SpringBoot集成Shiro进行权限控制和管理的示例

下面我来详细讲解“SpringBoot集成Shiro进行权限控制和管理的示例”的完整攻略。

什么是 Shiro

Apache Shiro 是一个功能强大且易于使用的 Java 安全框架，提供身份验证、授权、加密等功能，可以轻松地保护应用程序的安全与隐私。

SpringBoot 集成 Shiro

下面是 SpringBoot 集成 Shiro 进行权限控制和管理的步骤：

添加依赖

当前最新版本的 Shiro 为 1.7.1 版本，我们需要在 pom.xml 文件中添加如下依赖：

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.7.1</version>
</dependency>

配置 Shiro

在 SpringBoot 中，我们可以通过配置类来配置 Shiro。

@Configuration
public class ShiroConfig {

    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 配置 realm
        securityManager.setRealm(realm());
        return securityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 配置 securityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 配置登录界面
        shiroFilterFactoryBean.setLoginUrl("/login");

        // 配置访问拦截规则
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/logout", "logout");
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    @Bean
    public Realm realm() {
        return new MyRealm();
    }

}

自定义 Realm

在 Shiro 中，可以通过 Realm 来获取用户信息和用户权限，所以我们需要自定义一个继承自 AuthorizingRealm 类的 Realm。

public class MyRealm extends AuthorizingRealm {

    /**
     * 获取用户权限的时候会用到该方法
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // 根据用户名从数据库中获取用户角色和权限信息
        String username = (String) principals.getPrimaryPrincipal();
        Set<String> roles = new HashSet<>();
        Set<String> permissions = new HashSet<>();
        // TODO: 从数据库中获取用户角色和权限信息，这里只是示例
        if ("admin".equals(username)) {
            roles.add("admin");
            permissions.add("user:create");
            permissions.add("user:update");
            permissions.add("user:delete");
        } else {
            roles.add("user");
            permissions.add("user:view");
        }
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.setRoles(roles);
        simpleAuthorizationInfo.setStringPermissions(permissions);
        return simpleAuthorizationInfo;
    }

    /**
     * 获取用户认证信息的时候会用到该方法
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 获取用户输入的用户名和密码
        String username = (String) token.getPrincipal();
        String password = new String((char[]) token.getCredentials());
        // TODO: 根据用户名和密码从数据库中查找用户，这里只是示例
        if ("admin".equals(username) && "admin".equals(password)) {
            return new SimpleAuthenticationInfo(username, password, getName());
        } else {
            throw new AuthenticationException("用户名或密码错误");
        }
    }

}

编写登录界面

接下来，我们需要编写一个登录页面，用来接收用户输入的用户名和密码，然后进行登录操作。

<!DOCTYPE html>
<html>
<head>
    <title>登录</title>
</head>
<body>
    <form method="post" action="/login">
        <input type="text" name="username" placeholder="用户名">
        <input type="password" name="password" placeholder="密码">
        <button type="submit">登录</button>
    </form>
</body>
</html>

配置安全注解

如果希望在 SpringBoot 中使用 Shiro 的注解，需要在配置类中加入如下配置：

@EnableAspectJAutoProxy(proxyTargetClass = true, exposeProxy = true)
public class ShiroConfig {
    // ...
}

开始使用 Shiro

现在，我们已经完成了 SpringBoot 集成 Shiro 的基本配置。接下来，我们可以通过 Shiro 的注解来进行权限控制和管理。

示例一：通过注解控制方法的访问权限

@Controller
public class UserController {

    @GetMapping("/user")
    @RequiresPermissions("user:view")
    public String user() {
        return "user";
    }

    @PostMapping("/user")
    @RequiresPermissions("user:create")
    public String createUser() {
        // TODO: 创建新用户
        return "redirect:/user";
    }

}

在上述示例中，我们通过 RequiresPermissions 注解来控制用户对方法的访问权限。只有拥有 user:view 权限的用户才能访问 /user 的 GET 请求，只有拥有 user:create 权限的用户才能访问 /user 的 POST 请求。

示例二：通过注解控制页面元素的展示

<!DOCTYPE html>
<html>
<head>
    <title>用户管理</title>
</head>
<body>
    <p th:text="${#shiro.hasPermission('user:create')} ? '显示' : '隐藏'">创建用户按钮</p>
    <p th:text="${#shiro.hasPermission('user:update')} ? '显示' : '隐藏'">修改用户按钮</p>
    <p th:text="${#shiro.hasPermission('user:delete')} ? '显示' : '隐藏'">删除用户按钮</p>
</body>
</html>

在上述示例中，我们使用 Thymeleaf 模板引擎，并通过 #shiro.hasPermission 来控制页面元素的展示，只有拥有相应权限的用户才能看到相应的按钮。

至此，我们就完成了 SpringBoot 集成 Shiro 进行权限控制和管理的示例。