登录/ 注册
 找回密码
 立即注册
关闭

CSDN热搜

程序园 精品问答 技术交流 资源下载
返回列表 发新帖
首页 业界区 安全 SpringBoot3.5.4 整合Shiro时 运行失败,检查思路及最终 ...

SpringBoot3.5.4 整合Shiro时 运行失败,检查思路及最终解决方案

简千叶 2025-9-28 12:21:36
1. 创建过程


  • 新建一个Shiro,去github上查看simple,需要用到哪些内容;
  • 根据显示的内容,在创建项目的时候导入SpringWeb,Thymeleaf
  • 检查pom.xml,确定导入的内容是最新的自己想要的SpringBoot3.5.4 的最新版。
  • 在themleaf创建个首页,编写一个controller,测试springboot项目正常启动
  • 使用的Springboot3.x,所以在github的Shiro仓库中参照:https://github.com/apache/shiro/tree/main/samples/spring-boot-3-web
  • 引入git的pom.xml的依赖
  1.         <dependency>
  2.             <groupId>org.apache.shiro</groupId>
  3.             shiro-core</artifactId>
  4.             <version>2.0.0-alpha-4</version>
  5.             <classifier>jakarta</classifier>
  6.         </dependency>
  7.         <dependency>
  8.             <groupId>org.apache.shiro</groupId>
  9.             shiro-web</artifactId>
  10.             <version>2.0.0-alpha-4</version>
  11.             <classifier>jakarta</classifier>
  12.         </dependency>
  13.         
  14.         <dependency>
  15.             <groupId>org.apache.shiro</groupId>
  16.             shiro-spring-boot-web-starter</artifactId>
  17.             <version>2.0.0-alpha-4</version>
  18.             <classifier>jakarta</classifier>
  19.         </dependency>
  20.         <dependency>
  21.             <groupId>org.apache.shiro</groupId>
  22.             shiro-spring-boot-starter</artifactId>
  23.             <version>2.0.0-alpha-4</version>
  24.             <classifier>jakarta</classifier>
  25.         </dependency>
  26.         <dependency>
  27.             <groupId>org.apache.shiro</groupId>
  28.             shiro-spring</artifactId>
  29.             <version>2.0.0-alpha-4</version>
  30.             <classifier>jakarta</classifier>
  31.         </dependency>
复制代码

  • 编写Configuration 参照samples/spring-boot-3-web/src/main/java/org/apache/shiro/samples/WebApp.java
  1. package com.demo.config;
  3. import org.apache.shiro.mgt.DefaultSecurityManager;
  4. import org.apache.shiro.realm.Realm;
  5. import org.apache.shiro.realm.text.TextConfigurationRealm;
  6. import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
  7. import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;
  8. import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
  9. import org.springframework.context.annotation.Bean;
  10. import org.springframework.context.annotation.Configuration;
  12. /**
  13. * Apache Shiro 核心配置类
  14. * 用于集成 Shiro 权限框架到 Spring Boot 3.x 应用
  15. */
  16. @Configuration
  17. public class ShiroConfig {
  19.     /**
  20.      * 创建并配置Realm Bean用于权限管理
  21.      *
  22.      * @return 配置好的TextConfigurationRealm实例
  23.      */
  24.     @Bean
  25.     public Realm realm() {
  26.         TextConfigurationRealm realm = new TextConfigurationRealm();
  28.         // 配置用户及其对应的权限角色
  29.         // 配置用户:格式为 username = password, role1, role2, ...
  30.         realm.setUserDefinitions(
  31.                 "admin=admin,admin,manager,user\n"
  32.                         + "manager=manager,manager,user\n"
  33.                         + "user=user,user");
  35.         // 配置角色及其关系 这里不是“角色继承”,而是“角色拥有的权限”
  36.         // 配置角色权限(可选):格式为 role = permission1, permission2, ...
  37.         realm.setRoleDefinitions(
  38.                   "admin=*:*:*\n"
  39.                 + "manager=read:write\n"
  40.                 + "user=read"
  41.         );
  43.         return realm;
  44.     }
  46.     /**
  47.      * 配置 Shiro 过滤器链
  48.      * 定义哪些路径需要什么样的过滤器(权限控制)
  49.      *
  50.      * @return ShiroFilterChainDefinition 实例
  51.      */
  52.     @Bean
  53.     public ShiroFilterChainDefinition shiroFilterChainDefinition() {
  54.         DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
  56.         // /login 路径允许匿名访问(anon),即未登录用户也可以访问,用于登录页面或登录接口。
  57.         chainDefinition.addPathDefinition("/login", "anon");
  58.         // 访问 /logout 需要登出(logout),即用户可登出。
  59.         chainDefinition.addPathDefinition("/logout", "logout");
  61.         // 访问根路径 / 需要认证(authc),即用户必须已登录才可访问。
  62.         chainDefinition.addPathDefinition("/**", "authc");
  64.         return chainDefinition;
  65.     }
  67.     /**
  68.      * 【关键】配置 SecurityManager
  69.      * 这是 Shiro 的核心,必须显式声明为 Bean
  70.      * shiro-spring-boot-starter 会自动使用这个 Bean
  71.      *
  72.      * @param realm 从 Spring 容器注入的 Realm
  73.      * @return 配置好的 SecurityManager
  74.      */
  75.     @Bean
  76.     public DefaultWebSecurityManager  securityManager(Realm realm) {
  77.         DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager ();
  78.         securityManager.setRealm(realm);
  79.         return securityManager;
  80.     }
  82. }
复制代码
问题点


