannao/81991.shtml
英文地址，請注明出處：http://en.pswp.cn/diannao/81991.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！