springboot下使用shiro自定义filter的个人经验分享

下面是“springboot下使用shiro自定义filter的个人经验分享”的详细攻略：

下面是“springboot下使用shiro自定义filter的个人经验分享”的详细攻略：

1. 什么是Shiro？

Apache Shiro是为Java平台开发的安全框架。提供了身份验证，授权，加密和会话管理的API，灵活且易于使用。Shiro可以轻松地与任何应用程序集成，从命令行应用程序到大型企业级Web应用程序。

2. 什么是自定义filter？

在Shiro中，Filter是一个核心部分，负责验证和管理安全请求。在Shiro中，每个请求都必须通过一个或多个Filter，以确定是否允许该请求。因此，Shiro提供了多个内置的Filter，但也可以使用自定义Filter来满足特定的安全需求。

3. 如何在Spring Boot中使用Shiro？

在Spring Boot中，可以通过添加Shiro的依赖来集成Shiro。要使用Shiro来验证和管理安全请求，需要在应用程序中设置一个ShiroFilter。可以使用Shiro提供的默认配置，也可以使用自定义配置。

以下是在Spring Boot中使用Shiro的基本配置示例：

@Configuration
public class ShiroConfiguration {

    @Bean
    public ShiroFilterFactoryBean shiroFilter() {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap());
        return shiroFilterFactoryBean;
    }

    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm());
        return securityManager;
    }

    @Bean
    public Realm realm() {
        return new MyRealm();
    }

    private Map<String, String> filterChainDefinitionMap() {
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/**", "authc");
        return filterChainDefinitionMap;
    }

}

这个配置基于默认的Shiro配置，将所有请求都要求通过身份验证，除了“/login”请求。可以根据需要自定义Realm和Filter。

4. 如何在Spring Boot中定义自定义filter？

通过定义自定义Filter，可以扩展Shiro的默认Filter，以满足更复杂的安全需求。下面是自定义BasicHttpAuthenticationFilter的示例：

public class CustomBasicHttpAuthenticationFilter extends BasicHttpAuthenticationFilter {

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        String authorization = httpRequest.getHeader("Authorization");
        if (!StringUtils.isEmpty(authorization)) {
            Subject subject = getSubject(request, response);
            UsernamePasswordToken token = null;
            try {
                token = createToken(httpRequest, httpResponse);
                subject.login(token);
                return true;
            } catch (Throwable t) {
                httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
                httpResponse.setHeader("WWW-Authenticate", "Basic realm=\"Shiro Test Realm\"");
                httpResponse.getWriter().write("Unauthorized");
                httpResponse.getWriter().flush();
                httpResponse.getWriter().close();
                return false;
            }
        } else {
            httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            httpResponse.setHeader("WWW-Authenticate", "Basic realm=\"Shiro Test Realm\"");
            httpResponse.getWriter().write("Unauthorized");
            httpResponse.getWriter().flush();
            httpResponse.getWriter().close();
            return false;
        }
    }

}

这个示例扩展了BasicHttpAuthenticationFilter，并重写了onAccessDenied方法。当请求未认证时，该方法将首先检查请求头中是否包含“Authorization”，如果包含，则进行身份验证，否则返回HTTP状态码401（未授权）。

此外，还可以使用Shiro提供的Filter接口来定义自定义Filter。下面是实现过滤器接口的示例：

public class CustomFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
            throws IOException, ServletException {
        // do something
    }

    @Override
    public void destroy() {

    }

}

5. 自定义filter的使用案例

下面是使用自定义BasicHttpAuthenticationFilter的示例：

@Configuration
public class ShiroConfiguration {

    @Bean
    public ShiroFilterFactoryBean shiroFilter() {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap());
        shiroFilterFactoryBean.setFilters(filters());
        return shiroFilterFactoryBean;
    }

    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm());
        return securityManager;
    }

    @Bean
    public Realm realm() {
        return new MyRealm();
    }

    @Bean
    public Map<String, Filter> filters() {
        Map<String, Filter> filters = new HashMap<>();
        filters.put("authcBasic", authcBasicFilter());
        return filters;
    }

    @Bean
    public CustomBasicHttpAuthenticationFilter authcBasicFilter() {
        return new CustomBasicHttpAuthenticationFilter();
    }

    private Map<String, String> filterChainDefinitionMap() {
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/**", "authcBasic");
        return filterChainDefinitionMap;
    }

}

这里使用自定义的CustomBasicHttpAuthenticationFilter来替代默认的BasicHttpAuthenticationFilter，并将其配置为过滤器链的一部分。

通过这种方式，就可以增强Shiro的功能，实现更复杂的安全需求。