SpringBoot 整合shiro（一）：基本概念信息

shiro相关概念信息整理如下：

一、shiro概述

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

1.Apache Shiro是一个开源的轻量级的Java安全框架。
2.Shiro是一个强大的简单易用的Java安全框架，主要用来更便捷的认证、授权、加密、会话管理、与Web集成、缓存等
3.Shiro使用起来小而简单
4.spring中有spring security ,是一个权限框架，它和spring依赖过于紧密，没有shiro使用简单。
5.shiro不依赖于spring,shiro不仅可以实现web应用的权限管理，还可以实现c/s系统，分布式系统权限管理，
6.shiro属于轻量框架，越来越多企业项目开始使用shiro.

二、shiro的核心概念

1.Authentication：身份认证/登录，验证用户是不是拥有相应的身份；
2.Authorization：授权，即权限验证，验证某个已认证的用户是否拥有某个权限；
3.Session Manager：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；
4.Cryptography：加密，保护数据的安全性
5.Web Support：Web支持，可以非常容易的集成到Web环境；
6.Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率；
7.Concurrency：shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去；
8.Testing：提供测试支持；
9. Run As：允许一个用户假装为另一个用户（如果他们允许）的身份进行访问；
10.Remember Me：记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了。

三、主要功能

三个核心组件：Subject, SecurityManager 和 Realms.

1.Subject：即 当前的操作用户

应用代码直接交互的对象是 Subject，也就是说 Shiro 的对外API 核心就是 Subject。
Subject 代表了当前“用户”， 这个用户不一定是一个具体的人，与当前应用交互的任何东西都是 Subject，如第三方进程,网络爬虫，机器人等；与 Subject 的所有交互都会委托给 SecurityManager；Subject 其实是一个门面，SecurityManager 才是实际的执行者；

Subject代表了当前用户的安全操作，SecurityManager则管理所有用户的安全操作。

在代码的任何地方，你都能轻易的获得Shiro Subject。
一旦获得Subject，你就可以立即获得你希望用Shiro为当前用户做的90%的事情 ，登录、退、访问会话、执行授权检查等

2.SecurityManager:

安全管理器；即所有与安全有关的操作都会与SecurityManager 交互；且其管理着所有 Subject；可以看出它是 Shiro的核心，它 负责与 Shiro 的其他组件进行交互，它相当于 SpringMVC 中DispatcherServlet 的角色

你可以把它看成DispatcherServlet前端控制器。 用于调度各种Shiro框架的服务

3.Realms

Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说，当对用户执行认证（登录）和授权（访问控制）验证时，Shiro会从应用配置的Realm中查找用户及其权限信息。
　　从这个意义上讲，Realm实质上是一个安全相关的DAO：它封装了数据源的连接细节，并在需要时将相关数据提供给Shiro。当配置Shiro时，你必须至少指定一个Realm，用于认证和（或）授权。配置多个Realm是可以的，但是至少需要一个。
　　Shiro内置了可以连接大量安全数据源（又名目录）的Realm，如LDAP、关系数据库（JDBC）、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求，你还可以插入代表自定义数据源的自己的Realm实现

Shiro 从 Realm 获取安全数据（如用户、角色、权限），就是说SecurityManager 要验证用户身份，那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法；也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作；可以把 Realm 看成 DataSource

4.shiro架构

1.Subject：任何可以与应用交互的“用户”；

2.SecurityManager ：相当于SpringMVC 中的 DispatcherServlet；是 Shiro 的心脏； 所有具体的交互都通过 SecurityManager 进行控制；它管理着所有 Subject、且负责进 行认证、授权、会话及缓存的管理。

3.Authenticator：负责 Subject 认证，是一个扩展点，可以自定义实现；可以使用认证 策略（Authentication Strategy），即什么情况下算用户认证通过了；

4.Authorizer：授权器、即访问控制器，用来决定主体是否有权限进行相应的操作；即控 制着用户能访问应用中的哪些功能；

5.Realm：可以有 1 个或多个 Realm，可以认为是安全实体数据源，即用于获取安全实体 的；可以是JDBC 实现，也可以是内存实现等等；由用户提供；所以一般在应用中都需要 实现自己的 Realm；

6.SessionManager：管理 Session 生命周期的组件；而 Shiro 并不仅仅可以用在 Web 环境，也可以用在如普通的 JavaSE 环境

7.sessionDao: 通过sessionDao管理session数据

8.CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的；因为这些数据 基本上很少改变，放到缓存中后可以提高访问的性能

9.Cryptography：密码模块，Shiro 提高了一些常见的加密组件用于如密码加密/解密。

四、与Web 集成

Shiro 提供了与 Web 集成的支持，其通过一个ShiroFilter 入口来拦截需要安全控制的URL，然后进行相应的控制。
ShiroFilter 类似于如 Strut2/SpringMVC 这种web 框架的前端控制器，是安全控制的入口点，其负责读取配置（如ini 配置文件），然后判断URL 是否需要登录/权限等工作。

部分细节
• [urls] 部分的配置，其格式是： “url=拦截器[参数]，拦截器[参数]”；
• 如果当前请求的 url 匹配 [urls] 部分的某个 url 模式，将会执行其配置的拦截器。
• anon（anonymous） 拦截器表示匿名访问（即不需要登录即可访问）
• authc （authentication）拦截器表示需要身份认证通过后才能访问

shiro中默认的过滤器

URL 匹配模式

URL 匹配顺序

五、认证

1.身份验证

身份验证：一般需要提供如身份 ID 等一些标识信息来表明登录者的身
份，如提供 email，用户名/密码来证明。
• 在 shiro 中，用户需要提供 principals （身份）和 credentials（证
明）给 shiro，从而应用能验证用户身份：
• principals：身份，即主体的标识属性，可以是任何属性，如用户名、
邮箱等，唯一即可。一个主体可以有多个 principals，但只有一个
Primary principals，一般是用户名/邮箱/手机号。
• credentials：证明/凭证，即只有主体知道的安全值，如密码/数字证
书等。
• 最常见的 principals 和 credentials 组合就是用户名/密码了