【权限管理】Apache Shiro学习教程

Apache Shiro 是一个功能强大且灵活的安全框架，主要用于身份认证（Authentication）、授权（Authorization）、会话管理（Session Management）和加密（Cryptography）。它旨在为 Java 应用程序提供简单、强大且高效的安全功能，适用于从 Web 应用到企业级应用的多种场景。

在本教程中，我们将通过 Apache Shiro 的各个方面，详细介绍如何配置、使用和扩展该框架。

---

一、Apache Shiro 概述

Apache Shiro 提供了一套用于实现安全管理的完整解决方案，核心功能包括：

1. 认证（Authentication）：用于确认用户的身份

Shiro 可以通过多种方式对用户进行认证。常见的认证方式包括基于用户名和密码的认证、集成 LDAP 服务器或使用其他外部身份验证系统。

2. 授权（Authorization）：用于控制用户的访问权限

Shiro 提供了一种灵活的权限控制模型，可以基于用户的角色或特定的权限进行访问控制。它支持基于角色的访问控制（RBAC），还允许你为特定用户或资源设置细粒度的权限。

3. 会话管理（Session Management）：管理用户会话

Shiro 提供了一种简便的方式来管理会话。与传统的 Servlet 容器会话不同，Shiro 可以在应用层级进行会话管理。它支持多种会话存储策略，并且会话数据可以自动持久化。

4. 加密（Cryptography）：为应用程序提供数据保护

Shiro 包含加密 API，用于处理加密和解密、哈希处理等。它支持常见的加密算法（如 AES、RSA、SHA-256 等）并且可以方便地用于密码存储和安全通信。

Shiro 的设计理念是简单易用且高度可扩展。与其他 Java 安全框架相比，Shiro 的 API 设计简洁明了，配置简单，适合初学者和开发人员快速上手。开发人员只需关注核心的认证和授权逻辑，而无需过多关心底层的实现细节。Shiro 提供了许多可以定制和扩展的接口，允许开发人员根据应用需求来实现自定义的身份验证和授权逻辑。比如，用户可以自定义 Realm，以便与不同的数据源进行集成。同时它支持多种存储后端，如数据库、LDAP、文件系统等。

---

二、Apache Shiro 核心组件

1. SecurityManager：核心接口，负责协调所有安全相关的操作（认证、授权、会话管理）。
2. Subject：表示当前用户或应用的主体，提供身份验证和权限验证等功能。
3. Realm：负责连接数据源（如数据库、LDAP）进行用户身份验证和权限验证的组件。它是 Shiro 中的“数据源”层。
4. Session：用于管理用户会话的信息，可以与 Web 会话结合，也可以独立运行。
5. Authenticator 和 Authorizer：分别负责认证和授权的逻辑实现。
6. Cryptography：Shiro 提供了一套加密工具，用于保护敏感信息（如密码）。

---

三、使用 Apache Shiro 的基本步骤

1. 引入 Apache Shiro 依赖

Maven 依赖：

在你的 pom.xml 文件中添加 Shiro 依赖：

<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-core</artifactId><version>1.8.0</version> <!-- 选择适合的版本 -->
</dependency>

Gradle 依赖：

implementation 'org.apache.shiro:shiro-core:1.8.0'

---

2. 配置 Shiro

Shiro 的配置可以通过 XML 文件或 Java 配置类来实现。下面是通过 Java 配置类的示例：

@Configuration
@EnableAspectJAutoProxy
public class ShiroConfig {@Beanpublic SecurityManager securityManager() {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();securityManager.setRealm(myRealm());return securityManager;}@Beanpublic Realm myRealm() {return new MyRealm();}@Beanpublic ShiroFilterFactoryBean shiroFilterFactoryBean() {ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();bean.setSecurityManager(securityManager());Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();filterChainDefinitionMap.put("/login", "anon"); // 公开的路径filterChainDefinitionMap.put("/**", "authc");  // 需要认证的路径bean.setFilterChainDefinitionMap(filterChainDefinitionMap);return bean;}
}

