教你 Shiro 整合 SpringBoot，避开各种坑

作者：Howie_Y，系原创投稿

主页：www.jianshu.com/u/79638e5f0743

最近搞了下 Shiro 安全框架，找了一些网上的博客文章，但是一到自己实现的时候就遇到了各种坑，需要各种查资料看源码以及各种测试。

那么这篇文章就教大家如何将 Shiro 整合到 SpringBoot 中，并避开一些小坑，这次实现了基本的登陆以及角色权限，往后的文章也讲解了其他的功能，如Shiro + SpringBoot 整合 JWT。

本文中的源码实例点击下方阅读原文直达！

依赖包

<dependency>
   <groupId>org.apache.shiro</groupId>
   <artifactId>shiro-spring</artifactId>
   <version>1.3.2</version>
</dependency>

数据库表

一切从简，用户 user 表，以及角色 role 表

Shiro 相关类

Shiro 配置类

@Configuration
public class ShiroConfig {
   @Bean
   public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
       ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
       // 必须设置 SecurityManager
       shiroFilterFactoryBean.setSecurityManager(securityManager);
       // setLoginUrl 如果不设置值，默认会自动寻找Web工程根目录下的"/login.jsp"页面 或 "/login" 映射
       shiroFilterFactoryBean.setLoginUrl("/notLogin");
       // 设置无权限时跳转的 url;
       shiroFilterFactoryBean.setUnauthorizedUrl("/notRole");

       // 设置拦截器
       Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
       //游客，开发权限
       filterChainDefinitionMap.put("/guest/**", "anon");
       //用户，需要角色权限 “user”
       filterChainDefinitionMap.put("/user/**", "roles[user]");
       //管理员，需要角色权限 “admin”
       filterChainDefinitionMap.put("/admin/**", "roles[admin]");
       //开放登陆接口
       filterChainDefinitionMap.put("/login", "anon");
       //其余接口一律拦截
       //主要这行代码必须放在所有权限设置的最后，不然会导致所有 url 都被拦截
       filterChainDefinitionMap.put("/**", "authc");

       shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
       System.out.println("Shiro拦截器工厂类注入成功");
       return shiroFilterFactoryBean;
   }

   /**
    * 注入 securityManager
    */
   @Bean
   public SecurityManager securityManager() {
       DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
       // 设置realm.
       securityManager.setRealm(customRealm());
       return securityManager;
   }

   /**
    * 自定义身份认证 realm;
    * <p>
    * 必须写这个类，并加上 @Bean 注解，目的是注入 CustomRealm，
    * 否则会影响 CustomRealm类 中其他类的依赖注入
    */
   @Bean
   public CustomRealm customRealm() {
       return new CustomRealm();
   }
}

注意：里面的 SecurityManager 类导入的应该是 import org.apache.shiro.mgt.SecurityManager; 但是，如果你是复制代码过来的话，会默认导入 java.lang.SecurityManager 这里也稍稍有点坑，其他的类的话，也是都属于 shiro 包里面的类。

shirFilter 方法中主要是设置了一些重要的跳转 url，比如未登陆时，无权限时的跳转；以及设置了各类 url 的权限拦截，比如 /user 开始的 url 需要 user 权限，/admin 开始的 url 需要 admin 权限等

权限拦截 Filter

当运行一个Web应用程序时，Shiro将会创建一些有用的默认 Filter 实例，并自动地将它们置为可用，而这些默认的 Filter 实例是被 DefaultFilter 枚举类定义的，当然我们也可以自定义 Filter 实例，这些在以后的文章中会讲到

DefaultFilter

常用的主要就是 anon，authc，user，roles，perms 等

注意：anon, authc, authcBasic, user 是第一组认证过滤器，perms, port, rest, roles, ssl 是第二组授权过滤器，要通过授权过滤器，就先要完成登陆认证操作（即先要完成认证才能前去寻找授权) 才能走第二组授权器（例如访问需要 roles 权限的 url，如果还没有登陆的话，会直接跳转到 shiroFilterFactoryBean.setLoginUrl(); 设置的 url ）