转载

只需要 6 个步骤，Spring Boot 集成 shiro，并完成登录

小Hub领读：

导入jar包，配置yml参数，编写ShiroConfig定义DefaultWebSecurityManager，重写Realm，编写controller，编写页面，一气呵成。搞定，是个高手~

上面一篇文章中，我们已经知道了shiro的认证与授权过程，这也是shiro里面最核心常用的基础功能。现在我们把shiro集成到我们的项目中，开始搭建一个有认证和权限体系的项目，比如用户中心需要登录之后才能访问等！

1、极简入门，Shiro的认证与授权流程解析

集成Shiro

根据官方文档： https://shiro.apache.org/spring-boot.html

第一步：集成导入jar包：

有些同学还在用 shiro-spring 的jar包，但是集成的配置就相对多一点，所以可以直接使用starter包更加方便。

第二步：写好配置，官方给我们提供的属性参数，以及一些默认值，如果不符合我们的需求，可以自行改动哈。

只需要 6 个步骤，Spring Boot 集成 shiro，并完成登录

从配置上就可以看出，shiro的注解功能，rememberMe等功能已近自动集成进来了。所以starter包使用起来还是非常简单的，只需要熟悉shiro的流程，从0开发不在话下哈。

application.yml

上面的配置，我就改了一下登录的url，其他都是使用默认的，作为我们最简单的测试，相信你们。

第三步：配置shiro的securityManager和自定义realm。因为realm负责我们的认证与授权，所以是必须的，自定义的realm必须要交给securityManager管理，所以这两个类需要重写。然后还有一些资源的权限说明，所以一般需要定义ShiroFilterChainDefinition，所以有3个类我们常写的：

AuthorizingRealm
DefaultWebSecurityManagershiro的核心管理器
ShiroFilterChainDefinition过滤器链配置

上面说到ShiroFilterChainDefinition是定义过滤器配置的，啥意思呢，我们来看看其中一句：

这一句代码意思是说：访问 /admin/** 开头的链接，都需要已经完成登录认证 authc 、并且拥有 admin 角色权限才能访问。

你可以看到key-value是 链接-过滤器 的组合，过滤器可以同时多个。那么authc、role、perms、anon到底是哪来的呢？有啥特殊意义？是啥拦截器？

我们来看下这个说明文档：

只需要 6 个步骤，Spring Boot 集成 shiro，并完成登录

可以看到，其实每个简写单词，都是一个过滤器的名称。比如authc代表这 FormAuthenticationFilter 。每个过滤器具体是啥用的？我们看几个常用的吧：

authc 基于表单的拦截器，没有登录会跳到相应的登录页面登录
user 用户拦截器，用户已经身份验证 / 记住我登录的都可
anon 匿名拦截器，即不需要登录即可访问
roles 角色授权拦截器，验证用户是否拥有所有角色
perms 权限授权拦截器，验证用户是否拥有所有权限

第四步：ok，根据需求项目的资源制定项目过滤器链 ShiroFilterChainDefinition 。我们再回到AccountRealm这个类。我们之前说过，认证授权的过程，我们是在Realm里面完成的。所以我们需要继承Realm，并实现两个方法。

但是这里需要注意，我们一般不直接继承 Realm ，可以看看Realm接口：

org.apache.shiro.realm.Realm

而从上一篇文章中，我们分析的认证授权的源码过程时候，你会看到，认证和授权分别调用的realm是 AuthenticatingRealm 和 AuthorizingRealm 。说明源码里面已经经过了一些封装，所以我们就不能再直接继承 Realm ，那么 AuthenticatingRealm 和 AuthorizingRealm 我们继承哪个呢？我们发现 AuthorizingRealm 是继承 AuthenticatingRealm 的，所以在重写realm的时候，我们只需要集成超类 AuthorizingRealm 即可。

只需要 6 个步骤，Spring Boot 集成 shiro，并完成登录