shiro 整合 spring 实战及源码详解

序言

前面我们学习了如下内容：
5 分钟入门 shiro 安全框架实战笔记
shiro 整合 spring 实战及源码详解
相信大家对于 shiro 已经有了最基本的认识，这一节我们一起来学习写如何将 shiro 与 spring 进行整合。
spring 整合

maven 依赖

1. <dependencies>
2.     <dependency>
3.         <groupId>org.apache.shiro</groupId>
4.         <artifactId>shiro-spring</artifactId>
5.         <version>1.7.0</version>
6.     </dependency>
7.     <dependency>
8.         <groupId>org.springframework</groupId>
9.         <artifactId>spring-context</artifactId>
10.         <version>4.3.13.RELEASE</version>
11.     </dependency>
12. </dependencies>

复制代码

服务类定义

定义一个简单的服务类，用于演示 @RequiresPermissions 注解的权限校验。

1. package com.github.houbb.shiro.inaction02.springalone;
3. import org.apache.shiro.authz.annotation.RequiresPermissions;
4. import org.slf4j.Logger;
5. import org.slf4j.LoggerFactory;
6. import org.springframework.stereotype.Component;
8. /**
9. * Simple Service with methods protected with annotations.
10. */
11. @Component
12. public class SimpleService {
14.     private static Logger log = LoggerFactory.getLogger(SimpleService.class);
16.     @RequiresPermissions("write")
17.     public void writeRestrictedCall() {
18.         log.info("executing method that requires the 'write' permission");
19.     }
21.     @RequiresPermissions("read")
22.     public void readRestrictedCall() {
23.         log.info("executing method that requires the 'read' permission");
24.     }
25. }

复制代码

快速开始

我们对原来的 Quick Start 进行改造如下：

1. package com.github.houbb.shiro.inaction02.springalone;
3. import org.apache.shiro.SecurityUtils;
4. import org.apache.shiro.authc.UsernamePasswordToken;
5. import org.apache.shiro.authz.AuthorizationException;
6. import org.apache.shiro.mgt.SecurityManager;
7. import org.apache.shiro.subject.Subject;
8. import org.slf4j.Logger;
9. import org.slf4j.LoggerFactory;
10. import org.springframework.beans.factory.annotation.Autowired;
11. import org.springframework.stereotype.Component;
13. import javax.annotation.PostConstruct;
15. /**
16. * Simple Bean used to demonstrate subject usage.
17. */
18. @Component
19. public class QuickStart {
21.     private static Logger log = LoggerFactory.getLogger(QuickStart.class);
23.     @Autowired
24.     private SecurityManager securityManager;
26.     @Autowired
27.     private SimpleService simpleService;
29.     /**
30.      * Sets the static instance of SecurityManager. This is NOT needed for web applications.
31.      */
32.     @PostConstruct
33.     private void initStaticSecurityManager() {
34.         SecurityUtils.setSecurityManager(securityManager);
35.     }
37.     public void run() {
38.         // get the current subject
39.         Subject subject = SecurityUtils.getSubject();
41.         // Subject is not authenticated yet
42.         System.out.println(!subject.isAuthenticated());
44.         // login the subject with a username / password
45.         UsernamePasswordToken token = new UsernamePasswordToken("joe.coder", "password");
46.         subject.login(token);
48.         // joe.coder has the "user" role
49.         subject.checkRole("user");
51.         // joe.coder does NOT have the admin role
52.         System.out.println(!subject.hasRole("admin"));
54.         // joe.coder has the "read" permission
55.         subject.checkPermission("read");
57.         // current user is allowed to execute this method.
58.         simpleService.readRestrictedCall();
60.         try {
61.             // but not this one!
62.             simpleService.writeRestrictedCall();
63.         }
64.         catch (AuthorizationException e) {
65.             log.info("Subject was NOT allowed to execute method 'writeRestrictedCall'");
66.         }
68.         // logout
69.         subject.logout();
70.         System.out.println(!subject.isAuthenticated());
71.     }
73. }

复制代码

这里最核心的区别是 SecurityManager 是直接通过 @Autowired 注入得到的。
也没有看到我们以前初始化 SecurityManager 的 ini 文件，这些在下面的配置文件中。
配置类

