Shiro学习（一）：Shiro介绍和基本使用

一、Shiro介绍

1、百科对shiro的定义如下：

Apache Shiro 一个强大且易于使用的 Java 安全框架，它提供了身份验证、授权、加密和会话管理等功能。Shiro 的设计目标是简化企业级应用程序的安全性开发过程，同时保持代码的简洁和易于维护。

2、Shiro 核心功能介绍

2.1、Authentication（认证）

        认证和授权是Shiro最核心的功能，认证操作主要用来处理2方便的工作，即：

             1）验证用户身份，如：用户名密码、OAuth、LDAP等。

                  LDAP（轻量级目录访问协议）种在互联网上标准的数据协议，用于访问和维护分布式

                  目录信息服务。在许多企业和组织中，LDAP被用来存储用户认证信息，如用户名、密

                  码、电子邮件地址等，用于实现LDAP统一用户认证和单点登录

             2）支持多 Realm（数据源），如数据库、LDAP、Active Directory 等。

2.2、Authorization（授权）

       授权主要用来做 ：

       1）基于角色（Role）和权限（Permission）的资源控制访问

       2）支持细粒度的权限控制，如：user:create、file:edit等

2.3、Session Management（会话管理）

        会话管理主要用来做：

         1）提供会话管理，即使没有 Web 容器（如 Tomcat）也能使用。

         2）支持分布式会话，如：Redis缓存。

2.4、Cryptography（加密）

       1）Shiro加密模块提供哈希（如 MD5、SHA）、加解密（AES、DES）等工具。

       2）Shiro支持密码加盐（Salt）和多次哈希迭代

2.5、Web Integration（Web集成）

       1）提供 ShiroFilter 拦截请求，实现 URL 级别的安全控制

       2）支持 RESTful API 安全认证（如 JWT 集成）

2.6、Cache（缓存）

       1）Shiro 支持缓存认证和授权信息，提高性能（如 Redis、Ehcache）。

3、Shiro 核心角色和架构：

3.1、Shiro 核心架构图如下：

        

3.2、Shiro 核心角色如下：

       1）Subject

            表示当前“用户”，Subject 用户并不是单单指登录程序的user；与程序交互的任何主体都是

            Subject用户，如：网络爬虫、user、机器设备等等。

            所有的Subject 用户都由 SecurityManager管理，Subject由当前线程绑定（通过

            ThreadLocal实现），即Subject 是线程安全的；

            Shiro 是所有安全操作的入口；在开发中通常通过Shiro的工具类SecurityUtils.getSubject()

            来获取Subject，如下图所示：

                  

       2）SecurityManager

             SecurityManager 是Shrio 的核心，管理所有的安全操作，协调所有安全组件，

              如：认证、授权、会话管理。

             在Shiro 中 SecurityManager 的重要实现有2个，即：

                  1）DefaultSecurityManager    默认实现

                  2）SessionsSecurityManager  支持会话管理

       3）Authenticator

            认证器，用于Subject用户的认证逻辑；

            Shiro 默认实现是 ModularRealmAuthenticator

            认证流程：

               （1）用户提交凭证（如 UsernamePasswordToken）。

               （2）Authenticator 调用 Realm 的 doGetAuthenticationInfo() 方法。

               （3）匹配凭证与 Realm 返回的数据（如密码加盐哈希比较）。

       4）Authorizer

             授权器，用于判断认证通过的用户是否具有某些资源的访问权限的过程；

             Shiro 支持基于角色和权限的资源访问控制。

             Shiro 的默认实现是 ModularRealmAuthorizer

       5）SessionManager

             管理Session 生命周期的组件，是Shiro 自带的session会话管理器，这就表示即使在非

             Web环境中也可以使用Shiro进行认证和授权。

             Shiro中 SessionManager 的核心实现如下：

                  （1）DefaultSessionManager（默认实现）

                  （2）ServletContainerSessionManager（委托给 Servlet 容器，如 Tomcat）

                  （3）EnterpriseCacheSessionManager（支持分布式缓存，如 Redis）

       

