Spring Boot Shiro auto-configure工作流程详解
更新时间:2023年02月10日 11:20:50 作者:Samson_bu
这篇文章主要为大家介绍了Spring Boot Shiro auto-configure工作流程详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
01-Shiro 自动配置原理
Shiro 与 Spring Boot 集成可以通过 shiro-spring-boot-stater 实现,并能完成必要类自动装配。 实现方式是通过 Spring Boot 的自动配置机制,即 WEB-INF/spring.factories 中通过 EnableAutoConfiguration 指定了 6 个自动化配置类:
org.springframework.boot.autoconfigure.EnableAutoConfiguration = \ org.apache.shiro.spring.config.web.autoconfigure.ShiroWebAutoConfiguration,\ org.apache.shiro.spring.config.web.autoconfigure.ShiroWebFilterConfiguration,\ org.apache.shiro.spring.config.web.autoconfigure.ShiroWebMvcAutoConfiguration,\ org.apache.shiro.spring.boot.autoconfigure.ShiroBeanAutoConfiguration,\ org.apache.shiro.spring.boot.autoconfigure.ShiroAutoConfiguration,\ org.apache.shiro.spring.boot.autoconfigure.ShiroAnnotationProcessorAutoConfiguration
它们之间的关系为:
当配置项 shiro.enabled = true 且 shiro.web.enabled = false 时,ShiroWeb*Configuration 配置不生效。 当 shiro.web.enabled = true 时,上述六个皆生效,不过 ShiroWebAutoConfiguration 上有注解 @AutoConfigureBefore(ShiroAutoConfiguration.class), 保证能在 ShiroAutoConfiguration 之前,使用 web 配置覆盖 standalone 配置
02-自动配置类
Shiro 中的核心是 SecurityManager,它将 Authenticator、Authorizer、SessionManager 等关键模块组合在一起。 在 ShiroWebAutoConfiguration 中包含了上述几个核心模块的默认初始化过程。
对 Authenticator 来说(ShiroWebAutoConfiguration 返回的都是父类方法的内容,所以下面我直接将方法体替换为父类的):
@Bean
@ConditionalOnMissingBean
@Override
protected AuthenticationStrategy authenticationStrategy() {
return new AtLeastOneSuccessfulStrategy();
}
@Bean
@ConditionalOnMissingBean
@Override
protected Authenticator authenticator() {
ModularRealmAuthenticator authenticator = new ModularRealmAuthenticator();
authenticator.setAuthenticationStrategy(authenticationStrategy());
return authenticator;
}
默认情况下,使用的是 ModularRealmAuthenticator,策略类使用的事 AtLeastOneSuccessfulStrategy,即多个 Realms 时,至少一个成功则认为是成功。
对 Authorizer 来说:
@Bean
@ConditionalOnMissingBean
@Override
protected Authorizer authorizer() {
ModularRealmAuthorizer authorizer = new ModularRealmAuthorizer();
if (permissionResolver != null) {
// 负责从 permission 字符串里解析出 Permission 对象
authorizer.setPermissionResolver(permissionResolver); // 这两个都是通过 @Autowired 注入进来的
}
if (rolePermissionResolver != null) {
// 负责从 role 字符串里解析出 Permission 集合
authorizer.setRolePermissionResolver(rolePermissionResolver); // 这两个都是通过 @Autowired 注入进来的
}
return authorizer;
}
对于 SessionManager 来说:
@Bean
@ConditionalOnMissingBean
@Override
protected SessionManager sessionManager() {
if (useNativeSessionManager) { // 从环境变量 shiro.userNativeSessionManager 取,默认为 false
// 省略了其他设置
return new DefaultWebSessionManager();
}
return new ServletContainerSessionManager();
}
对于 SecurityManager 来说:
@Bean
@ConditionalOnMissingBean
@Override
protected SessionsSecurityManager securityManager(List<Realm> realms) {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setSubjectDAO(subjectDAO());
securityManager.setSubjectFactory(subjectFactory());
securityManager.setRememberMeManager(rememberMeManager());
securityManager.setAuthenticator(authenticator());
securityManager.setAuthorizer(authorizer());
securityManager.setRealms(realms);
securityManager.setSessionManager(sessionManager());
securityManager.setEventBus(eventBus);
if (cacheManager != null) {
securityManager.setCacheManager(cacheManager);
}
return securityManager;
}
对于其他对象,例如 SubjectDAO/SubjectFactory、SessionDAO/SessionFactory/SessionManager、RememberMeManager、EventBus,在系统中属于比较底层的辅助模块,一般与业务牵扯比较小,所以通过情况下不需要修改。 我简单介绍下它们的作用,以及 Shiro Web 应用中使用得默认类型:
- SubjectFactory 有两个默认实现,DefaultSubjectFactory 和 DefaultWebSubjectFactory 分别用来创建 standalone 和 Web 程序中的 Subject 对象。
- SubjectDAO 有一个默认实现,DefaultSubjectDAO 负责将 Subject 对象存储到其所属的 Session 对象中。
- RememberMeManager 负责将 Subject 的 principals 存储到 cookie 中。
- EventBus 是 Shiro 中的事件总线,负责在 Shiro 全声明周期触发特定事件或接受事件通知。
- SessionDAO/SessionFactory/SessionManager 是与 Session 管理、持久化相关的模块。
03-Filter 相关的配置类