1. package com.github.houbb.shiro.inaction02.springalone;
3. import org.apache.shiro.realm.Realm;
4. import org.apache.shiro.realm.text.TextConfigurationRealm;
5. import org.apache.shiro.spring.config.ShiroAnnotationProcessorConfiguration;
6. import org.apache.shiro.spring.config.ShiroBeanConfiguration;
7. import org.apache.shiro.spring.config.ShiroConfiguration;
8. import org.springframework.context.annotation.*;
10. /**
11. * Application bean definitions.
12. */
13. @Configuration
14. @Import({ShiroBeanConfiguration.class,
15.          ShiroConfiguration.class,
16.          ShiroAnnotationProcessorConfiguration.class})
17. @ComponentScan("com.github.houbb.shiro.inaction02.springalone")
18. public class CliApp {
20.     /**
21.      * Example hard coded Realm bean.
22.      * @return hard coded Realm bean
23.      */
24.     @Bean
25.     public Realm realm() {
26.         TextConfigurationRealm realm = new TextConfigurationRealm();
27.         realm.setUserDefinitions("joe.coder=password,user\n" +
28.                                  "jill.coder=password,admin");
30.         realm.setRoleDefinitions("admin=read,write\n" +
31.                                  "user=read");
32.         realm.setCachingEnabled(true);
33.         return realm;
34.     }
36. }

复制代码

这里通过 @Bean 的方式声明了用户角色等信息，可以简单理解为和 Ini 文件初始化是等价的。
@Import 导入了 3 个配置类，我们后面进行介绍。
启动

spring 应用的启动：

1. public static void main(String[] args) {
2.     AnnotationConfigApplicationContext context = new AnnotationConfigApplicationContext(CliApp.class);
3.     context.getBean(QuickStart.class).run();
4. }

复制代码

测试日志如下：

1. 十二月 31, 2020 10:33:02 上午 org.springframework.context.annotation.AnnotationConfigApplicationContext prepareRefresh
2. 信息: Refreshing org.springframework.context.annotation.AnnotationConfigApplicationContext@6267c3bb: startup date [Thu Dec 31 10:33:02 CST 2020]; root of context hierarchy
3. 十二月 31, 2020 10:33:03 上午 org.springframework.context.support.PostProcessorRegistrationDelegate$BeanPostProcessorChecker postProcessAfterInitialization
4. 信息: Bean 'org.apache.shiro.spring.config.ShiroBeanConfiguration' of type [org.apache.shiro.spring.config.ShiroBeanConfiguration$$EnhancerBySpringCGLIB$$fbe016b3] is not eligible for getting processed by all BeanPostProcessors (for example: not eligible for auto-proxying)
5. ...
6. 信息: Bean 'org.apache.shiro.spring.config.ShiroAnnotationProcessorConfiguration' of type [org.apache.shiro.spring.config.ShiroAnnotationProcessorConfiguration$$EnhancerBySpringCGLIB$$f9d46e86] is not eligible for getting processed by all BeanPostProcessors (for example: not eligible for auto-proxying)
7. 十二月 31, 2020 10:33:03 上午 org.springframework.context.support.PostProcessorRegistrationDelegate$BeanPostProcessorChecker postProcessAfterInitialization
8. 信息: Bean 'eventBus' of type [org.apache.shiro.event.support.DefaultEventBus] is not eligible for getting processed by all BeanPostProcessors (for example: not eligible for auto-proxying)
9. 十二月 31, 2020 10:33:03 上午 org.springframework.context.support.PostProcessorRegistrationDelegate$BeanPostProcessorChecker postProcessAfterInitialization
10. 信息: Bean 'org.apache.shiro.spring.config.ShiroConfiguration' of type [org.apache.shiro.spring.config.ShiroConfiguration$$EnhancerBySpringCGLIB$$3db21503] is not eligible for getting processed by all BeanPostProcessors (for example: not eligible for auto-proxying)
11. ...
12. true
13. true
14. true