  • 期间一直报错java.lang.IllegalStateException,ClassNotFoundException,多方查找资料后发现是因为 Shiro 和 Spring Boot 版本不兼容导致的。是一个典型的 Jakarta EE 9+ 迁移问题,其中 javax.servlet 包被重命名为 jakarta.servlet
解决方案直接看最后,中间都是找问题和解决问题的过程
思路及解决方案

网络上提出的解决方案有下面几种
1. 降级 Spring Boot 版本,降到SpringBoot 2.x 使用javax.servlet的那个版本,因为本身想根据视频中的思路,学习最新的知识。故而pass;
2. 升级 Shiro 版本,目前所使用的版本就是直接从github上查找所取下来的最新版的master版本,2.0.0-alpha-4,所以不存在不是最新的版的情况,先放一边;
3. 添加 Jakarta Servlet API 兼容性依赖,添加一个桥接的依赖包,使Javax和Jakarta整合,合理;
使用上述方式意义尝试后,依旧提示有问题,又去通义上让AI给写一个Shiro的整合方案,检查后发现少注入的一个SecurityManager,
1.png

因为SecurityManager是已经被废止的对象,原本想使用上级对象,但是发现其实返回的也是  DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager ();,所以使用了DefaultWebSecurityManager 补充后重新测试,程序能正常加载
2.png

附加

碎碎念

思绪很多,找了各方资料,就是不行,原因就是Spring6已经迁移了一个方法,5还在用;
SpringBoot2使用的javax到Springboot3之后包统一都换了。但是Shiro,的底层的部分逻辑仍然导入使用的是javax.servlet,就导致包都是重复且混乱的,使用SpringBoot3,引用以及配置的jdk最低都是17,17根本就没有javax了,就需要导入javax.servlet包 为了适配 Shiro,,导入了又显示冲突,来来回回,还是太菜。
解决方案

反正实现这部分功能肯定需要用上这种安全框架,针对于这个就得出几种解决方案:

  • 降版本,把SpringBoot从3降到2,自然就好了,网上那么多都是2的,真是,来源是不都是一个人,别的就copy copy;回归到幸福的jdk1.8;
  • 等,等Shiro的官方在出一个新版本,将现在出现的bug修复掉,就绪使用Shiro;
  • 换!!使用Spring Security,Spring官方这些地方都嵌合的非常好,使用新版Spring也会推出新的其他框架,都是互相适配的,全家桶的舒适感,除了难点都挺好;
  • 把自动装配去了,手写配置类去实现;
手写

