Shiro安全框架-尚硅谷

获课地址：666it.top/13500/ SpringBoot 与 Shiro 整合基础与架构设计 Apache Shiro 是一个强大且易用的 Java 安全框架，为开发人员提供了简单的方式来实现身份验证、授权、会话管理和加密等安全功能。其设计目标是易于理解和使用，同时提供全面的安全解决方案。Shiro 的核心优势在于其直观的 API、易于配置和易于学习的特性，使开发者能够快速上手并集成到任何基于 Java 的应用中 。 在微服务架构盛行的今天，安全框架的选择直接影响系统的可维护性和扩展性。与 Spring Security 相比，Shiro 具有明显的轻量级特性，其核心依赖仅包含 Subject、SecurityManager、Realm 三大组件，无容器依赖特性使其更适合微服务环境。同时，Shiro 提供灵活的拦截机制，支持 URL 拦截、注解控制、方法级权限校验三种模式，能够满足不同场景的需求 。 1.1 核心组件体系结构 Shiro 框架由几个核心组件构成，包括 Subject、SecurityManager、Realm、Session 和 Permission。​​Subject​​ 代表当前与软件交互的用户，可以是一个人、第三方服务、时钟守护进程账户或者任何系统交互的实体。​​SecurityManager​​ 作为 Shiro 架构的核心，负责协调所有安全相关操作，管理所有 Subject 并为 Subject 提供核心安全功能。​​Realm​​ 作为连接应用安全数据的桥梁，负责从数据源获取安全数据并返回给 SecurityManager。​​Session​​ 负责管理用户的会话信息，而 ​​Permission​​ 定义了访问控制的权限规则 。 这种组件化架构使得 Shiro 能够灵活适应各种安全需求，从简单的认证和授权任务到复杂的企业安全需求都能很好地满足。开发者可以根据具体业务需求，选择性地使用和扩展这些组件，构建出既安全又灵活的安全体系。 1.2 环境准备与版本适配 在开始整合 SpringBoot 与 Shiro 之前，需要确保版本的兼容性。推荐使用 Spring Boot 2.7.18 与 Shiro 1.11.0 的版本组合，这两个版本经过充分测试，具有较好的稳定性和兼容性。在 Maven 项目中，需要在 pom.xml 文件中添加相关依赖 。 除了核心依赖外，还需要考虑数据库访问相关的依赖。如果使用 MyBatis-Plus 作为持久层框架，需要添加相应的 starter 依赖。同时，数据库驱动也是必不可少的，例如 MySQL 的 Java 连接器。这些依赖的版本需要根据实际情况进行选择，确保整个技术栈的兼容性和稳定性 。 1.3 分层架构设计实践 典型的四层架构包含表现层、安全管理层、数据访问层和会话管理层。​​表现层​​ 处理 HTTP 请求，通过 ShiroFilterFactoryBean 实现请求过滤。​​安全管理层​​ 由 SecurityManager 协调 Realm、SessionManager 等组件工作。​​数据访问层​​ 通过自定义 Realm 实现数据库交互，支持动态权限加载。​​会话管理层​​ 基于 Redis 等分布式缓存实现会话的分布式管理 。 这种分层设计使得系统各组件职责清晰，便于维护和扩展。表现层专注于请求的处理和响应，安全管理层统一处理所有安全相关的逻辑，数据访问层负责与持久化数据源交互，会话管理层则处理用户状态的管理。通过这种架构，可以构建出高性能、高可用的安全体系。 1.4 整合配置详解 SpringBoot 与 Shiro 的整合需要通过配置类来完成。首先创建 ShiroConfig 类，使用 @Configuration 注解标记为配置类。在该类中，需要定义几个关键的 Bean：SecurityManager、ShiroFilterFactoryBean 和自定义 Realm 。 SecurityManager 是 Shiro 的核心安全管理器，负责协调各组件工作。在配置中，需要将自定义的 Realm 设置到 SecurityManager 中。ShiroFilterFactoryBean 用于定义过滤器链，配置不同 URL 的访问策略，如匿名访问、需要认证等。自定义 Realm 则负责实现具体的认证和授权逻辑，连接应用的安全数据源 。 过滤器链的配置需要特别注意顺序问题，因为 Shiro 会按照配置的顺序依次匹配过滤器。通常将具体的 URL 模式放在前面，通用的模式放在后面，以确保匹配的准确性。同时，需要合理配置登录 URL、成功 URL 和未授权跳转 URL，以提供更好的用户体验 。 1.5 自动配置机制 SpringBoot 的自动配置机制极大地简化了 Shiro 的集成工作。通过起步依赖（starter）和自动配置类，SpringBoot 能够根据类路径中的依赖自动配置 Shiro 的相关组件。开发者只需要添加相应的依赖，并进行必要的自定义配置，就可以快速搭建起安全框架 。 自动配置涵盖了 SecurityManager、Realm、过滤器链等核心组件。同时，SpringBoot 还提供了丰富的配置属性，允许开发者通过 application.properties 或 application.yml 文件对 Shiro 进行细粒度的配置。这种约定优于配置的方式，大大减少了样板代码的编写，提高了开发效率 。 通过深入了解 SpringBoot 与 Shiro 的整合基础和架构设计，开发者可以构建出结构清晰、易于维护的安全体系。这种整合不仅提供了强大的安全功能，还能充分利用 SpringBoot 的便利特性，实现快速开发和部署。