背景介绍

对于许多维护老版JeecgBoot项目的开发者来说，权限框架的升级一直是个棘手问题。这篇文章分享一种实用的方案，用于将老版JeecgBoot中的Apache Shiro替换为更现代的Sa-Token框架。需要特别说明的是，新版JeecgBoot已经采用了Spring Security，本文主要针对那些由于各种原因无法升级到新版的历史项目。

技术痛点

老版JeecgBoot采用Apache Shiro作为权限框架，存在以下问题：

1. 配置复杂，使用成本高
2. 核心权限逻辑封装在第三方依赖中，不便于修改和扩展
3. 对分布式架构支持有限
4. 使用注解进行权限控制时，代码侵入性较强

直接替换Shiro会带来巨大的工作量和风险，因此需要一种低侵入性的迁移方案。

技术方案

本方案采用"旁路接管"的思路：通过动态修改Shiro的过滤器链配置，使其放行所有请求，然后使用Sa-Token接管实际的权限控制逻辑。这种方式无需大量修改源码，可以实现平滑迁移。

实现步骤

1. 配置Bean覆盖

在application.yml中添加配置：

spring:
  main:
    allow-bean-definition-overriding: true

这个配置允许我们的自定义Bean覆盖原有Bean，是整个方案的基础。

2. 创建Shiro配置类

@Configuration
public class CustomShiroConfig {
    private static final Logger log = LoggerFactory.getLogger(CustomShiroConfig.class);
    
    public void updateShiroFilterChain(ShiroFilterFactoryBean shiroFilterFactoryBean) {
        try {
            log.info("======= 开始更新Shiro过滤器链，使所有请求被放行 =======");
            
            // 使用常规方式更新过滤器链定义
            Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
            filterChainDefinitionMap.put("/**", "anon");
            shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
            
            // 使用底层API彻底更新过滤器链
            AbstractShiroFilter shiroFilter = (AbstractShiroFilter) shiroFilterFactoryBean.getObject();
            if (shiroFilter != null) {
                PathMatchingFilterChainResolver filterChainResolver = (PathMatchingFilterChainResolver) shiroFilter.getFilterChainResolver();
                DefaultFilterChainManager filterChainManager = (DefaultFilterChainManager) filterChainResolver.getFilterChainManager();
                
                // 清除现有过滤器链
                filterChainManager.getFilterChains().clear();
                
                // 重建过滤器链
                Map<String, String> chains = new HashMap<>();
                chains.put("/**", "anon");
                
                for (Map.Entry<String, String> entry : chains.entrySet()) {
                    filterChainManager.createChain(entry.getKey(), entry.getValue());
                }
                
                log.info("======= Shiro过滤器链更新成功 =======");
            }
        } catch (Exception e) {
            log.error("======= Shiro过滤器链更新失败 =======", e);
        }
    }
}

这个类的核心是使用两层方式修改Shiro的过滤器链配置，确保Shiro对所有请求都直接放行。

3. 创建简化版ShiroRealm

@Component
public class CustomShiroRealm extends AuthorizingRealm {
    
    private static final Logger log = LoggerFactory.getLogger(CustomShiroRealm.class);
    
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        log.info("======= 自定义ShiroRealm: 授权逻辑 =======");
        return new SimpleAuthorizationInfo();
    }
    
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) {
        log.info("======= 自定义ShiroRealm: 认证逻辑 =======");
        return null;
    }
}

这个Realm实现提供了空的认证和授权逻辑，进一步确保Shiro不会拦截任何请求。

4. 创建启动初始化器

@Component
@Order(1)
public class ShiroInitializer implements ApplicationRunner {
    
    private static final Logger log = LoggerFactory.getLogger(ShiroInitializer.class);
    
    @Autowired
    private CustomShiroConfig customShiroConfig;
    
    @Autowired
    private ShiroFilterFactoryBean shiroFilterFactoryBean;
    
    @Override
    public void run(ApplicationArguments args) throws Exception {
        log.info("======= 初始化Shiro配置，确保请求放行 =======");
        customShiroConfig.updateShiroFilterChain(shiroFilterFactoryBean);
        log.info("======= Shiro配置初始化完成 =======");
    }
}

这个初始化器实现了ApplicationRunner接口，确保应用启动时自动执行Shiro配置更新。

5. 配置Sa-Token拦截器

@Configuration
@Order(1)
public class SaTokenConfigure implements WebMvcConfigurer {
    private static final Logger log = LoggerFactory.getLogger(SaTokenConfigure.class);
    
