Shiro权限管理Spring Boot集成Shiro实现安全控制终极指南【免费下载链接】spring-boot-demo一个用来深入学习并实战 Spring Boot 的项目。项目地址: https://gitcode.com/gh_mirrors/sp/spring-boot-demo在现代Web应用开发中安全控制是不可或缺的一环。Apache Shiro作为一款功能强大且易于使用的Java安全框架为开发者提供了身份认证、授权、加密和会话管理等核心功能。本指南将带你快速掌握如何在Spring Boot项目中集成Shiro实现企业级的安全控制方案。为什么选择Shiro进行权限管理Shiro框架以其简洁的API和灵活的架构而广受欢迎。与其他安全框架相比Shiro具有以下优势易于理解和使用Shiro的API设计直观学习曲线平缓即使是安全领域的新手也能快速上手全面的安全功能提供身份认证、授权、会话管理、密码加密等一站式安全解决方案轻量级设计核心组件小巧不会给项目带来过多依赖负担灵活的扩展机制支持自定义 realms、过滤器和认证策略满足复杂业务需求在Spring Boot项目中集成Shiro可以轻松实现细粒度的权限控制保护敏感资源防止未授权访问。快速开始Spring Boot集成Shiro的步骤1. 添加Shiro依赖首先需要在项目的pom.xml文件中添加Shiro相关依赖。在demo-rbac-shiro模块中我们可以找到以下关键依赖配置dependency groupIdorg.apache.shiro/groupId artifactIdshiro-spring-boot-starter/artifactId version1.7.1/version /dependency dependency groupIdorg.springframework.boot/groupId artifactIdspring-boot-starter-web/artifactId /dependency dependency groupIdmysql/groupId artifactIdmysql-connector-java/artifactId scoperuntime/scope /dependency这些依赖包括Shiro的Spring Boot启动器、Web支持以及MySQL数据库驱动为后续的安全配置和数据库交互奠定基础。2. 配置Shiro核心组件Shiro的核心配置主要包括SecurityManager、Realm和过滤器链。在demo-rbac-shiro模块中我们可以找到ShiroConfig类其中定义了这些关键组件Configuration public class ShiroConfig { Bean public SecurityManager securityManager(UserRealm userRealm) { DefaultWebSecurityManager securityManager new DefaultWebSecurityManager(); securityManager.setRealm(userRealm); return securityManager; } Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean filterFactoryBean new ShiroFilterFactoryBean(); filterFactoryBean.setSecurityManager(securityManager); // 配置URL过滤器规则 MapString, String filterChainDefinitionMap new LinkedHashMap(); filterChainDefinitionMap.put(/login, anon); filterChainDefinitionMap.put(/logout, logout); filterChainDefinitionMap.put(/**, authc); filterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); filterFactoryBean.setLoginUrl(/login); filterFactoryBean.setSuccessUrl(/index); filterFactoryBean.setUnauthorizedUrl(/403); return filterFactoryBean; } }这段配置定义了Shiro的核心安全管理器设置了自定义的UserRealm并配置了URL访问规则。通过过滤器链我们可以控制哪些资源需要认证哪些资源可以匿名访问。3. 实现自定义RealmRealm是Shiro与应用安全数据之间的桥梁。在demo-rbac-shiro模块中UserRealm类实现了认证和授权逻辑public class UserRealm extends AuthorizingRealm { Autowired private UserService userService; Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 实现用户认证逻辑 String username (String) token.getPrincipal(); User user userService.findByUsername(username); if (user null) { throw new UnknownAccountException(用户名不存在); } return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); } Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 实现用户授权逻辑 User user (User) principals.getPrimaryPrincipal(); SimpleAuthorizationInfo info new SimpleAuthorizationInfo(); // 添加用户角色 user.getRoles().forEach(role - { info.addRole(role.getName()); // 添加角色权限 role.getPermissions().forEach(permission - { info.addStringPermission(permission.getName()); }); }); return info; } }在这个Realm实现中我们通过UserService从数据库获取用户信息并分别实现了认证doGetAuthenticationInfo和授权doGetAuthorizationInfo方法。认证方法负责验证用户身份授权方法则为用户分配相应的角色和权限。4. 设计权限数据库表结构Shiro的RBAC基于角色的访问控制模型需要相应的数据库表结构支持。