用完就忘之忘了再看-shiro笔记

Shiro简述

· Apache Shiro 是java的一个安全框架。
· 用Shiro 可以做：认证、授权、加密、会话管理、Web集成、缓存等功能。
· 官网：http://shiro.apache.org/

功能简介

• Authentication：身份认证/登录，验证用户是不是拥有相应的身份；

• Authorization：授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用
  户是否能进行什么操作，如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户
  对某个资源是否具有某个权限；

• Session Manager：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有
  信息都在会话中；会话可以是普通 JavaSE 环境，也可以是 Web 环境的；

• Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；

• Web Support：Web 支持，可以非常容易的集成到Web 环境；

• Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可
  以提高效率；

• Concurrency：Shiro 支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去；

• Testing： 提供 测试 支持；

• Run As： 允许一个用户假装为另一个用户（如果他们允许）的身份进行访问；

• Remember Me：记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登
  录了

Shiro的优势

• Shiro 操作简单，可快速上手，不依赖环境。
• 可以方便地与许多的其他框架和应用进行集成。
• 可以工作在任何应用环境中。既不强加任何规范，也无需过多依赖。

Spring Security和Shiro

：Shiro前身就是JSecurity。

共同点

： 认证、授权、加密、会话、缓存、rememberMe功能…

不同点

优点：

Shiro的配置和使用比较简单，Spring Security上手复杂

Shiro依赖性低，不需要任何框架和容器，可以独立运行，而Spring Security依赖于Spring容器

缺点：

项目中如果使用Spring作为基础，配合Spring Security做权限更加方便，而Shiro需要和Spring进行整合开发。

Spring Security功能更加丰富些，例如安全防护。

Shiro四大核心功能

Authentication - 身份认证：

一般用于登录：登陆时，验证用户是否拥有相应身份。

Authorization - 访问控制：

也可以说是权限验证。验证已认证用户是否拥有某些权限，可以让他进行权限内的操作。

Cryptography - 密码加密：

将密码加密储存到数据库，而不是明文储存，可以保护数据的安全性。

Session Management - 会话管理：

用户登录后就是第一次会话，在会话结束（退出登录）前，他所有的信息都在会话中。

Shiro三个核心组件

Subject - 主体：

应用代码直接交互的对象是Subject，也就是说Shiro的对外API核心是Subject。
Subject代表了当前可以是任何与应用交互的 “用户”（不一定是具体的人，如：网络爬虫、机器人等）。
Subject的所有交互都会委托给SecurityManager（实际的执行者）。

SecurityManager- 安全管理器：

SecurityManager是Shiro的核心，负责与Shiro的其他组件进行交互，相当于SpringMVC中DispatcherServlet的角色。
它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理，所有具体的交互都通过SecurityManager 进行控制。
SecurityManager是一个单例对象，一个应用中只需要一个SecurityManager。

Realm- 域：

Shiro从Realm获取安全数据（如用户、角色、权限），
就是说SecurityManager要验证用户身份，那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法；也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作；
可以把Realm看成DataSource，即安全数据源。

Shiro 架构

从外部看Shiro

： 从外部来看Shiro，即从应用程序角度来观察如何使用Shiro完成工作

从内部看Shiro

• Subject：任何可以与应用交互的“用户”；

• SecurityManager ：相当于SpringMVC 中的 DispatcherServlet； 是 Shiro 的心脏；所有具体的交互都通过 SecurityManager 进行控制；它管理着所有 Subject、且负责进行认证、授权、会话及缓存的管理。

• Authenticator：负责 Subject 认证 ，是一个扩展点，可以自定义实现；可以使用认证策略（Authentication Strategy），即什么情况下算用户认证通过了；

• Authorizer：授权器、即访问控制器 ，用来决定主体是否有权限进行相应的操作；即控制着用户能访问应用中的哪些功能；

• Realm：可以认为是安全实体数据源 ，即用于获取安全实体；可以有 1 个或多个 Realm，可以是JDBC 实现，也可以是内存实现等等；由用户提供；所以一般在应用中都需要实现自己的 Realm；

• SessionManager：管理 Session 生命周期的组件 ；而 Shiro 并不仅仅可以用在 Web环境，也可以用在如普通的 JavaSE 环境；

• CacheManager：缓存控制器 ，来管理如用户、角色、权限等的缓存的；因为这些数据基本上很少改变，放到缓存中后可以提高访问的性能；

• Cryptography：密码模块，Shiro 提高了一些常见的加密组件用于如密码加密/解密。

Hello Shiro

获取Subject

	//获取当前的 Subject. 调用 SecurityUtils.getSubject();
	Subject currentUser = SecurityUtils.getSubject();

