当前位置:首页 > 技术 > 正文内容

SpringBoot集成Shiro权限框架

访客 技术 2026年7月6日 1

引入Shiro相关依赖

在项目中添加Shiro核心组件,包括认证、Web支持及与Spring的集成模块:

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.3.2</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-web</artifactId>
    <version>1.3.2</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.3.2</version>
</dependency>

配置Shiro安全中心

通过Java配置类定义安全管理器和过滤器链,实现登录拦截与权限控制:

@Configuration
public class SecurityConfig {

    @Bean
    public WebSecurityManager securityManager() {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(customRealm());
        return manager;
    }

    @Bean
    public ShiroFilterFactoryBean filterChain() {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(securityManager());
        bean.setLoginUrl("/login/page");
        bean.setSuccessUrl("/dashboard");
        bean.setUnauthorizedUrl("/error/403");

        Map<String, String> filterMap = new HashMap<>();
        filterMap.put("/login/**", "anon");
        filterMap.put("/static/**", "anon");
        filterMap.put("/api/**", "authc");
        filterMap.put("/**", "authc");
        bean.setFilterChainDefinitionMap(filterMap);

        return bean;
    }

    @Bean
    public DefaultAdvisorAutoProxyCreator proxyCreator() {
        DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
        creator.setProxyTargetClass(true);
        return creator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor advisor() {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager());
        return advisor;
    }

    @Bean
    public ShiroDialect shiroDialect() {
        return new ShiroDialect();
    }

    @Bean
    public MyRealm customRealm() {
        return new MyRealm();
    }
}

自定义认证与授权域

实现用户身份验证与权限分配逻辑,基于用户名密码进行校验,并动态加载权限信息:

public class MyRealm extends AuthorizingRealm {

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) {
        UsernamePasswordToken auth = (UsernamePasswordToken) token;
        String username = auth.getUsername();

        User user = null;
        if ("admin".equals(username)) {
            user = new User("admin", "admin");
        } else if ("user".equals(username)) {
            user = new User("user", "user");
        }

        if (user == null) {
            throw new UnknownAccountException("用户不存在");
        }

        return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), getName());
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = (String) principals.getPrimaryPrincipal();
        Set<String> permissions = new HashSet<>();

        if ("admin".equals(username)) {
            permissions.add("data:read");
            permissions.add("data:write");
            permissions.add("system:manage");
        } else if ("user".equals(username)) {
            permissions.add("data:read");
        }

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(permissions);
        return info;
    }
}

控制器处理请求

提供登录、登出及受保护资源访问接口,结合Subject进行会话管理:

@Controller
public class AuthController {

    @GetMapping("/login/page")
    public String showLoginPage() {
        return "login";
    }

    @PostMapping("/login")
    public String authenticate(@ModelAttribute User user, Map<String, Object> model) {
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword());

        try {
            subject.login(token);
        } catch (IncorrectCredentialsException e) {
            model.put("error", "密码错误,请重试");
            return "login";
        } catch (UnknownAccountException e) {
            model.put("error", "用户不存在");
            return "login";
        }

        return "redirect:/dashboard";
    }

    @GetMapping("/logout")
    public String logout() {
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        return "redirect:/login/page";
    }

    @RequiresPermissions("data:read")
    @GetMapping("/data/view")
    public String viewData() {
        return "data";
    }

    @RequiresPermissions("data:write")
    @GetMapping("/data/edit")
    public String editData() {
        return "edit";
    }

    @GetMapping("/error/403")
    public String forbidden() {
        return "error/403";
    }
}

全局异常处理

捕获权限不足异常并统一跳转至错误页面:

@ControllerAdvice
public class GlobalExceptionHandler {

    @ExceptionHandler(AuthorizationException.class)
    public String handleForbidden(Exception ex, HttpServletRequest request) {
        request.setAttribute("javax.servlet.error.status_code", 403);
        return "forward:/error/403";
    }
}

集成Thymeleaf模板权限标签

启用前端页面的权限判断功能,实现条件渲染。

  1. 添加依赖:
    <dependency>
        <groupId>com.github.theborakompanioni</groupId>
        <artifactId>thymeleaf-extras-shiro</artifactId>
        <version>2.0.0</version>
    </dependency>
  2. 配置文件中已注册Shiro方言(见上文)
  3. HTML头部声明命名空间:
    <html lang="zh_CN" xmlns:th="http://www.thymeleaf.org"
          xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
  4. 使用权限标签控制元素显示:
    <div shiro:hasPermission="data:read">
        <a href="/data/view">查看数据</a>
    </div>
    
    <div shiro:hasPermission="data:write">
        <a href="/data/edit">编辑数据</a>
    </div>

相关文章

Linux crontab 详解

1) crontab 是什么cron 是 Linux 的定时任务守护进程;crontab 是用来编辑/查看“按时间周期执行命令”的表(cron table)。常见两类:用户 crontab:每个用户一份(crontab -e 编辑)系统级 crontab / cron.d:可指定执行用户(/etc/crontab、/etc/cron.d/*)2) crontab 时间...

富文本里可以允许的 HTML 属性

一、所有标签默认允许的安全属性(极少)class        (可选)id           (通常建议禁用)title️ 注意:id 容易被滥用做锚点注入,很多系统直接禁用class 允许的话最好只允许固定前缀(如 editor-*)二、a 标签允许属性<a href="" t...

Mac 安装 Node.js 指南

方法一:通过官网安装包(最简单,适合初学者)如果你只是想快速安装并开始使用,这是最直接的方法。访问 Node.js 官网。页面会显示两个版本:LTS (Recommended For Most Users):长期支持版,最稳定。建议选这个。Current:最新特性版,包含最新功能但可能不够稳定。下载 .pkg 安装包并运行。按照安装向导点击“下一步”即可完成。方法二:使用 Homebrew 安装(...

Laravel 事件和监听器创建

在 Laravel 中,使用 Artisan 命令创建 Events(事件) 和 Listeners(监听器) 是非常高效的。你可以通过以下几种方式来实现:1. 手动创建单个 Event如果你只想创建一个事件类,可以使用 make:event 命令:Bashphp artisan make:event UserRegistered执行后,文件将生成在 app/Even...

自定义域名解析神器 dnsmasq

什么是 dnsmasq?dnsmasq 是一个轻量级、功能强大的网络服务工具,专为小型和中等规模网络设计。它是一个综合的网络基础设施解决方案[1]。dnsmasq 能做什么?功能说明应用场景DNS 转发与缓存将 DNS 查询转发到上游服务器(ISP、Google DNS 等),并在本地缓存结果加快 DNS 查询速度,减少外部 DNS 流量本地 DNS解析本地网络设备的主机名,无需编辑&n...

linux screen 用法详情 (nohup 的替代方案)

一、screen 是什么?能干嘛?screen 是一个终端复用器,可以:在一个 SSH 会话中开多个“虚拟终端”SSH 断线后,程序仍然在后台运行随时重新连接到原来的会话特别适合:nohup 的替代方案跑脚本 / 爬虫 / 训练模型运维、远程开发二、安装 screen# CentOS / Rocky / Almayum install -y screen# Debian / Ubuntuapt i...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。