No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.ThreadContext or as a vm static singleton

个错误信息意味着调用代码无法访问任何SecurityManager实例，这可能是因为没有将SecurityManager绑定到ThreadContext或作为vm静态单例绑定。这是一个无效的应用程序配置。在Shiro框架中，SecurityManager是核心组件之一，它通过管理内部组件实例来提供各种安全管理服务。Realm则充当了Shiro与应用程序安全数据之间的“桥梁”或“连接器”，它负责从数据源中获取安全数据并将其提供给Shiro进行身份验证和授权。因此，要解决这个错误，需要确保正确配置了SecurityManager并将其绑定到ThreadContext或作为vm静态单例绑定。

相关问题

No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.ThreadContext or as a vm static singleton.

这个错误信息通常出现在Apache Shiro这样的安全框架中，当尝试访问安全管理器（SecurityManager）时遇到问题。Shiro使用`SecurityManager`来控制应用的安全策略，比如认证、授权等。如果代码没有绑定到`org.apache.shiro.util.ThreadContext`（一个用于存储当前会话上下文的工具类），也没有将其设置为虚拟机的静态单例，那么就无法获取到有效的安全管理器。

原因可能是：

1. 没有在应用程序初始化阶段正确配置`SecurityManager`。
2. 当前线程上下文中没有活跃的SecurityManager实例。
3. 如果在非受保护的代码段直接引用了`SecurityManager`，而该代码不在Shiro的权限管理范围内。

解决此问题的步骤包括：

1. 确保在需要安全检查的地方设置了`SecurityManager`，例如通过`SecurityUtils.setSecurityManager(manager)`。
2. 如果使用的是Spring框架，可能需要配置Spring Security或者Shiro的整合来自动处理`SecurityManager`的生命周期。
3. 验证`ThreadContext`是否已正确初始化并用于保存和恢复`SecurityManager`。

UnavailableSecurityManagerException: No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util

### 解决 Shiro 中 `UnavailableSecurityManagerException` 异常

当遇到 `No SecurityManager accessible to the calling code` 的异常时，通常是因为应用程序未能正确初始化或配置 `SecurityManager`。为了有效解决此问题，可以采取以下措施：

#### 1. 配置 Spring Boot 应用程序中的 Shiro Bean

确保在 Spring Boot 应用程序上下文中定义并注册了 `SecurityManager` bean。这可以通过创建一个配置类来实现，在该类中标记为 `@Configuration` 并提供相应的bean定义。

import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class ShiroConfig {

    @Bean
    public DefaultSecurityManager securityManager() {
        DefaultSecurityManager manager = new DefaultSecurityManager();
        manager.setRealm(new IniRealm("classpath:shiro.ini"));
        return manager;
    }
}

上述代码片段展示了如何声明一个 `DefaultSecurityManager` 实例，并将其关联到具体的 Realm 上下文[^1]。

#### 2. 初始化静态 Singleton SecurityManager

如果应用依赖于静态访问方式，则需保证 `SecurityUtils.setSecurityManager()` 方法被调用来设置全局唯一的 `SecurityManager` 实例。可以在启动阶段完成这项工作，比如在一个监听器或者事件处理器内执行。

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.springframework.beans.factory.InitializingBean;
import org.springframework.stereotype.Component;

@Component
public class ShiroInitializer implements InitializingBean {

    private final DefaultSecurityManager securityManager;

    public ShiroInitializer(DefaultSecurityManager securityManager) {
        this.securityManager = securityManager;
    }

    @Override
    public void afterPropertiesSet() throws Exception {
        SecurityUtils.setSecurityManager(securityManager);
    }
}

这段代码说明了怎样利用 Spring 生命周期接口 `InitializingBean` 来确保 `SecurityManager` 被及时注入给 `SecurityUtils` 工具类。

#### 3. 检查线程绑定机制

有时即使已经设置了静态的 `SecurityManager` 单例实例，但在某些情况下仍然会抛出同样的异常。此时应考虑是否存在多线程环境下的竞争条件，即不同线程之间共享同一个 `Subject` 或者未正确传播当前用户的认证状态。对于这种情况，建议启用Shiro自带的支持自动管理ThreadLocal变量的功能。

# application.properties 文件中添加如下配置项
shiro.subjectDAO.sessionStorageEvaluator.cacheName=shiro-activeSessionsCache
shiro.subjectDAO.principalCollectionSerializer.class=com.example.MyPrincipalCollectionSerializer

以上属性可以帮助改善跨请求间的安全主体信息传递效率以及减少潜在的竞争风险[^2]。