测试使用 Session

 // 测试使用 Session 
 // 获取 Session: Subject#getSession()
 	Session session = currentUser.getSession();
	session.setAttribute("someKey", "aValue");
    String value = (String) session.getAttribute("someKey");
    if (value.equals("aValue")) {
       log.info("---> Retrieved the correct value! [" + value + "]");
    }

认证登录

 // 测试当前的用户是否已经被认证. 即是否已经登录. 
        // 调动 Subject 的 isAuthenticated() 
        if (!currentUser.isAuthenticated()) {
        	// 把用户名和密码封装为 UsernamePasswordToken 对象
            UsernamePasswordToken token = new UsernamePasswordToken("userName", "password");
            // rememberme
            token.setRememberMe(true);
            try {
            	// 执行登录. 
                currentUser.login(token);
            } 
            // 若没有指定的账户, 则 shiro 将会抛出 UnknownAccountException 异常. 
            catch (UnknownAccountException uae) {
                log.info("----> There is no user with username of " + token.getPrincipal());
                return; 
            } 
            // 若账户存在, 但密码不匹配, 则 shiro 会抛出 IncorrectCredentialsException 异常。 
            catch (IncorrectCredentialsException ice) {
                log.info("----> Password for account " + token.getPrincipal() + " was incorrect!");
                return; 
            } 
            // 用户被锁定的异常 LockedAccountException
            catch (LockedAccountException lae) {
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            // ... catch more exceptions here (maybe custom ones specific to your application?
            // 所有认证时异常的父类. 
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
            }
        }

用户是否拥有某角色

	// 测试是否有某一个角色. 调用 Subject 的 hasRole 方法. 
        if (currentUser.hasRole("admin")) {
            log.info("----> Yes!");
        } else {
            log.info("----> No.");
            return; 
        }

用户是否具备某个行为

 //test a typed permission (not instance-level)
 // 测试用户是否具备某一个行为. 调用 Subject 的 isPermitted() 方法。 
        if (currentUser.isPermitted("delete:user")) {
            log.info("----> You have the right to delete users.");
        } else {
            log.info("Sorry, only administrators can do this.");
        }
 
 //a (very powerful) Instance Level permission:
        // 测试用户是否具备某一个行为. 
        if (currentUser.isPermitted("user:delete:li4")) {
            log.info("----> You can delete the user named Li 4.");
        } else {
            log.info("Sorry, you aren't allowed to delete the 'li4' user!");
        }

与Web集成

• Shiro 提供了与 Web 集成的支持，其通过一个ShiroFilter 入口来拦截需要安全控制的URL，然后进行相应的控制；

• ShiroFilter 类似于如 Strut2/SpringMVC 这种web 框架的前端控制器，是安全控制的入口点，其负责读取置（如ini 配置文件），然后判断URL是否需要登录/权限等工作。

ShiroFilter工作原理

配置哪些页面需要受保护，配置访问哪些页面需要对应权限。

DelegatingFilterProxy 实际上是Filter的一个代理对象，默认情况下，Spring会到IOC容器中查找和filter-name对应的filter bean，也可以通过targetBeanName的初始化参数来配置filter bean的id。
作用是自动到 Spring 容器查找名字为 shiroFilter（filter-name）的 bean 并把所有 Filter的操作委托给它。

anon 可以被匿名访问

（anonymous） 拦截器表示匿名访问（即不需要登录即可访问）。
如： login.jsp = anon

authc 必须认证（即登录）后才可能访问的页面

（authentication）拦截器表示需要身份认证通过后才能访问。
如： user/** = authc
注意：
若配置了 /** ，则代表没有被配置授权的页面，默认被/** 拦截。考虑到运行顺序，若配置则配置anon之后的位置。

logout 登出

如： user/logout = logout
不加这个，可能会出现shiro缓存问题：
例：设置了认证登录：list.jsp = authc，
list页面只有用户正确登录后才能进入，如果登录并进入list页面后，不logout。只是回退页面，那么，重新输入错误的用户名密码，也能再次进入list页面。

Shiro的密码比对

简述密码对比流程：

通过 AuthenticatingRealm 的 credentialsMatcher 属性来进行的密码的比对!

