使用Spring Boot整合Shiro的步骤如下:
引入依赖
在pom.xml文件中添加如下依赖:
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring-boot-web-starter</artifactId>
<version>1.7.0</version>
</dependency>
配置Shiro
在application.properties或application.yml文件中添加如下配置:
shiro:
success-url: /index # 登录成功后跳转的页面
login-url: /login # 登录页面
unauthorized-url: /unauthorized # 未授权页面
filter-chain-definition-map:
/login: anon # 放行登录页面
/logout: logout # 注销操作
/**: authc # 其他所有请求都需要认证才能访问
以上配置中,定义了登录成功后跳转的页面、登录页面、未授权页面以及URL过滤器链。具体的URL过滤器链配置可以根据实际需求进行调整。
编写Realm对象
public class MyRealm extends AuthorizingRealm {
@Autowired
private UserService userService; // 用户服务类
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
String username = (String) principals.getPrimaryPrincipal();
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
// 从数据库中获取用户角色和权限,并加入info对象中
User user = userService.findByUsername(username);
for (Role role : user.getRoles()) {
info.addRole(role.getName());
for (Permission permission : role.getPermissions()) {
info.addStringPermission(permission.getName());
}
}
return info;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String username = (String) token.getPrincipal();
User user = userService.findByUsername(username);
if (user == null) {
throw new UnknownAccountException(); // 用户不存在
}
return new SimpleAuthenticationInfo(username, user.getPassword(), getName());
}
}
以上代码中,我们使用@Autowired注解将UserService类注入到MyRealm对象中,以方便从数据库中获取用户信息。doGetAuthorizationInfo方法中,我们从数据库中获取用户角色和权限,并加入SimpleAuthorizationInfo对象中;而doGetAuthenticationInfo方法中,则是通过用户名获取用户信息,并返回SimpleAuthenticationInfo对象。
实现登录和注销操作
@Controller
public class LoginController {
@GetMapping("/login")
public String loginPage() {
return "login";
}
@PostMapping("/login")
public String login(String username, String password, boolean rememberMe, Model model) {
Subject currentUser = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe);
try {
currentUser.login(token);
return "redirect:/index";
} catch (UnknownAccountException e) {
model.addAttribute("error", "用户不存在!");
} catch (IncorrectCredentialsException e) {
model.addAttribute("error", "密码错误!");
} catch (ExcessiveAttemptsException e) {
model.addAttribute("error", "登录失败次数过多,请稍后再试!");
} catch (LockedAccountException e) {
model.addAttribute("error", "该账号已被锁定!");
} catch (DisabledAccountException e) {
model.addAttribute("error", "该账号已被禁用!");
} catch (AuthenticationException e) {
model.addAttribute("error", "登录失败!");
}
return "login";
}
@GetMapping("/logout")
public String logout() {
SecurityUtils.getSubject().logout();
return "redirect:/login";
}
}
以上代码中,我们首先在LoginController类中定义了/login和/logout两个请求处理方法。其中,loginPage方法用于返回登录页面,而login方法则处理登录请求;logout方法用于注销当前用户。
实现权限控制
@RestController
@RequestMapping("/api/user")
public class UserController {
@RequiresPermissions("user:view")
@GetMapping("/{id}")
public User getUser(@PathVariable Long id) {
// 根据ID从数据库中获取用户信息并返回
}
@RequiresPermissions("user:edit")
@PutMapping("/{id}")
public void updateUser(@PathVariable Long id, @RequestBody User user) {
// 根据ID更新用户信息
}
}
以上代码中,我们使用@RestController注解将UserController类声明为一个RESTful风格的控制器,并在@RequestMapping注解中指定了请求路径。getUser方法和updateUser方法分别对应获取用户和更新用户两个操作,而在这两个方法上,我们使用了@RequiresPermissions注解来进行权限控制。
@RequiresPermissions注解可以用于Controller、Service、DAO等各种组件中的方法上,用于限制访问该方法所需的权限。例如,在以上代码中,要访问getUser方法,需要拥有"user:view"权限;而要访问updateUser方法,则需要拥有"user:edit"权限。如果当前用户没有相应的权限,则Shiro会自动跳转到未授权页面。
在getUser方法中,我们使用了@PathVariable注解将{id}占位符绑定到方法参数中的id变量上,以获取URL中的动态参数。而在updateUser方法中,我们使用了@RequestBody注解将请求体中的JSON数据绑定到方法参数中的user对象上,以获取更新后的用户信息。
测试
最后,我们可以启动Spring Boot应用程序并进行测试。首先访问登录页面(http://localhost:8080/login),输入正确的用户名和密码进行登录。登录成功后,访问其他需要权限才能访问的页面,如http://localhost:8080/api/user/1。此时,如果当前用户没有相应的权限,则会被重定向到未授权页面。如果当前用户拥有相应的权限,则可以正常访问页面并执行相应的操作。
以上就是使用Spring Boot整合Shiro的基本步骤。当然,具体的实现方式还会因项目需求而异。