shiro学习笔记

目录

 

简介

功能简介

 shiro架构

与web集成 

shiroFilter 

shiro中默认的过滤器 

URL 匹配 

认证 

身份验证 

身份认证流程 

realm

Authenticator 

AuthenticationStrategy 

授权 

Permissions 

授权流程 

ModularRealmAuthorizer 

Shiro标签 

权限注解 

会话管理 

SessionDao 

SerializableUtils 

会话验证 

缓存 

RememberMe

demo 

---

• 简介

ApacheShiro是Java 的一个安全（权限）框架，Shiro可以非常容易的开发出足够好的应用，其不仅可以用在JavaSE环境，也可以用在JavaEE环境，Shiro可以完成：认证、授权、加密、会话管理、与Web 集成、缓存等。 

• 功能简介

Authentication：身份认证/登录，验证用户是不是拥有相应的身份；

Authorization：授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能进行什么操作

Session Manager：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通                                             JavaSE 环境，也可以是Web 环境的；

Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储，如MD5盐值加密； 

Web Support：Web 支持，可以非常容易的集成到Web 环境；

Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率；

Remember Me：记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了

•  shiro架构

Subject：应用代码直接交互的对象是Subject，Subject 代表了当前“用户”，与Subject 的所有交互都会委托给SecurityManager；                    Subject 其实是一个门面，SecurityManager才是实际的执行者； 

SecurityManager：安全管理器；即所有与安全有关的操作都会与SecurityManager交互；它是Shiro的核心，它负责与Shiro的其                                 他组件进行交互

Realm：Shiro从Realm 获取安全数据（如用户、角色、权限）

Authenticator：负责Subject 认证，是一个扩展点，可以自定义实现；可以使用认证策略（Authentication Strategy），即什么情况下算用户认证通过了；

Authorizer：授权器、即访问控制器，用来决定主体是否有权限进行相应的操作；即控制着用户能访问应用中的哪些功能；

SessionManager：管理Session 生命周期的组件

CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的；

Cryptography：密码模块，Shiro提高了一些常见的加密组件用于如密码加密/解密。 

• 与web集成 

1.Shiro提供了与Web 集成的支持，其通过一个ShiroFilter入口来拦截需要安全控制的URL，然后进行相应的控制 

2.ShiroFilter类似于如Strut2/SpringMVC这种web 框架的前端控制器，是安全控制的入口点，其负责读取配置（如ini配置文件），然后判断URL 是否需要登录/权限等工作。

• shiroFilter 

DelegatingFilterProxy作用是自动到Spring 容器查找名字为shiroFilter（filter-name）的bean并把所有Filter 的操作委托给它。

 

• shiro中默认的过滤器 

 

• URL 匹配 

url模式使用Ant 风格模式

Ant 路径通配符支持?、*、**，注意通配符匹配不包括目录分隔符“/”：
–?：匹配一个字符，如/admin? 将匹配/admin1，但不匹配/admin 或/admin/；
–*：匹配零个或多个字符串，如/admin* 将匹配/admin、/admin123，但不匹配/admin/1；
–**：匹配路径中的零个或多个路径，如/admin/** 将匹配/admin/a 或/admin/a/b ;

URL 权限采取第一次匹配优先的方式，即从头开始使用第一个匹配的url模式对应的拦截器链。

• 认证 

• 身份验证 

1.身份验证：一般需要提供如身份ID 等一些标识信息来表明登录者的身份，如提供email，用户名/密码来证明。 

2.在shiro中，用户需要提供principals （身份）和credentials（证明）给shiro，从而应用能验证用户身份

3.principals：身份，即主体的标识属性，可以是任何属性，如用户名、邮箱等，唯一即可。

4.credentials：证明/凭证，即只有主体知道的安全值，如密码/数字证书等。

流程：

1.收集用户身份/凭证，即如用户名/密码

2.、调用Subject.login进行登录，如果失败将得到相应的AuthenticationException异常，根据异常提示用户错误信息；否则登录成功

3.创建自定义的Realm 类，继承org.apache.shiro.realm.AuthorizingRealm类，实现doGetAuthenticationInfo() 方法

4.demo

认证流程

 

• 身份认证流程 

1、首先调用Subject.login(token) 进行登录，其会自动委托给SecurityManager

2、SecurityManager负责真正的身份验证逻辑；它会委托给Authenticator 进行身份验证；

3、Authenticator 才是真正的身份验证者，ShiroAPI 中核心的身份认证入口点，此处可以自定义插入自己的实现；

4、Authenticator 可能会委托给相应的AuthenticationStrategy进行多Realm 身份验证，默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm 身份验证；

5、Authenticator 会把相应的token 传入Realm，从Realm 获取身份验证信息，如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm，将按照相应的顺序及策略进行访问。

• realm

Realm：Shiro从Realm 获取安全数据（如用户、角色、权限），即SecurityManager要验证用户身份，那么它需要从Realm 获取相应的用户进行比较以确定用户身份是否合法；也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作

 

一般继承AuthorizingRealm（授权）即可；其继承了AuthenticatingRealm（即身份验证），而且也间接继承了CachingRealm（带有缓存实现）。

