Shiro安全框架

m0_46525448

于 2020-10-31 17:43:50 发布

阅读量375

点赞数

文章标签： spring java

本文链接：https://blog.csdn.net/m0_46525448/article/details/109405058

版权

本文详细介绍了Apache Shiro安全框架，包括Shiro的基本架构和核心理念，以及Shiro在认证拦截、登录页面呈现、服务端认证业务实现等方面的具体配置和操作。通过Shiro，开发者可以快速实现认证、授权等功能，简化系统安全开发。

摘要由CSDN通过智能技术生成

1 Shiro安全框架简介

1.1 Shiro概述

Shiro是apache旗下一个开源安全框架(http://shiro.apache.org/)，它将软件系统的安全认证相关的功能抽取出来，实现用户身份认证，权限授权、加密、会话管理等功能，组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发，降低系统成本。
用户在进行资源访问时，要求系统要对用户进行权限控制,其具体流程如图-1所示：
在这里插入图片描述

1.2 Shiro概要架构

在概念层面，Shiro 架构包含三个主要的理念，如图-2所示：
在这里插入图片描述
其中：

Subject :主体对象，负责提交用户认证和授权信息。
SecurityManager：安全管理器，负责认证，授权等业务实现。
Realm：领域对象，负责从数据层获取业务数据。

1.3 Shiro详细架构

Shiro框架进行权限管理时,要涉及到的一些核心对象,主要包括:认证管理对象,授权管理对象,会话管理对象,缓存管理对象,加密管理对象以及Realm管理对象(领域对象:负责处理认证和授权领域的数据访问题)等，其具体架构如图-3所示：
在这里插入图片描述
其中：

Subject（主体）:与软件交互的一个特定的实体（用户、第三方服务等）。
SecurityManager(安全管理器) :Shiro 的核心，用来协调管理组件工作。
Authenticator(认证管理器):负责执行认证操作。
Authorizer(授权管理器):负责授权检测。
SessionManager(会话管理):负责创建并管理用户 Session 生命周期，提供一个强有力的 Session 体验。
SessionDAO:代表 SessionManager 执行 Session 持久（CRUD）动作，它允许任何存储的数据挂接到 session 管理基础上。
CacheManager（缓存管理器）:提供创建缓存实例和管理缓存生命周期的功能。
Cryptography(加密管理器):提供了加密方式的设计及管理。
Realms(领域对象):是shiro和你的应用程序安全数据之间的桥梁。

2 Shiro框架认证拦截实现（filter）

2.1 Shiro基本环境配置

2.1.1 添加shiro依赖

实用spring整合shiro时，需要在pom.xml中添加如下依赖：

<dependency>
   <groupId>org.apache.shiro</groupId>
   <artifactId>shiro-spring</artifactId>
   <version>1.5.3</version>
</dependency>

2.1.2 Shiro核心对象配置

基于SpringBoot 实现的项目中，我们的shiro应用基本配置如下：。

第一步:创建SpringShiroConfig类。关键代码如下：

package com.cy.pj.common.config;
/**@Configuration 注解描述的类为一个配置对象,
 * 此对象也会交给spring管理
 */
@Configuration
public class SpringShiroConfig {
   

}

第二步：在Shiro配置类中添加SecurityManager配置(这里一定要使用org.apache.shiro.mgt.SecurityManager这个接口对象)，关键代码如下：

@Bean
public SecurityManager securityManager() {
   
		 DefaultWebSecurityManager sManager=
		 new DefaultWebSecurityManager();
		 return sManager;
}

第三步: 在Shiro配置类中添加ShiroFilterFactoryBean对象的配置。通过此对象设置资源匿名访问、认证访问。关键代码如下：

@Bean
public ShiroFilterFactoryBean shiroFilterFactory (
			 SecurityManager securityManager) {
   
		 ShiroFilterFactoryBean sfBean=
		 new ShiroFilterFactoryBean();
		 sfBean.setSecurityManager(securityManager);
		 //定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)
		 LinkedHashMap<String,String> map= new LinkedHashMap<>();
		 //静态资源允许匿名访问:"anon"
		 map.put("/bower_components/**","anon");
		 map.put("/build/**","anon");
		 map.put("/dist/**","anon");
		 map.put("/plugins/**","anon");
		 //除了匿名访问的资源,其它都要认证("authc")后访问
		 map.put("/**","authc");
		 sfBean.setFilterChainDefinitionMap(map);
		 return sfBean;
	 }