1. 获取当前的 Subject. 调用 SecurityUtils.getSubject();
2. 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated() 
3. 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象
	(1). 创建一个表单页面
	(2). 把请求提交到 SpringMVC 的 Handler
	(3). 获取用户名和密码. 
4. 执行登录: 调用 Subject 的 login(AuthenticationToken) 方法. 
5. 自定义 Realm 的方法, 从数据库中获取对应的记录, 返回给 Shiro.
	(1). 实际上需要继承 org.apache.shiro.realm.AuthenticatingRealm 类
	(2). 实现 doGetAuthenticationInfo(AuthenticationToken) 方法. 
6. 由 shiro 完成对密码的比对. 

登录页面提交用户输入的密码 → 表单提交到handler的登录方法 → 将打包成token的用户密码传到Realm的doGetAuthenticationInfo方法 → 利用获取到的用户名在数据库中查用户信息的用户密码 → 获取数据库查的密码并封装成SimpleAuthenticationInfo →
前台传的UsernamePasswordToken与数据库查的用户密码SimpleAuthenticationInfo由Shiro进行对比

通过AuthenticationgRealm的CredentialsMatcher属性完成

密码的加密

数据库表中如果直接存入明文密码，是非常不安全的，同时加密后存入表的密码最好是不能被反推的，不然也没有意义。

替换CredentialsMatcher凭证匹配器

替换当前 Realm 的 credentialsMatcher 属性. 直接使用 HashedCredentialsMatcher 对象, 并设置加密算法即可.

MD5加密

• 在 doGetAuthenticationInfo 方法返回值创建 SimpleAuthenticationInfo 对象的时候, 需要使用
  SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName) 构造器
• 使用 ByteSource.Util.bytes() 来计算盐值.
• 盐值需要唯一（ 一般使用随机字符串或 user id）
• 使用 new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations); 来计算盐值加密后的密码的值.

认证

身份验证

• 身份验证：一般需要提供如身份 ID 等一些标识信息来表明登录者的身份，如提供 email，用户名/密码来证明。
• 在 shiro 中，用户需要提供 principals （身份）和 credentials（证明）给 shiro，从而应用能验证用户身份：
• principals：身份，即主体的标识属性，可以是任何属性，如用户名、邮箱等，唯一即可。一个主体可以有多个 principals，但只有一个Primary principals，一般是用户名/邮箱/手机号。
• credentials：证明/凭证，即只有主体知道的安全值，如密码/数字证书等。
• 最常见的 principals 和 credentials 组合就是用户名/密码了。

身份验证基本流程

1、收集用户身份/凭证，即如用户名/密码。
2、调用 Subject.login 进行登录，如果失败将得到相应的 AuthenticationException 异常，根据异常提示用户
错误信息；否则登录成功。
3、创建自定义的 Realm 类，继承AuthorizingRealm 类，实现doGetAuthenticationInfo() 方法。

AuthenticationException

• 如果身份验证失败请捕获 AuthenticationException 或其子类。
• 最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”，防止一些恶意用户非法扫描帐号库。

身份认证

简述流程：
1、首先调用 Subject.login(token) 进行登录，其会自动委托给SecurityManager
2、SecurityManager 负责真正的身份验证逻辑；它会委托给Authenticator 进行身份验证；
3、Authenticator 才是真正的身份验证者，Shiro API 中核心的身份认证入口点，此处可以自定义插入自己的实现；
4、Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证，默认 ModularRealmAuthenticator 会调用AuthenticationStrategy 进行多 Realm 身份验证；
5、Authenticator 会把相应的 token 传入 Realm，从 Realm 获取身份验证信息，如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm，将按照相应的顺序及策略进行访问。

Realm

• Realm一般继承 AuthorizingRealm（授权）即可；其继承了AuthenticatingRealm（即身份验证），而且也间接继承了CachingRealm（带有缓存实现）。
• Shiro 从 Realm 获取安全数据（如用户、角色、权限），即 SecurityManager 要验证用户身份，那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法；也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作。

Authenticator

• Authenticator 的职责是验证用户帐号，是 Shiro API 中身份验证核心的入口点：
  如果验证成功，将返回AuthenticationInfo 验证信息；此信息中包含了身份及凭证；如果验证失败将抛出相应的 AuthenticationException 异常。

• SecurityManager 接口继承了 Authenticator，另外还有一个ModularRealmAuthenticator实现，其委托给多个Realm 进行验证，验证规则通过 AuthenticationStrategy 接口指定。