3. 创建自定义 Realm

Realm 是 Shiro 的关键组成部分，它负责从数据源获取用户身份信息（如用户名、密码等）并验证。

public class MyRealm extends AuthorizingRealm {@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {String username = (String) principals.getPrimaryPrincipal();Set<String> roles = getRoles(username); // 从数据库获取角色Set<String> permissions = getPermissions(username); // 获取权限SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();authorizationInfo.setRoles(roles);authorizationInfo.setStringPermissions(permissions);return authorizationInfo;}@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {String username = (String) token.getPrincipal();String password = getPassword(username); // 从数据库获取密码if (password == null) {throw new UnknownAccountException("用户不存在");}return new SimpleAuthenticationInfo(username, password, getName());}private Set<String> getRoles(String username) {// 查询数据库，获取角色}private Set<String> getPermissions(String username) {// 查询数据库，获取权限}private String getPassword(String username) {// 查询数据库，获取密码}
}

---

4. 配置 Shiro 的过滤器

Shiro 使用过滤器来管理访问控制。通过 ShiroFilterFactoryBean 配置不同的 URL 路径与过滤器的关系。例如，指定哪些路径需要认证，哪些路径是公开的。

@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean() {ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();shiroFilterFactoryBean.setSecurityManager(securityManager());Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();filterChainDefinitionMap.put("/login", "anon");  // 登录页面可以匿名访问filterChainDefinitionMap.put("/logout", "logout");  // 登出filterChainDefinitionMap.put("/**", "authc");  // 其他路径需要认证shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);return shiroFilterFactoryBean;
}

---

5. 集成 Shiro 的认证与授权

登录验证

Shiro 提供了非常简单的 API 来执行身份验证。用户可以使用 Subject 来进行身份验证操作：

Subject currentUser = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
try {currentUser.login(token);  // 执行登录
} catch (AuthenticationException e) {// 登录失败处理
}

访问控制（授权）

Shiro 使用权限控制来决定用户是否有权限执行特定的操作。例如：

Subject currentUser = SecurityUtils.getSubject();
if (currentUser.hasRole("admin")) {// 执行管理员操作
}
if (currentUser.isPermitted("user:update")) {// 执行更新操作
}

---

6. 会话管理

Shiro 提供了一个轻量级的会话管理机制，可以用于 Web 应用或任何 Java 应用中的会话管理。Shiro 会自动管理用户会话，用户的状态保存在一个 Session 中，应用可以通过 SecurityUtils.getSubject().getSession() 来获取。

Subject currentUser = SecurityUtils.getSubject();
currentUser.getSession().setAttribute("someKey", "someValue");
Object value = currentUser.getSession().getAttribute("someKey");

---

7. 加密和密码处理

Shiro 提供了内置的加密和密码哈希机制，用于安全地存储和验证密码。你可以使用 SimpleHash 和 Sha256Hash 类来对密码进行哈希操作：

String password = "myPassword";
String salt = "mySalt"; // 添加盐值
SimpleHash hash = new SimpleHash("SHA-256", password, salt);
String hashedPassword = hash.toHex();

通过这种方式，密码可以在数据库中以哈希值的形式存储，而不是明文密码。

---

四、进阶功能与最佳实践

1. 集成与 Spring Security：Shiro 和 Spring Security 都是常用的 Java 安全框架，可以通过配置和扩展将两者结合使用，提升系统的安全性。
2. 自定义认证和授权逻辑：通过自定义 Realm，你可以根据自己的业务需求实现更加复杂的认证和授权逻辑。
3. 多种认证机制：Shiro 支持各种认证方式，包括表单认证、Basic 认证、JWT 等。
4. 跨域认证：Shiro 允许在分布式系统中使用共享会话，支持跨域认证。
5. 持久化会话：Shiro 允许将用户会话存储在数据库或缓存中，以支持分布式会话管理。

---

五、总结

Apache Shiro 是一个功能丰富、灵活且易于使用的安全框架，适用于各种类型的 Java 应用。通过简单的配置和扩展，你可以快速集成认证、授权、会话管理和加密功能，并能够满足复杂的安全需求。Shiro 适用于从小型应用到大型企业系统的各类场景，是构建安全系统的理想选择。