ShiroWebFilterConfiguration 中定义了与 Servlet Filter 相关的对象。 对于 ShiroFilterFactoryBean,负责创建 shiroFilter 对象:
@Bean
@ConditionalOnMissingBean
@Override
protected ShiroFilterFactoryBean shiroFilterFactoryBean() {
ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();
// 从环境变量中取
filterFactoryBean.setLoginUrl(loginUrl); // shiro.loginUrl
filterFactoryBean.setSuccessUrl(successUrl); // shiro.successUrl
filterFactoryBean.setUnauthorizedUrl(unauthorizedUrl); // shiro.unauthorizedUrl
filterFactoryBean.setSecurityManager(securityManager); // 由 @Autowired 注入
filterFactoryBean.setShiroFilterConfiguration(shiroFilterConfiguration()); // 由 @Autowired 注入或默认使用 ShiroFilterConfiguration
filterFactoryBean.setGlobalFilters(globalFilters()); // 由 @Autowired 注入
filterFactoryBean.setFilterChainDefinitionMap(shiroFilterChainDefinition.getFilterChainMap()); // 由 @Autowired 注入
filterFactoryBean.setFilters(filterMap); // 由 @Autowired 注入
return filterFactoryBean;
}
对于 filterShiroFilterRegistrationBean 来说,负责向 ServletContext 中注册 shiroFilter 对象:
@Bean(name = REGISTRATION_BEAN_NAME)
@ConditionalOnMissingBean(name = REGISTRATION_BEAN_NAME)
protected FilterRegistrationBean<AbstractShiroFilter> filterShiroFilterRegistrationBean() throws Exception {
FilterRegistrationBean<AbstractShiroFilter> filterRegistrationBean = new FilterRegistrationBean<>();
filterRegistrationBean.setDispatcherTypes(DispatcherType.REQUEST, DispatcherType.FORWARD, DispatcherType.INCLUDE, DispatcherType.ERROR);
filterRegistrationBean.setFilter((AbstractShiroFilter) shiroFilterFactoryBean().getObject()); // 有前面的 FactoryBean 创建
filterRegistrationBean.setName(FILTER_NAME); // shiroFilter
filterRegistrationBean.setOrder(1);
return filterRegistrationBean;
}
关于 globalFilters,默认只有 InvalidRequestFilter:
@Bean(name = "globalFilters")
@ConditionalOnMissingBean
protected List<String> globalFilters() {
return Collections.singletonList(DefaultFilter.invalidRequest.name());
}
通过前面的分析,如果业务需要针对不同的 URL 使用不同的 shiro-filter chain,可以通过自定义 shiroFilterChainDefinition 并将其注入都容器中即可,例如:
@Bean
public ShiroFilterChainDefinition shiroFilterChainDefinition() {
DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
chainDefinition.addPathDefinition("/manage/index", "user");
chainDefinition.addPathDefinition("/manage/logout", "logout");
chainDefinition.addPathDefinition("/manage/**", "authc");
// shiro 放行 swagger
chainDefinition.addPathDefinition("/swagger-ui/**", "user");
chainDefinition.addPathDefinition("/swagger-resources/**", "user");
chainDefinition.addPathDefinition( "/v3/api-docs/**","user");
chainDefinition.addPathDefinition("/**", "anon");
return chainDefinition;
}
04-总结
今天,我介绍了 shiro-spring-boot-starter 中对 Shiro 进行自动化配置的细节。 通过对这些配置的了解,能够在遇到具体的业务问题时修改特定模块的实现方式,对理解和使用 Shiro 框架是非常必要的事情。 希望今天的内容能对你有所帮助,更多关于Spring Boot Shiro auto-configure的资料请关注脚本之家其它相关文章!
相关文章
今天给大家带来的是关于Java的相关知识,文章围绕着Java抽象类与普通类的区别展开,文中有非常详细的介绍及代码示例,需要的朋友可以参考下2021-06-06
这篇文章主要介绍了Java生成PDF文档方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2019-04-04
结果集映射指的是将数据表中的字段与实体类中的属性关联起来,这样 MyBatis 就可以根据查询到的数据来填充实体对象的属性,帮助我们完成赋值操作2022-10-10
Java环境中MyBatis与Spring或Spring MVC框架的集成方法
和MyBatis类似,Spring或者Spring MVC框架在Web应用程序的运作中同样主要负责处理数据库事务,这里我们就来看一下Java环境中MyBatis与Spring或Spring MVC框架的集成方法2016-06-06
这篇文章主要为大家详细介绍了Java实现矩形碰撞检测,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2021-06-06
这篇文章主要介绍了SpringBoot数据库查询超时配置,超时配置可以避免长时间占用数据库连接,提高系统的响应速度和吞吐量,还可以快速的反馈可以提升用户体验,避免用户因长时间等待而感到挫败,文中有详细的代码示例供大家参考,需要的朋友可以参考下2024-11-11
java中JSONObject转换为HashMap(方法+main方法调用实例)
这篇文章主要介绍了java中JSONObject转换为HashMap(方法+main方法调用实例),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-11-11
MinIO 是一个基于Apache License v2.0开源协议的对象存储服务,它兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据,本文给大家介绍了springboot整合minio实现文件存储功能,文中通过代码示例介绍的非常详细,需要的朋友可以参考下2023-12-12
在Spring Boot中,我们只需要通过使用@Async注解就能简单的将原来的同步函数变为异步函数,下面这篇文章主要给大家介绍了关于Spring Boot之@Async异步线程池的相关资料,需要的朋友可以参考下2021-09-09
本文指导读者如何从官网下载并安装Git,以及在IDEA中配置Git的详细步骤,首先,用户需访问Git官方网站下载适合自己操作系统的Git版本并完成安装,接着,在IDEA中通过设置找到git.exe文件以配置Gi2024-10-10
最新评论