复制代码

ShiroBeanConfiguration 配置类

@Import 共计导入了 3 个配置类，我们接下来逐一分析下这 3 个配置类。
源码

1. @Configuration
2. public class ShiroBeanConfiguration extends AbstractShiroBeanConfiguration {
4.     @Bean
5.     @Override
6.     public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
7.         return super.lifecycleBeanPostProcessor();
8.     }
10.     @Bean
11.     @Override
12.     protected EventBus eventBus() {
13.         return super.eventBus();
14.     }
16.     @Bean
17.     @Override
18.     public ShiroEventBusBeanPostProcessor shiroEventBusAwareBeanPostProcessor() {
19.         return super.shiroEventBusAwareBeanPostProcessor();
20.     }
21. }

复制代码

这 3 个方法都是继承自父类，直接调用的父类方法。

• AbstractShiroBeanConfiguration.java
  

1. public class AbstractShiroBeanConfiguration {
3.     protected LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
4.         return new LifecycleBeanPostProcessor();
5.     }
7.     protected EventBus eventBus() {
8.         return new DefaultEventBus();
9.     }
11.     protected ShiroEventBusBeanPostProcessor shiroEventBusAwareBeanPostProcessor() {
12.         return new ShiroEventBusBeanPostProcessor(eventBus());
13.     }
14. }

复制代码

实际上这里初始化了 3 个对象：LifecycleBeanPostProcessor/DefaultEventBus/ShiroEventBusBeanPostProcessor。
LifecycleBeanPostProcessor

这个类实际上比较简单，主要做了 2 件事情。
（1）执行 init() 和 destory()。
（2）指定对应的优先级，默认为最低。
核心部分如下：

• init 初始化
  

1. public Object postProcessBeforeInitialization(Object object, String name) throws BeansException {
2.     if (object instanceof Initializable) {
3.         try {
4.             if (log.isDebugEnabled()) {
5.                 log.debug("Initializing bean [" + name + "]...");
6.             }
7.             ((Initializable) object).init();
8.         } catch (Exception e) {
9.             throw new FatalBeanException("Error initializing bean [" + name + "]", e);
10.         }
11.     }
12.     return object;
13. }

复制代码

• destory 销毁
  

1. public void postProcessBeforeDestruction(Object object, String name) throws BeansException {
2.     if (object instanceof Destroyable) {
3.         try {
4.             if (log.isDebugEnabled()) {
5.                 log.debug("Destroying bean [" + name + "]...");
6.             }
7.             ((Destroyable) object).destroy();
8.         } catch (Exception e) {
9.             throw new FatalBeanException("Error destroying bean [" + name + "]", e);
10.         }
11.     }
12. }

复制代码

DefaultEventBus

这个类如其名，就是默认的事件总线类。
接口的如下：

1. public interface EventBus {
2.     void publish(Object var1);
4.     void register(Object var1);
6.     void unregister(Object var1);
7. }

复制代码

分别对应的是事件的发布，注册和取消注册。
实现部分实际就是调用对应的 EventListener 类，并且通过读写锁保证并发安全，暂时不做展开。
ShiroEventBusBeanPostProcessor

这个类实际上是配合 EventBus 使用的，核心实现如下：

1. public class ShiroEventBusBeanPostProcessor implements BeanPostProcessor {
3.     final private EventBus eventBus;
5.     public ShiroEventBusBeanPostProcessor(EventBus eventBus) {
6.         this.eventBus = eventBus;
7.     }
9.     @Override
10.     public Object postProcessAfterInitialization(Object bean, String beanName) throws BeansException {
11.         //1. 如果实现了 EventBusAware 接口
12.         if (bean instanceof EventBusAware) {
13.             ((EventBusAware) bean).setEventBus(eventBus);
14.         }
15.         //2. 如果有 Subscribe 注解信息
16.         else if (isEventSubscriber(bean)) {
17.             eventBus.register(bean);
18.         }
20.         return bean;
21.     }
23. }

复制代码

这里会把实现了 EventBusAware 接口，和指定了 @Subscribe 注解的对象，注解对应的 eventbus。
ShiroConfiguration 配置