在demo-rbac-shiro模块的sql目录下shiro.sql文件定义了所需的表结构-- 用户表 CREATE TABLE user ( id BIGINT PRIMARY KEY AUTO_INCREMENT, username VARCHAR(50) NOT NULL UNIQUE, password VARCHAR(100) NOT NULL, salt VARCHAR(50) NOT NULL, status TINYINT DEFAULT 1, created_time DATETIME DEFAULT CURRENT_TIMESTAMP ); -- 角色表 CREATE TABLE role ( id BIGINT PRIMARY KEY AUTO_INCREMENT, name VARCHAR(50) NOT NULL UNIQUE, description VARCHAR(200), created_time DATETIME DEFAULT CURRENT_TIMESTAMP ); -- 权限表 CREATE TABLE permission ( id BIGINT PRIMARY KEY AUTO_INCREMENT, name VARCHAR(100) NOT NULL UNIQUE, resource VARCHAR(200) NOT NULL, action VARCHAR(50) NOT NULL, created_time DATETIME DEFAULT CURRENT_TIMESTAMP ); -- 用户角色关联表 CREATE TABLE user_role ( user_id BIGINT NOT NULL, role_id BIGINT NOT NULL, PRIMARY KEY (user_id, role_id) ); -- 角色权限关联表 CREATE TABLE role_permission ( role_id BIGINT NOT NULL, permission_id BIGINT NOT NULL, PRIMARY KEY (role_id, permission_id) );这组表结构设计支持了用户、角色、权限之间的多对多关系为灵活的权限管理提供了数据基础。在控制器中使用Shiro注解进行权限控制Shiro提供了一系列注解可以在控制器方法上直接标注权限要求实现细粒度的访问控制。以下是一些常用的注解示例RestController RequestMapping(/user) public class UserController { RequiresAuthentication GetMapping(/info) public Result getUserInfo() { // 获取当前登录用户信息 Subject subject SecurityUtils.getSubject(); User user (User) subject.getPrincipal(); return Result.success(user); } RequiresRoles(admin) GetMapping(/list) public Result getUserList() { // 只有admin角色可以访问 return Result.success(userService.findAll()); } RequiresPermissions(user:delete) DeleteMapping(/{id}) public Result deleteUser(PathVariable Long id) { // 只有拥有user:delete权限的用户可以访问 userService.delete(id); return Result.success(); } }通过这些注解我们可以轻松实现RequiresAuthentication要求用户已认证RequiresRoles要求用户拥有指定角色RequiresPermissions要求用户拥有指定权限这种基于注解的方式大大简化了权限控制代码使开发者可以更专注于业务逻辑实现。Shiro权限管理的最佳实践1. 密码加密存储在实际项目中绝对不能明文存储用户密码。Shiro提供了多种加密算法如MD5、SHA等。推荐使用带盐值的加密方式提高密码安全性// 密码加密示例 String username admin; String password 123456; String salt RandomStringUtils.randomAlphanumeric(10); String encodedPassword new SimpleHash(MD5, password, salt, 1024).toString(); // 存储 encodedPassword 和 salt 到数据库2. 细粒度的权限设计权限设计应遵循最小权限原则只给用户分配完成工作所必需的权限。推荐使用资源:操作的权限命名方式如user:view - 查看用户user:create - 创建用户user:update - 更新用户user:delete - 删除用户3. 缓存权限信息为提高系统性能建议对用户的权限信息进行缓存。Shiro提供了缓存支持可以通过配置启用Bean public CacheManager cacheManager() { return new MemoryConstrainedCacheManager(); } // 在SecurityManager中设置缓存管理器 Bean public SecurityManager securityManager(UserRealm userRealm, CacheManager cacheManager) { DefaultWebSecurityManager securityManager new DefaultWebSecurityManager(); securityManager.setRealm(userRealm); securityManager.setCacheManager(cacheManager); return securityManager; }总结通过本文的介绍我们了解了如何在Spring Boot项目中集成Shiro实现权限管理。从依赖配置、核心组件设置、自定义Realm实现到数据库设计和注解式权限控制我们覆盖了Shiro集成的各个关键环节。Shiro提供了一种简单而强大的方式来保护你的应用程序无论是简单的身份验证还是复杂的基于角色的访问控制都能轻松应对。希望本指南能帮助你更好地理解和应用Shiro为你的项目构建坚实的安全防线。要开始使用本项目中的Shiro示例只需克隆仓库并进入demo-rbac-shiro模块git clone https://gitcode.com/gh_mirrors/sp/spring-boot-demo cd spring-boot-demo/demo-rbac-shiro按照模块中的README.md说明进行配置和运行即可快速体验Shiro在Spring Boot项目中的应用。【免费下载链接】spring-boot-demo一个用来深入学习并实战 Spring Boot 的项目。项目地址: https://gitcode.com/gh_mirrors/sp/spring-boot-demo创作声明：本文部分内容由AI辅助生成（AIGC），仅供参考