shiro

能做什么？

Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.

Apache Shiro是一个功能强大且易于使用的Java安全框架，用于执行身份验证，授权，加密和会话管理。使用Shiro易于理解的API，您可以快速轻松地保护任何应用程序-从最小的移动应用程序到最大的Web和企业应用程序。

Shiro以Shiro开发团队称四大基石：身份验证，授权，会话管理、加密，和特性如下图

Shiro以Shiro开发团队所谓的“应用程序安全性的四个基石”：身份验证，授权，会话管理和加密

• 身份验证：有时称为“登录”，这是证明用户是他们所说的身份的行为。
• 授权：访问控制的过程，即确定“谁”有权访问“什么”。
• 会话管理：即使在非Web或EJB应用程序中，也管理用户特定的会话。
• 加密：使用密码算法保持数据安全，同时仍然易于使用。

在不同的应用程序环境中，还具有其他功能来支持和加强这些问题，尤其是：

• Web支持：Shiro的Web支持API可帮助轻松保护Web应用程序。
• 缓存：缓存是Apache Shiro API的第一层公民，可确保安全操作保持快速有效。
• 并发性：Apache Shiro的并发功能支持多线程应用程序。
• 测试：测试支持可以帮助您编写单元测试和集成测试，并确保您的代码将按预期进行保护。
• “运行方式”：一种功能，允许用户采用其他用户的身份（如果允许），有时在管理方案中很有用。
• “记住我”：在整个会话中记住用户的身份，因此他们仅在必要时登录。

架构和术语

架构图

术语

• Subject： 当前与软件交互的实体（用户，第三方服务，计划任务等）
• SecurityManager：Shiro体系结构的核心。它主要是一个“伞”对象，用于协调其托管组件以确保它们能够顺利协同工作。它还管理Shiro对每个应用程序用户的“视图”，因此它知道如何对每个用户执行安全性操作。
• Authenticator：认证器，说白了就是从Realms中认证subject的真实身份，另外如果配置了认证策略（AuthenticationStrategy），会根据策略（所有领域都必须成功吗？只有第一个领域？）
• Authorizer：授权，负责确定用户在该应用程序的访问控制。它是最终表明是否允许用户做某事的机制
• SessionManager：管理session的，可以整合现有的session机制，例如servlet容器，主要通过SessionDAO来CURD。
• CacheManager：管理一个叫Cache的实例，可以缓存信息，方便使用。
• Cryptography：一套加密API机制，比如加密密钥等
• Realms：和数据库交互，例如认证、授权等需要从DB里数据来判断，就是通过它操作的。

小试牛刀

public class ShiroTest {
    private SimpleAccountRealm simpleAccountRealm = new SimpleAccountRealm();

    @Before
    public void addUser() {
        simpleAccountRealm.addAccount("astilt", "123");
    }

    @Test
    public void testLogin() {
        // 1.设置SecurityManager环境
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(simpleAccountRealm);
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        // 3.登录（使用自带token，也可以基于JWT自定义实现token）
        UsernamePasswordToken token = new UsernamePasswordToken("astilt", "123");
        Subject subject = SecurityUtils.getSubject();
        subject.login(token);
    }
}

• 初始化一个用户，放到SimpleAccountRealm里
• SecurityUtils里设置SecurityManager环境，设置Realm为SimpleAccountRealm
• 构建Token，这里使用shiro自带的UsernamePasswordToken
• SecurityUtils里获取Subject，使用subject的ogin方法登陆，参数为上一步的token