Shiro

Shiro 是 Apache 旗下开源的一款强大且易用的Java安全框架，身份验证、授权、加密、会话管理。 相比 Spring Security 而言 Shiro 更加轻量级，且 API 更易于理解…

Shiro 主要分为 安全认证 和 接口授权 两个部分，其中的核心组件为 Subject、SecurityManager、Realms，公共部分 Shiro 都已经为我们封装好了，我们只需要按照一定的规则去编写响应的代码即可…

• Subject 即表示主体，将用户的概念理解为当前操作的主体，因为它即可以是一个通过浏览器请求的用户，也可能是一个运行的程序，外部应用与 Subject 进行交互，记录当前操作用户。Subject 代表了当前用户的安全操作，SecurityManager 则管理所有用户的安全操作。
• SecurityManager 即安全管理器，对所有的 Subject 进行安全管理，并通过它来提供安全管理的各种服务（认证、授权等）
• Realm 充当了应用与数据安全间的 桥梁 或 连接器。当对用户执行认证（登录）和授权（访问控制）验证时，Shiro 会从应用配置的 Realm 中查找用户及其权限信息。

集成 Spring Boot

导入依赖

依赖 spring-boot-starter-web

属性配置

缓存配置

Shiro 为我们提供了 CacheManager 即缓存管理，将用户权限数据存储在缓存，可以提高它的性能。支持 EhCache、Redis 等常规缓存，这里为了简单起见就用 EhCache 了 ， 在resources 目录下创建一个 ehcache-shiro.xml 文件

实体类

创建一个 User.java ，标记为数据库用户

伪造数据

支持 roles、permissions，比如你一个接口可以允许用户拥有某一个角色，也可以是拥有某一个 permission

ShiroConfiguration

Shiro 的主要配置信息都在此文件内实现；

ShiroConfiguration.java类（篇幅限制，分段截图）

AuthRealm

上面介绍过 Realm ，安全认证和权限验证的核心处理就是重写 AuthorizingRealm 中的 doGetAuthenticationInfo（登录认证） 与 doGetAuthorizationInfo（权限验证）

控制器

在 ShiroConfiguration 中的 shiroFilter 处配置了 /hello = anon，意味着可以不需要认证也可以访问，那么除了这种方式外 Shiro 还为我们提供了一些注解相关的方式…

常用注解

• @RequiresGuest 代表无需认证即可访问，同理的就是 /path = anon
• @RequiresAuthentication 需要认证，只要登录成功后就允许你操作
• @RequiresPermissions 需要特定的权限，没有则抛出AuthorizationException
• @RequiresRoles 需要特定的橘色，没有则抛出AuthorizationException
• @RequiresUser 不太清楚，不常用…

LoginController

UserController

启动类：

测试

启动 Chapter25Application.java 中的 main 方法，为了更好的演示效果这里打开了 postman 做的测试，只演示其中一个流程，剩下的可以自己复制代码测试…

先登录，由于 u3 在 DBCache 中拥有的角色是 test，只有 user:list 这一个权限

访问 /users/query 成功，因为我们符合响应的角色/权限

访问 /users/find 失败，并重定向到了 /denied 接口，问题来了为什么 /users/find 没有写注解也权限不足呢？

细心的朋友肯定会发现 在 ShiroConfiguration 中写了一句 permissions.put(“/users/find”, “perms[user:find]”); 意味着我们不仅可以通过注解方式，同样可以通过初始化时加载数据库中的权限树做控制，看各位喜好了

喜欢的小伙伴，点个关注吧！