AuthenticationStrategy

• AuthenticationStrategy 接口的默认实现：
• FirstSuccessfulStrategy：只要有一个 Realm 验证成功即可，只返回第一个 Realm 身份验证成功的认证信息，其他的忽略；
• AtLeastOneSuccessfulStrategy：只要有一个Realm验证成功即可，和FirstSuccessfulStrategy 不同，将返回所有Realm身份验证成功的认证信息；
• AllSuccessfulStrategy：所有Realm验证成功才算成功，且返回所有Realm身份验证成功的认证信息，如果有一个失败就失败了。
• ModularRealmAuthenticator 默认是 AtLeastOneSuccessfulStrategy策略。

授权

也叫访问控制，即在应用中控制谁访问哪些资源（如访问页面/编辑数据/页面操作等）。在授权中需了解的几个关键对象：主体（Subject）、资源（Resource）、权限（Permission）、角色（Role）。

授权流程
1、首先调用 Subject.isPermitted*/hasRole* 接口，其会委托给SecurityManager，而 SecurityManager 接着会委托给 Authorizer；
2、Authorizer是真正的授权者，如果调用如isPermitted(“user:view”)，其首先会通过PermissionResolver 把字符串转换成相应的 Permission 实例；
3、在进行授权之前，其会调用相应的 Realm 获取 Subject 相应的角色/权限用于匹配传入的角色/权限；
4、Authorizer 会判断 Realm 的角色/权限是否和传入的匹配，如果有多个Realm，会委托给ModularRealmAuthorizer 进行循环判断，如果匹配如 isPermitted*/hasRole* 会返回true，否则返回false表示
授权失败。

ModularRealmAuthorizer进行多 Realm 匹配流程：
1、首先检查相应的 Realm 是否实现了实现了Authorizer；
2、如果实现了 Authorizer，那么接着调用其相应的isPermitted*/hasRole* 接口进行匹配；
3、如果有一个Realm匹配那么将返回 true，否则返回 false。

主体(Subject)

访问应用的用户，在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。

资源(Resource)

在应用中用户可以访问的 URL，比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。

权限(Permission)

安全策略中的原子授权单位，通过权限我们可以表示在应用中用户有没有操作某个资源的权力。
即权限表示在应用中用户能不能访问某个资源，如：访问用户列表页面查看/新增/修改/删除用户数据（即很多时候都是CRUD（增查改删）式权限控制）等。权限代表了用户有没有操作某个资源的权利，即反映在某个资源上的操作允不允许。

粗细粒度权限

Shiro 支持粗粒度权限（如用户模块的所有权限）和细粒度权限（操作某个用户的权限，即实例级别的）。

角色(Role)

权限的集合，一般情况下会赋予用户角色而不是权限，即这样用户可以拥有一组权限，赋予权限时比较方便。典型的如：项目经理、技术总监、CTO、开发工程师等都是角色，不同的角色拥有一组不同的权限。

授权方式

Shiro 支持三种方式的授权：

• 编程式：通过写if/else 授权代码块完成；
• 注解式：通过在执行的Java方法上放置相应的注解完成，没有权限将抛出相应的异常；
• JSP/GSP 标签：在JSP/GSP 页面通过相应的标签完成。

默认拦截器

Shiro 内置了很多默认的拦截器，比如身份验证、授权等相关的。
默认拦截器可以参考org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举拦截器：

自定义拦截器

通过自定义拦截器可以扩展功能，例如：动态url-角色/权限访问控制的实现、根据 Subject 身份信息获取用户信息绑定到 Request（即设置通用数据）、验证码验证、在线用户信息的保存等。

会话管理

Shiro 提供了完整的企业级会话管理功能，不依赖于底层容器（如web容器tomcat），不管 JavaSE 还是 JavaEE 环境都可以使用，提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web 的透明支持、SSO 单点登录的支持等特性。

会话相关的 API

• Subject.getSession()：即可获取会话；其等价于Subject.getSession(true)，即如果当前没有创建 Session 对象会创建一个；Subject.getSession(false)，如果当前没有创建 Session 则返回null。
• session.getId()：获取当前会话的唯一标识。
• session.getHost()：获取当前Subject的主机地址。
• session.getTimeout() & session.setTimeout(毫秒)：获取/设置当前Session的过期时间。
• session.getStartTimestamp() & session.getLastAccessTime()：获取会话的启动时间及最后访问时间；如果是 JavaSE 应用需要自己定期调用 session.touch() 去更新最后访问时间；如果是 Web 应用，每次进入 ShiroFilter 都会自动调用 session.touch() 来更新最后访问时间。
• session.touch() & session.stop()：更新会话最后访问时间及销毁会话；当Subject.logout()时会自动调用 stop 方法来销毁会话。如果在web中，调用 HttpSession. invalidate()也会自动调用Shiro Session.stop 方法进行销毁Shiro 的会话。
• session.setAttribute(key, val) &session.getAttribute(key) &session.removeAttribute(key)：设置/获取/删除会话属性；在整个会话范围内都可以对这些属性进行操作。

