Shiro(1)-权限管理-身份认证-授权-shiro认证概念

什么是权限管理

基本上涉及用户参与的兄系统都要进行权限管理，权限管理属于系统安全的范畴，权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源
权限管理包括用户身份认证和授权两部分，简称认证授权。对于需要访问控制的资源用户首先经过身份认证，认证通过后用户具有该资源的访问权限，方可访问。

什么是身份认证

身份认证就是判断一个用户是否为合法用户的处理过程。
最常用的简单身份认证方式是，系统通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户和口令一致，来判断用户身份是否正确。
对于采用指纹等紫铜，则出示指纹，对于硬件key等刷卡系统，则需要刷卡

什么是授权

授权，即访问控制，控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源，对于某些资源没有权限时无法访问的

shiro概述

shiro是apache旗下一个开源框架，他讲软件系统的安全认证相关的功能抽出来，实现身份认证，权限认证，加密，会话管理等功能，组成了一个通用的安全认证框架。

shiro特点：

• 易于理解的 Java Security API
• 简单的身份认证(登录），支持多种数据源（LDAP，JDBC等）
• 对角色的简单签权（访问控制），也支持细粒度鉴权
• 支持一级缓存，以提升应用程序的性能
• 内置基于POJO企业会话管理，使用与web以及非web的环境
• 异构客户端会话访问
• 非常简单的加密API
• 不跟任何的框架或者容器捆绑，可以独立运行

shiro的核心架构

Subject:

• subject主体，外部应用与subject进行交互，subject将用户作为当前操作的主体，这个主体，可以是一个通过浏览器请求的用户，也可能是一个运行的程序。
• subject在shiro中是一个接口，接口中定义了很多认证授权相关的方法，外部程序通过subject进行认证授权，而subject是通过SecurityManager安全管理器进行认证授权

SecurityManager

• SecurityManager权限管理器，他是shiro的核心，负责对所有的subject进行安全管理。
  通过SecurityManager可以完成subject的认证授权等，SecurityManager是通过Authenticator进行认证，通过Authorizer进行授权，通过SessionManager进行会话管理等。
• SecurityManager是一个接口，继承了Authenticator，Authroizer，sessionManager这三个接口

Authenticator

• 认证器，对用户登录进行身份认证

Authorizer

• 授权器，用户通过认证器认证通过，在访问功能时需要通过授权器判断用户是否有此功能的操作权限。

Realm

• 数据库读取+认证功能+授权功能的实现

SessionManager

• 会话管理器，shiro框架定义了一套会话管理，它不依赖web容器的session，所以shiro可以使用在非web应用上，也可以将分布式应用的会话几种在一点管理，此特征可使他实现单点登录

SessionDao

• 对session会话操作的一套接口

• 比如，可以通过jdbc将会话存储到数据库，也可以吧session存储到缓存服务器

CacheManager

• 缓存管理，将用户权限数据存储在焕春，这样可以提高性能

Cryptography

• 密码管理，shiro提供了一套加密解密的组件，方便开发。比如提供常用的散列，加密解密功能。

Shiro中的认证中的关键对象

1.subject：主体
访问体统的用户，主体可以是用户，程序等，进行认证的都称为主体
2.principal 身份信息
是主体进行身份认证的标识，标识必须具有唯一性，如用户名，手机号，邮箱地址等，一个主体可以有多个身份，但是必须有一个主身份(primary principal)
3.credential：凭证信息
只有主体直到自己的安全信息，如密码、证书

java和ini文件实现认证

Shiro配置文件是 .ini结尾的配置文件, 用来学习shiro，书写我们系统中的相关权限数据
.ini 可以写复杂的数据格式

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.5.3</version>
        </dependency>
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.12</version>
        </dependency>

创建shiro.ini文件

[users]
xiaochen=123
zhangsan=456
lisi=789

测试

public class Authenticator {

    public static void main(String[] args) {
        // 1. 创建安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        // 2.给安全管理器设置realm
        defaultSecurityManager.setRealm(new IniRealm("classpath:shiro.ini"));

        //SecurityUtil全局安全工具类，借助安全工具类完成工作
        //3. 将安装工具类中设置默认安全管理器
        SecurityUtils.setSecurityManager(defaultSecurityManager);

        //4.关键对象subject主体
        Subject subject = SecurityUtils.getSubject();

        //5.创建令牌
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","4526");
        //用户认证
        try {
            System.out.println("认证状态" + subject.isAuthenticated());
            subject.login(token);
            System.out.println("认证状态" + subject.isAuthenticated());
        } catch (UnknownAccountException e) {
            //认证失败
            e.printStackTrace();
            System.out.println("认证失败，用户名不存在");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("认证失败，密码错误！");
        }
    }
}

认证：

1. 最终执行用户名比较 SimpleAccountRealm类中的doGetAuthenticationInfo完成了用户名的校验
2. 最终密码的校验是在AuthenticatingRealm中的assertCredentialsMatch

总结：
AuthenticatingRealm 认证realm doGetAuthenticationInfo
AuthorizingRealm 授权realm doGetAuthorizationInfo