    @Autowired
    protected SecrityProperties secrityProperties;
    
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 注册Sa-Token路由拦截器
        registry.addInterceptor(new SaRouteInterceptor((req, res, handler)->{
            log.info("======= Sa-Token拦截请求: {} =======", req.getUrl());
            
            // 权限控制逻辑
            SaRouter.match("/**").notMatch(secrityProperties.getPermitAllUrl()).check(r->{
                if(StpUtil.isLogin()){
                    // 管理员权限检查
                    log.info("======= 管理员登录, ID: {} =======", StpUtil.getLoginIdAsString());
                    StpUtil.checkLogin();
                    
                    // 可添加更多权限检查
                    // StpUtil.checkPermission("system:user:view");
                    // StpUtil.checkRole("admin");
                    
                } else {
                    // 普通用户权限检查
                    if(StpUserUtil.isLogin()) {
                        log.info("======= 普通用户登录, ID: {} =======", StpUserUtil.getLoginIdAsString());
                    } else {
                        log.info("======= 用户未登录，拦截请求 =======");
                    }
                    StpUserUtil.checkLogin();
                }
            });
        })).addPathPatterns("/**");
    }
}

这是整个方案的核心，Sa-Token拦截器接管了实际的权限控制逻辑。

6. 配置白名单

@Component
@ConfigurationProperties(prefix = "secrity")
public class SecrityProperties {
    /**
     * 白名单URL配置
     */
    public List<String> permitAllUrl;
    
    public List<String> getPermitAllUrl() {
        return permitAllUrl;
    }
    
    public void setPermitAllUrl(List<String> permitAllUrl) {
        this.permitAllUrl = permitAllUrl;
    }
}

这个配置类用于加载白名单配置，定义哪些URL可以跳过权限检查。

实现原理分析

1. 动态修改Shiro过滤器链

本方案的一个关键点是修改Shiro的过滤器链配置。通过同时使用两种方式（常规配置和底层API）来确保修改生效：

// 常规方式
filterChainDefinitionMap.put("/**", "anon");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

// 底层API方式
DefaultFilterChainManager filterChainManager = ...
filterChainManager.getFilterChains().clear();
filterChainManager.createChain("/**", "anon");

这样的双重保障确保了修改的可靠性。

2. 启动时自动配置

通过实现ApplicationRunner接口，在应用启动时自动执行配置：

@Override
public void run(ApplicationArguments args) throws Exception {
    customShiroConfig.updateShiroFilterChain(shiroFilterFactoryBean);
}

这样确保了每次应用启动都会执行Shiro配置更新。

3. Bean覆盖机制

allow-bean-definition-overriding: true配置是整个方案的基础，它允许我们的自定义Bean覆盖原有Bean，从而实现对原有配置的非侵入式修改。

技术优势

1. 低侵入性：不需要修改JeecgBoot源码，只需添加几个配置类
2. 风险可控：可以逐步迁移，先让Shiro放行，再一步步实现Sa-Token的各项功能
3. 保持兼容：原有基于Shiro的代码可以继续工作，减少迁移阻力
4. 架构升级：Sa-Token提供了更现代的特性，如分布式Session、多端登录控制等

注意事项

1. 性能考量：请求会经过Shiro和Sa-Token两层处理，有轻微性能影响，但对大多数应用影响不大
2. 升级兼容性：升级JeecgBoot时需要检查Shiro配置是否变化，可能需要调整配置
3. 权限迁移：需要逐步将基于Shiro的权限控制逻辑迁移到Sa-Token

扩展方向

1. 自定义注解：开发基于Sa-Token的权限注解，替代原有Shiro注解
2. 整合业务逻辑：在Sa-Token拦截器中增加特定业务场景的权限控制
3. 分布式架构支持：利用Sa-Token的集成Redis等特性，支持分布式应用架构
4. 权限管理前端：可以开发基于Sa-Token的权限管理界面，提升用户体验

总结

这种"旁路接管"方案为老版JeecgBoot项目提供了一条低风险的权限框架升级路径。通过动态修改Shiro配置并引入Sa-Token，实现了非侵入式的框架迁移。对于无法立即升级到新版JeecgBoot的项目，这种方案能够在保持系统稳定的同时，引入现代权限框架的优势。

这个方案的核心思想也适用于其他基于Shiro的系统，可以作为一种通用的迁移策略。通过技术框架的平滑升级，我们可以持续提升系统的安全性、可维护性和扩展性，延长历史项目的生命周期。