代码如下:
好像还不行.....
  1. package com.demo.config;
  3. import org.apache.shiro.mgt.DefaultSecurityManager;
  4. import org.apache.shiro.realm.Realm;
  5. import org.apache.shiro.realm.SimpleAccountRealm;
  6. import org.apache.shiro.spring.boot.autoconfigure.ShiroAnnotationProcessorAutoConfiguration;
  7. import org.apache.shiro.spring.boot.autoconfigure.ShiroBeanAutoConfiguration;
  8. import org.apache.shiro.spring.config.web.autoconfigure.ShiroWebFilterConfiguration;
  9. import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
  10. import org.springframework.boot.autoconfigure.SpringBootApplication;
  11. import org.springframework.boot.web.servlet.FilterRegistrationBean;
  12. import org.springframework.context.annotation.Bean;
  13. import org.springframework.context.annotation.Configuration;
  14. import org.springframework.web.filter.DelegatingFilterProxy;
  15. import jakarta.servlet.DispatcherType;
  17. import java.util.EnumSet;
  18. import java.util.LinkedHashMap;
  19. import java.util.Map;
  21. /**
  22. * Apache Shiro 核心配置类
  23. * 用于集成 Shiro 权限框架到 Spring Boot 3.x 应用
  24. */
  25. @Configuration
  26. @SpringBootApplication(exclude = {
  27.         ShiroBeanAutoConfiguration.class,
  28.         ShiroAnnotationProcessorAutoConfiguration.class,
  29.         ShiroWebFilterConfiguration.class  // 关键:禁用有问题的自动配置
  30. })
  31. public class ShiroConfigR{
  34.     public FilterRegistrationBean<DelegatingFilterProxy> shiroFilterRegistration() {
  35.         FilterRegistrationBean<DelegatingFilterProxy> registration = new FilterRegistrationBean<>();
  36.         DelegatingFilterProxy filter = new DelegatingFilterProxy("shiroFilter");
  37.         filter.setTargetFilterLifecycle(true);
  38.         registration.setFilter(filter);
  39.         registration.setEnabled(true);
  40.         registration.addUrlPatterns("/*");
  41.         registration.setOrder(1);
  43.         // 使用新 API,不要用 setDispatcherTypes(...)
  44.         // Spring Boot 3 中应使用 setDispatcherTypes 枚举集合
  45.         registration.setDispatcherTypes(EnumSet.of(DispatcherType.REQUEST, DispatcherType.FORWARD));
  47.         return registration;
  48.     }
  50.     // 使用简单内存 Realm(生产环境替换为数据库查询)
  51.     @Bean
  52.     public Realm realm() {
  53.         SimpleAccountRealm realm = new SimpleAccountRealm();
  54.         // 添加一个测试账户
  55.         realm.addAccount("admin", "123456", "admin");
  56.         return realm;
  57.     }
  59.     @Bean
  60.     public DefaultSecurityManager securityManager() {
  61.         DefaultSecurityManager  manager = new DefaultSecurityManager ();
  62.         manager.setRealm(realm());
  63.         return manager;
  64.     }
  66.     @Bean("shiroFilter")
  67.     public ShiroFilterFactoryBean shiroFilterFactoryBean() {
  68.         ShiroFilterFactoryBean filter = new ShiroFilterFactoryBean();
  69.         filter.setSecurityManager(securityManager());
  71.         // 设置未登录跳转登录页
  72.         filter.setLoginUrl("/login");
  74.         // 登录成功后跳转首页
  75.         filter.setSuccessUrl("/index");
  77.         // 无权限跳转页
  78.         filter.setUnauthorizedUrl("/unauthorized");
  80.         // 配置拦截规则
  81.         Map<String, String> chain = new LinkedHashMap<>();
  82.         chain.put("/login", "anon");
  83.         chain.put("/doLogin", "anon");
  84.         chain.put("/css/**", "anon");
  85.         chain.put("/js/**", "anon");
  86.         chain.put("/favicon.ico", "anon");
  87.         chain.put("/**", "authc"); // 其他路径需要认证
  89.         filter.setFilterChainDefinitionMap(chain);
  90.         return filter;
  91.     }
  93. }
复制代码
继续排查

根据成功者的项目学习排查错误寻找解决方案,Ruoyi是怎么实现的呢
前提

刷git的时候看到了ruoyi,ruoyi同时支持Spring boot2, spring boot3,而且他的权限模块也是使用的Shiro,去看一看他是怎么实现的。
参照学习: 插件集成 | RuoYi
对比项目差别点,检查自身错误

跟着若依吧他需要的包导进去:

  • 没有使用shiro-spring-boot-starter;myproject:去掉,会不会使用依赖移动器找不到导致的导入失败;
  • 重新定义了spring-web,spring-webmvc;myproject:引入并指定版本
  • 引入使用了jakarta.servlet-api,没有javax.servlet-api;myproject:删掉
  • 为了使用Shiro 单独引入使用了shiro-core,shiro-spring,shiro-web,在shiro-web排除了shiro-web,并且都指定使用了jakarta的classifier;
  • 同一个pom.xml中引入的依赖,同一个包下所使用的版本都是同一个version;
检查错误信息


