📫 作者简介:「六月暴雪飞梨花」,专注于研究Java,就职于科技型公司后端工程师
🏆 近期荣誉:华为云云享专家、阿里云专家博主、腾讯云优秀创作者、腾讯云TDP-KOL、ACDU成员、墨天轮技术专家博主
🔥 三连支持:欢迎 ❤️关注、👍点赞、👉收藏三连,支持一下博主~
文章目录
1 关于Shiro中Management 配置
在 Apache Shiro 权限管理框架中,Management 配置是实现用户、角色、权限精细化管控的核心环节。本文将结合实战场景,详解其适用版本、配置步骤及各参数含义,帮助开发者快速上手。
2 选择合适的版本
Shiro Management 配置核心功能在1.4.0 及以上版本中稳定支持,推荐使用1.10.0 最新稳定版。该版本修复了早期版本中权限继承漏洞,同时优化了 JWT 集成与集群环境下的会话管理,兼容性覆盖 Spring Boot 2.x/3.x、Spring Cloud 等主流开发框架。
3 引入Maven依赖管理
首先在 Maven 项目中添加核心依赖,确保包含 shiro-core 与 shiro-web(Web 项目)。
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.10.0</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>1.10.0</version>
</dependency>
然后配置 SecurityManager 与 Realm,最后自定义 Realm 继承 AuthorizingRealm,重写 doGetAuthorizationInfo(权限校验)与 doGetAuthenticationInfo(身份认证)方法。
4 关键配置项
4.1 securityManager
Shiro 核心管理器,负责协调认证、授权等组件。
# 配置安全管理器
securityManager.realms=$myRealm
# 启用会话验证调度器(防止无效会话堆积)
securityManager.sessionManager.sessionValidationSchedulerEnabled=true
# 会话超时时间(单位:毫秒)
securityManager.sessionManager.globalSessionTimeout=1800000
4.2 Realm 配置
指定权限数据来源,支持 JDBC、LDAP 等多种实现
# 自定义Realm配置
myRealm=com.example.security.CustomRealm
# 密码加密器(推荐使用BCrypt)
myRealm.credentialsMatcher=$credentialsMatcher
credentialsMatcher=org.apache.shiro.authc.credential.BCryptCredentialsMatcher
4.3 URL 权限控制
通过 ShiroFilterFactoryBean 配置资源访问规则
@Bean
public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
ShiroFilterFactoryBean filter = new ShiroFilterFactoryBean();
filter.setSecurityManager(securityManager);
// 未认证跳转URL
filter.setLoginUrl("/login");
// 认证成功默认跳转URL
filter.setSuccessUrl("/index");
// 权限不足跳转URL
filter.setUnauthorizedUrl("/403");
Map<String, String> filterMap = new LinkedHashMap<>();
// 匿名访问资源
filterMap.put("/static/**", "anon");
filterMap.put("/login", "anon");
// 需角色admin才能访问
filterMap.put("/admin/**", "roles[admin]");
// 需权限user:view才能访问
filterMap.put("/user/**", "perms[user:view]");
// 其余资源需认证
filterMap.put("/**", "authc");
filter.setFilterChainDefinitionMap(filterMap);
return filter;
}
通过以上配置,可实现完整的权限管理体系。实际开发中需根据业务场景调整 Realm 数据获取逻辑与 URL 权限规则,同时注意密码加密存储与会话安全配置,保障系统权限安全。
5 集成Spring Boot
在pom.xml中引入 Shiro 与 Spring Boot 的整合依赖,替代传统的shiro-core与shiro-web。
<!-- Shiro整合Spring Boot依赖 -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring-boot-starter</artifactId>
<version>1.10.0</version>
</dependency>
<!-- 可选:Shiro缓存支持(若需使用Redis存储会话) -->
<dependency>
<groupId>org.crazycake</groupId>
<artifactId>shiro-redis-spring-boot-starter</artifactId>
<version>3.2.1</version>
</dependency>
欢迎关注博主 「六月暴雪飞梨花」 或加入【六月暴雪飞梨花社区】一起学习和分享Linux、C、C++、Python、Matlab,机器人运动控制、多机器人协作,智能优化算法,滤波估计、多传感器信息融合,机器学习,人工智能等相关领域的知识和技术。