教你 Shiro 整合 SpringBoot，避开各种坑

作者：Howie_Y，系原创投稿

主页：www.jianshu.com/u/79638e5f0743

最近搞了下 Shiro 安全框架，找了一些网上的博客文章，但是一到自己实现的时候就遇到了各种坑，需要各种查资料看源码以及各种测试。

那么这篇文章就教大家如何将 Shiro 整合到 SpringBoot 中，并避开一些小坑，这次实现了基本的登陆以及角色权限，往后的文章也讲解了其他的功能，如Shiro + SpringBoot 整合 JWT。

本文中的源码实例点击下方阅读原文直达！

依赖包

   org.apache.shiro
   shiro-spring
   1.3.2

数据库表

一切从简，用户 user 表，以及角色 role 表

Shiro 相关类

Shiro 配置类

@Configuration
public class ShiroConfig {
   @Bean
   public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
       ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
       // 必须设置 SecurityManager
       shiroFilterFactoryBean.setSecurityManager(securityManager);
       // setLoginUrl 如果不设置值，默认会自动寻找Web工程根目录下的"/login.jsp"页面 或 "/login" 映射
       shiroFilterFactoryBean.setLoginUrl("/notLogin");
       // 设置无权限时跳转的 url;
       shiroFilterFactoryBean.setUnauthorizedUrl("/notRole");

       // 设置拦截器
       Map filterChainDefinitionMap = new linkedHashMap<>();
       //游客，开发权限
       filterChainDefinitionMap.put("/guest
   @Bean
   public SecurityManager securityManager() {
       DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
       // 设置realm.
       securityManager.setRealm(customRealm());
       return securityManager;
   }

   
   @Bean
   public CustomRealm customRealm() {
       return new CustomRealm();
   }
}

注意：里面的 SecurityManager 类导入的应该是 import org.apache.shiro.mgt.SecurityManager; 但是，如果你是复制代码过来的话，会默认导入 java.lang.SecurityManager 这里也稍稍有点坑，其他的类的话，也是都属于 shiro 包里面的类。

shirFilter 方法中主要是设置了一些重要的跳转 url，比如未登陆时，无权限时的跳转；以及设置了各类 url 的权限拦截，比如 /user 开始的 url 需要 user 权限，/admin 开始的 url 需要 admin 权限等

权限拦截 Filter

当运行一个Web应用程序时，Shiro将会创建一些有用的默认 Filter 实例，并自动地将它们置为可用，而这些默认的 Filter 实例是被 DefaultFilter 枚举类定义的，当然我们也可以自定义 Filter 实例，这些在以后的文章中会讲到

DefaultFilter

常用的主要就是 anon，authc，user，roles，perms 等

注意：anon, authc, authcBasic, user 是第一组认证过滤器，perms, port, rest, roles, ssl 是第二组授权过滤器，要通过授权过滤器，就先要完成登陆认证操作（即先要完成认证才能前去寻找授权) 才能走第二组授权器（例如访问需要 roles 权限的 url，如果还没有登陆的话，会直接跳转到 shiroFilterFactoryBean.setLoginUrl(); 设置的 url ）