  • 发现导入 的Maven仓库里有两个spring-web,是不是这里出现的问题
3.png


  • mvn clean install ,清除缓存重新再引入依赖
  • 删除不起作用反而会产生干扰的包
  1.    
  2.     <dependencyManagement>
  3.         <dependencies>
  4.            <dependency>
  5.                <groupId>org.apache.shiro</groupId>
  6.                shiro-bom</artifactId>
  7.                
  8.                <version>${shiro.version}</version>
  9.                <type>pom</type>
  10.                <scope>import</scope>
  11.            </dependency>
  12.            <dependency>
  13.                <groupId>org.springframework</groupId>
  14.                spring-framework-bom</artifactId>
  15.                <version>6.2.9</version>
  16.                <type>pom</type>
  17.                <scope>import</scope>
  18.            </dependency>
  19.         </dependencies>
  20.     </dependencyManagement>
复制代码

  • 重新mvn clean install,检查依赖,没有Spring5.3.2的依赖了,可能是解决了

  • 验证,检查各个包中主要使用的类,是否都抛弃了javax换成了Jakarta;


  • 项目启动测试,没有问题

  • 为避免同情况发送,决定统一依赖包 使用 管理



测试Shiro

编写认证授权的Relam
  1. package com.demo.config;
  3. import org.apache.shiro.authc.AuthenticationException;
  4. import org.apache.shiro.authc.AuthenticationInfo;
  5. import org.apache.shiro.authc.AuthenticationToken;
  6. import org.apache.shiro.authc.SimpleAuthenticationInfo;
  7. import org.apache.shiro.authz.AuthorizationInfo;
  8. import org.apache.shiro.authz.SimpleAuthorizationInfo;
  9. import org.apache.shiro.realm.AuthenticatingRealm;
  10. import org.apache.shiro.realm.AuthorizingRealm;
  11. import org.apache.shiro.subject.PrincipalCollection;
  13. public class UserRealm extends AuthorizingRealm {
  15.     /**
  16.      * 获取授权信息 授权
  17.      *
  18.      * @param principals 身份凭证集合,包含用户的身份信息
  19.      * @return AuthorizationInfo 授权信息对象,包含用户的权限信息
  20.      */
  21.     @Override
  22.     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
  23.         // 创建简单的授权信息对象
  24.         SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
  26.         // 添加用户相关权限
  27.         info.addStringPermission("user:add");
  28.         info.addStringPermission("user:delete");
  29.         info.addStringPermission("user:update");
  31.         System.out.println("执行了授权-----》");
  32.         return info;
  33.     }
  35.     /**
  36.      * 执行身份认证信息获取操作 认证
  37.      *
  38.      * @param token 认证令牌,包含用户提交的认证信息
  39.      * @return AuthenticationInfo 认证信息对象,包含正确的用户名和密码
  40.      * @throws AuthenticationException 认证异常,当认证过程中出现错误时抛出
  41.      */
  42.     @Override
  43.     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
  45.         // 创建简单的认证信息对象,使用硬编码的用户名"admin"和密码"123456"
  46.         SimpleAuthenticationInfo info = new SimpleAuthenticationInfo("admin", "123456", getName());
  48.         System.out.println("执行了认证----》");
  50.         return info;
  51.     }
  52. }
复制代码
控制器
  1. import org.apache.shiro.authz.annotation.RequiresAuthentication;
  2. import org.springframework.stereotype.Controller;
  3. import org.springframework.web.bind.annotation.GetMapping;
  5. @Controller
  6. public class HomeController {
  8.     @GetMapping("/index")
  9.     @RequiresAuthentication
  10.     public String index() {
  11.         return "index";
  12.     }
  14.     @GetMapping("/unauthorized")
  15.     public String unauthorized() {
  16.         return "unauthorized";
  17.     }
  18. }
复制代码
跳转的页面编写

11.png

测试

12.png

13.png

至此,可算解决了。。。。。

来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
SpringBoot3整合Shiro运行失败

使用道具 举报

相关推荐
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册
发帖
简千叶
2025-9-28 12:21:36

0

粉丝关注

22

主题发布

板块介绍填写区域,请于后台编辑
微信扫一扫