思考

我们 QuickStart 中自动注入了 SecurityManager 对象，这个对象是在哪里初始化的呢？
核心源码

核心部分如下：

1. @Configuration
2. @Import({ShiroBeanConfiguration.class})
3. public class ShiroConfiguration extends AbstractShiroConfiguration {
5.     @Bean
6.     @Override
7.     protected SessionsSecurityManager securityManager(List<Realm> realms) {
8.         return super.securityManager(realms);
9.     }
11.     @Bean
12.     @Override
13.     protected SessionManager sessionManager() {
14.         return super.sessionManager();
15.     }
17.     //... 省略其他组件
18. }

复制代码

这里可以发现实际上已经导入了 ShiroBeanConfiguration 配置类，所以官方的 demo 可以简化如下：

1. @Configuration
2. @Import({ShiroConfiguration.class,
3.          ShiroAnnotationProcessorConfiguration.class})
4. @ComponentScan("com.github.houbb.shiro.inaction02.springalone")
5. public class CliApp{}

复制代码

实际测试了一下，也是通过的。
SecurityManager 初始化

我简单的看了下 SecurityManager 实现子类还是比较多得。断点可以发现默认的类型是 DefaultSecurityManager。
这些都可以在 AbstractShiroConfiguration 类中找到答案。

• AbstractShiroConfiguration.java
  

核心实现如下：

1. public class AbstractShiroConfiguration {
3.     @Autowired
4.     protected EventBus eventBus;
6.     protected SessionsSecurityManager securityManager(List<Realm> realms) {
7.         SessionsSecurityManager securityManager = createSecurityManager();
8.         securityManager.setEventBus(eventBus);
9.         
10.         // 省略其他属性设置
11.         return securityManager;
12.     }
14.     protected SessionsSecurityManager createSecurityManager() {
15.         DefaultSecurityManager securityManager = new DefaultSecurityManager();
16.         securityManager.setSubjectDAO(subjectDAO());
17.         securityManager.setSubjectFactory(subjectFactory());
19.         RememberMeManager rememberMeManager = rememberMeManager();
20.         if (rememberMeManager != null) {
21.             securityManager.setRememberMeManager(rememberMeManager);
22.         }
24.         return securityManager;
25.     }
27. }

复制代码

securityManager(List realms) 方法会把我们 CliApp 中定义的 Realm 对象当作参数传入。
createSecurityManager() 方法就会初始化 DefaultSecurityManager 对象。
ShiroAnnotationProcessorConfiguration 配置

思考

我们在 SampleService 中使用了注解 @RequiresPermissions("write")，就可以校验对应的权限了。
但是这一切是如何被自动实现的呢？
源码

1. @Configuration
2. public class ShiroAnnotationProcessorConfiguration extends AbstractShiroAnnotationProcessorConfiguration{
4.     @Bean
5.     @DependsOn("lifecycleBeanPostProcessor")
6.     protected DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
7.         return super.defaultAdvisorAutoProxyCreator();
8.     }
10.     @Bean
11.     protected AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
12.         return super.authorizationAttributeSourceAdvisor(securityManager);
13.     }
15. }

复制代码

本身没有什么源码，主要看下父类。
AbstractShiroAnnotationProcessorConfiguration

1. public class AbstractShiroAnnotationProcessorConfiguration {
3.     protected DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
4.         return new DefaultAdvisorAutoProxyCreator();
5.     }
7.     protected AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
8.         AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
9.         advisor.setSecurityManager(securityManager);
10.         return advisor;
11.     }
13. }

复制代码

DefaultAdvisorAutoProxyCreator 是 spring 中的自动代理实现类，此处不做展开。
我们重点看一下 AuthorizationAttributeSourceAdvisor 对象：
AuthorizationAttributeSourceAdvisor

这里主要做了两件事：
（1）设置对应的 securityManager
（2）处理有 RequiresPermissions 等 shiro 的内置注解的方法。
[code]@SuppressWarnings({"unchecked"})public class AuthorizationAttributeSourceAdvisor extends StaticMethodMatcherPointcutAdvisor {    private static final Logger log = LoggerFactory.getLogger(AuthorizationAttributeSourceAdvisor.class);    private static final Class