       6）CacheManager

              该组件用于缓存认证、授权、角色、会话等的数据，提升性能。

              Shiro中默认的实现有：

                 （1）MemoryConstrainedCacheManager（内存缓存）

                 （2）EhCacheManager（集成 Ehcache）

                 （3）RedisCacheManager（将数据缓存到Redis，分布式缓存）

       7）Realm 

            Realm，安全数据源， 是连接Shiro 与 安全数据的桥梁（如：JDBC数据库数据、LADP、

            内存数据）；用于获取安全数据进行认证、授权；

            Realm 可以有多个，由用户自己提供；一般应用中需要用户定义自己的Realm；

            Shiro默认提供了3个Realm 实现，即：

                   1）IniRealm：基于 .ini文件的配置，从Shiro.ini读取用户 认证/授权 和 角色数据

                   2）JdbcRealm：通过JDBC查询数据库中的安全数据（认证/授权 相关的数据）

                   3）TextConfigurationRealm：安全数据配置在内存中，用于替代 IniRealm

       8）Filter

           Web过滤器，在 Web 环境中拦截请求，实现 URL 级别的安全控制

二、Shiro 简单使用

下边分别以 SimpleAccountRealm、IniRealm、JdbcRealm、自定义Realm 分别来演示下Shiro

认证和授权的基本流程。

     1）认证流程

            

     2）授权流程

           

1、SimpleAccountRealm

      SimpleAccountRealm是Shiro 提供的一个最基本的 Realm 内存实现，适用于快速原型开发

       或测试场景。它直接在内存储存用户、角色和权限信息，无需连接数据库或外部配置。

      示例代码如下：

@Testpublic void authen(){/*** 认证需要准备3个角色* 1）认证得发起者（一般叫Subject）* 2）SecurityManager* 3）Realm* 认证发起者得能够找到 SecurityManager，SecurityManager得能够找到 Realm，所以这三者需要存在依赖关系** 认证流程如下：*///1、准备 RealmSimpleAccountRealm realm = new SimpleAccountRealm();//添加用户//模拟拿到用户信息：用户名称、密码、角色信息realm.addAccount("admin","123456","超级管理员","商家");//2、准备 SecurityManagerDefaultSecurityManager securityManager = new DefaultSecurityManager();//3、SecurityManager 与 Realm 建立连接securityManager.setRealm(realm);//4、Subject 与 SecurityManager 建立链接SecurityUtils.setSecurityManager(securityManager);//5、准备 SubjectSubject subject = SecurityUtils.getSubject();//6、发起认证，认证失败抛出异常 AuthenticationException，认证通过不抛出异常subject.login(new UsernamePasswordToken("admin","123456"));//7、判断是否认证成功System.out.println(subject.isAuthenticated());//8、判断用户角色boolean b1 = subject.hasRole("超级管理员");//判断是否有超级管理员角色//使用 checkRole/checkRoles判断角色时，若角色不存在，则会抛出异常AuthorizationException// SimpleAccountRealm只支持角色的授权System.out.println("是否拥有超级管理员角色：" +b1);subject.checkRole("商家");//9、退出校验subject.logout();}

2、IniRealm

      IniRealm 是基于文件存储的授权认证，IniRealm 可以将用户的用户名、密码、角色信息存储

      到.ini文件中，来实现持久化；所示使用IniRealm 需要先准备一个.ini文件，如：Shiro.ini；

     Shiro.ini 文件内容如下：

           

      示例代码如下：

@Testpublic void authen(){//1、构建 RealmIniRealm realm = new IniRealm("classpath:shiro.ini");//2、构建 SecurityManager 并绑定RealmDefaultSecurityManager securityManager = new DefaultSecurityManager();securityManager.setRealm(realm);//3、基于 SecurityUtils 绑定 SecurityManager 并声明认证主题（即认证发起者）SubjectSecurityUtils.setSecurityManager(securityManager);Subject subject = SecurityUtils.getSubject();//4、执行认证操作subject.login(new UsernamePasswordToken("admin","123456"));//5、角色校验boolean b1 = subject.hasRole("超级管理员");//判断是否有超级管理员角色System.out.println(b1);//6、权限校验//权限校验失败会抛出异常subject.checkPermission("user:add");subject.checkPermission("user:select");}

3、JdbcRealm

     JdbcRealm 是把认证授权的数据保存到数据库中，所以基于JdbcRealm的认证授权需要连接

     数据库，示例代码如下：

    