会话监听器

会话监听器用于监听会话创建、过期及停止事件。

SessionDao

• AbstractSessionDAO 提供了 SessionDAO 的基础实现，如生成会话ID等
• CachingSessionDAO 提供了对开发者透明的会话缓存的功能，需要设置相应的 CacheManager
• MemorySessionDAO 直接在内存中进行会话维护
• EnterpriseCacheSessionDAO 提供了缓存功能的会话维护，默认情况下使用 MapCache 实现，内部使用
  ConcurrentHashMap 保存缓存的会话。

会话验证

• Shiro 提供了会话验证调度器，用于定期的验证会话是否已过期，如果过期将停止会话。
• 出于性能考虑，一般情况下都是获取会话时来验证会话是否过期并停止会话的；但是如在 web 环境中，如果用户不主动退出是不知道会话是否过期的，因此需要定期的检测会话是否过期，Shiro 提供了会话验证调度器SessionValidationScheduler。
• Shiro 也提供了使用Quartz会话验证调度器：QuartzSessionValidationScheduler。

缓存

CacheManagerAware 接口

Shiro 内部相应的组件（DefaultSecurityManager）会自动检测相应的对象（如Realm）是否实现了CacheManagerAware 并自动注入相应的CacheManager。

Realm 缓存

• Shiro 提供了 CachingRealm，其实现了CacheManagerAware 接口，提供了缓存的一些基础实现；
• AuthenticatingRealm 及 AuthorizingRealm 也分别提供了对AuthenticationInfo 和 AuthorizationInfo 信息的缓存。

Session 缓存

• 如 SecurityManager 实现了 SessionSecurityManager，其会判断 SessionManager 是否实现了CacheManagerAware 接口，如果实现了会把CacheManager 设置给它。
• SessionManager 也会判断相应的 SessionDAO（如继承自CachingSessionDAO）是否实现了CacheManagerAware，如果实现了会把 CacheManager设置给它。
• 设置了缓存的 SessionManager，查询时会先查缓存，如果找不到才查数据库。

RememberMe

Shiro 提供了记住我（RememberMe）的功能，比如访问如淘宝等一些网站时，关闭了浏览器，下次再打开时还是能记住你是谁，下次访问时无需再登录即可访问，基本流程如下：
1、首先在登录页面选中 RememberMe 然后登录成功；如果是浏览器登录，一般会把 RememberMe 的Cookie 写到客户端并保存下来；
2、关闭浏览器再重新打开；会发现浏览器还是记住你的；
3、访问一般的网页服务器端还是知道你是谁，且能正常访问；
4、但是比如我们访问淘宝时，如果要查看我的订单或进行支付时，此时还是需要再进行身份认证的，以确保当前用户还是你。

认证和记住我

• subject.isAuthenticated() 表示用户进行了身份验证登录的，即使有 Subject.login 进行了登录；
• subject.isRemembered()：表示用户是通过记住我登录的，此时可能并不是真正的你（如你的朋友使用你的电脑，或者你的cookie 被窃取）在访问的；
• 两者二选一，即 subject.isAuthenticated()==true，则subject.isRemembered()==false；反之一样。

建议

• 访问一般网页：如个人在主页之类的，我们使用user 拦截器即可，user 拦截器只要用户登录(isRemembered() || isAuthenticated())过即可访问成功；
• 访问特殊网页：如我的订单，提交订单页面，我们使用authc 拦截器即可，authc 拦截器会判断用户是否是通过Subject.login（isAuthenticated()==true）登录的，如果是才放行，否则会跳转到登录页面叫你重新登。录。

实现

如果要自己做RememeberMe，需要在登录之前这样创建Token：
UsernamePasswordToken(用户名，密码，是否记住我)，且调用UsernamePasswordToken 的：token.setRememberMe(true); 方法。

SpringBoot与Shiro整合

本篇大部分为理论讲解，接下来可以参考SpringBoot与Shiro整合-快速入门尝试动手实践一下。