@Testpublic void authen(){//1、构建RealmJdbcRealm realm = new JdbcRealm();//设置数据源DruidDataSource dataSource = new DruidDataSource();dataSource.setDriverClassName("com.mysql.jdbc.Driver");dataSource.setUrl("jdbc:mysql://47.100.7.152:3306/shiro");dataSource.setUsername("javademo");dataSource.setPassword("123qwe!@#");realm.setDataSource(dataSource);//开启权限校验，JdbcRealm 默认是不能进行权限校验的realm.setPermissionsLookupEnabled(true);/*** JdbcRealm 自定义 认证查询、权限查询、角色查询sql*///认证查询sql//realm.setAuthenticationQuery(sql);//权限查询sql//realm.setPermissionsQuery(sql);//角色查询sql//realm.setUserRolesQuery(sql);//2、构建 SecurityManager，并绑定RealmDefaultSecurityManager securityManager = new DefaultSecurityManager();securityManager.setRealm(realm);//3、并基于SecurityUtil 绑定SecurityManager，并声明主题（认证者）SubjectSecurityUtils.setSecurityManager(securityManager);Subject subject = SecurityUtils.getSubject();//4、执行认证操作subject.login(new UsernamePasswordToken("admin","123456"));//5. 授权操作(角色)System.out.println(subject.hasRole("超级管1理员"));//6. 授权操作(权限)System.out.println(subject.isPermitted("user:add"));}

4、CustomRealm

      CustomRealm是一个自定义的Realm;

      自定义Realm 一般需要继承 AuthorizingRealm 并重写方法doGetAuthenticationInfo（授权）与

      方法doGetAuthenticationInfo（认证）

     示例代码如下：

/***************************************************** 模拟JdbcRealm 自定义 Realm(即 CustomRealm) 来完成认证和授权* 自定义 CustomRealm 需要继承 AuthorizingRealm 并实现 AuthorizingRealm 的2个* 核心方法：doGetAuthorizationInfo 和 doGetAuthenticationInfo** @author lbf* @date ****************************************************/
public class CustomRealm extends AuthorizingRealm {/*** 授权* todo 注意：*    授权是在认证之后的操作，授权方法需要用到认证方法返回的 AuthenticationInfo  中的用户信息** @param principals  即 doGetAuthenticationInfo 方法返回的 AuthenticationInfo 中的用户信息（这里是User ）* @return*/@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {//1. 获取认证用户的信息User user = (User) principals.getPrimaryPrincipal();//2. 基于用户信息获取当前用户拥有的角色。Set<String> roleSet = this.findRolesByUser();//3. 基于用户拥有的角色查询权限信息Set<String> permSet = this.findPermsByRoleSet(roleSet);//4. 声明AuthorizationInfo对象作为返回值，传入角色信息和权限信息SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();info.setRoles(roleSet);info.setStringPermissions(permSet);//5. 返回return info;}private Set<String> findPermsByRoleSet(Set<String> roleSet) {Set<String> set = new HashSet<>();set.add("user:add");set.add("user:update");return set;}private Set<String> findRolesByUser() {Set<String> set = new HashSet<>();set.add("超级管理员");set.add("运营");return set;}/*** 认证 用户执行认证操作传入的用户名和密码* 只需要完成用户名校验即可，密码校验由Shiro内部完成** @param token* @return* @throws AuthenticationException*/@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {//1、获取用户名称String userName = (String) token.getPrincipal();//2、判断用户名称是否为空if(StringUtils.isEmpty(userName)){// 返回null，会默认抛出一个异常，org.apache.shiro.authc.UnknownAccountExceptionreturn null;}//4、如果用户名称不为空，则基于用户名称去查询用户信息//这一步一般是自己的UserService 服务//模拟查询用户信息User user = this.findUserByUsername(userName);if(user == null){return null;}//5、构建 AuthenticationInfo 对象，并填充用户信息/*** todo 注意：*    SimpleAuthenticationInfo 第一个参数是用户信息，第二个参数是用户密码，第三个参数是Realm名称（这个参数没有意义）*/SimpleAuthenticationInfo info =  new SimpleAuthenticationInfo(user,user.getPassword(),"CustomRealm!!!");//返回 AuthenticationInfo 对象return info;}// 模拟数据库操作private User findUserByUsername(String username) {if("admin".equals(username)){User user = new User();user.setId(1);user.setUsername("admin");user.setPassword("admin");return user;}return null;}
}public class User {private Integer id;private String username;private String password;
}