• Authenticator 

•Authenticator 的职责是验证用户帐号，是ShiroAPI 中身份验证核心的入口点：如果验证成功，将返回AuthenticationInfo验证信息；此信息中包含了身份及凭证；如果验证失败将抛出相应的AuthenticationException异常
•SecurityManager接口继承了Authenticator，另外还有一个ModularRealmAuthenticator实现，其委托给多个Realm 进行验证，验证规则通过AuthenticationStrategy接口指定

• AuthenticationStrategy 

•AuthenticationStrategy接口的默认实现：
•FirstSuccessfulStrategy：只要有一个Realm 验证成功即可，只返回第一个Realm 身份验证成功的认证信息，其他的忽略；
•AtLeastOneSuccessfulStrategy：只要有一个Realm验证成功即可，和FirstSuccessfulStrategy不同，将返回所有Realm身份验证成功的认证信息；
•AllSuccessfulStrategy：所有Realm验证成功才算成功，且返回所有Realm身份验证成功的认证信息，如果有一个失败就失败了。
•ModularRealmAuthenticator默认是AtLeastOneSuccessfulStrategy策略

• 授权 

•授权，也叫访问控制，即在应用中控制谁访问哪些资源（如访问页面/编辑数据/页面操作等）。在授权中需了解的几个关键对象：主体（Subject）、资源（Resource）、权限（Permission）、角色（Role）。
•主体(Subject)：访问应用的用户，在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。
•资源(Resource)：在应用中用户可以访问的URL，比如访问JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
•权限(Permission)：安全策略中的原子授权单位，通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源，如：访问用户列表页面查看/新增/修改/删除用户数据（即很多时候都是CRUD（增查改删）式权限控制）等。权限代表了用户有没有操作某个资源的权利，即反映在某个资源上的操作允不允许。
•Shiro支持粗粒度权限（如用户模块的所有权限）和细粒度权限（操作某个用户的权限，即实例级别的）
•角色(Role)：权限的集合，一般情况下会赋予用户角色而不是权限，即这样用户可以拥有一组权限，赋予权限时比较方便。典型的如：项目经理、技术总监、CTO、开发工程师等都是角色，不同的角色拥有一组不同的权限。

•Shiro支持三种方式的授权：
–编程式：通过写if/else 授权代码块完成
–注解式：通过在执行的Java方法上放置相应的注解完成，没有权限将抛出相应的异常
–JSP/GSP 标签：在JSP/GSP 页面通过相应的标签完成

 

• Permissions 

•规则：资源标识符：操作：对象实例ID即对哪个资源的哪个实例可以进行什么操作.其默认支持通配符权限字符串，: 表示资源/操作/实例的分割；, 表示操作的分割，* 表示任意资源/操作/实例。
•多层次管理：
–例如：user:query、user:edit
–冒号是一个特殊字符，它用来分隔权限字符串的下一部件：第一部分是权限被操作的领域（打印机），第二部分是被执行的操作。
–多个值：每个部件能够保护多个值。因此，除了授予用户user:query和user:edit权限外，也可以简单地授予他们一个：user:query, edit
–还可以用* 号代替所有的值，如：user:* ，也可以写：*:query，表示某个用户在所有的领域都有query 的权限

•规则：资源标识符：操作：对象实例ID即对哪个资源的哪个实例可以进行什么操作.其默认支持通配符权限字符串，: 表示资源/操作/实例的分割；, 表示操作的分割，* 表示任意资源/操作/实例。
•多层次管理：
–例如：user:query、user:edit
–冒号是一个特殊字符，它用来分隔权限字符串的下一部件：第一部分是权限被操作的领域（打印机），第二部分是被执行的操作。
–多个值：每个部件能够保护多个值。因此，除了授予用户user:query和user:edit权限外，也可以简单地授予他们一个：user:query, edit
–还可以用* 号代替所有的值，如：user:* ，也可以写：*:query，表示某个用户在所有的领域都有query 的权限

 

• 授权流程 

•流程如下：
•1、首先调用Subject.isPermitted*/hasRole* 接口，其会委托给SecurityManager，而SecurityManager接着会委托给Authorizer；
•2、Authorizer是真正的授权者，如果调用如isPermitted(“user:view”)，其首先会通过
•PermissionResolver把字符串转换成相应的Permission 实例；
•3、在进行授权之前，其会调用相应的Realm 获取Subject 相应的角色/权限用于匹配传入的角色/权限；
•4、Authorizer 会判断Realm 的角色/权限是否和传入的匹配，如果有多个Realm，会委托给ModularRealmAuthorizer进行循环判断，如果匹配如isPermitted*/hasRole* 会返回true，否则返回false表示授权失败。

• ModularRealmAuthorizer 

•ModularRealmAuthorizer进行多Realm 匹配流程：
–1、首先检查相应的Realm 是否实现了实现了Authorizer；
–2、如果实现了Authorizer，那么接着调用其相应的isPermitted*/hasRole* 接口进行匹配；
–3、如果有一个Realm匹配那么将返回true，否则返回false。

• Shiro标签 

•Shiro提供了JSTL 标签用于在JSP 页面进行权限控制，如根据登录用户显示相应的页面按钮。
•guest 标签：用户没有身份验证时显示相应信息，即游客访问信息：

 

•user 标签：用户已经经过认证/记住我登录后显示相应的信息。

 

•authenticated 标签：用户已经身份验证通过，即Subject.login登录成功，不是记住我登录的

 

•notAuthenticated标签：用户未进行身份验证，即没有调用Subject.login进行登录，包括记住我自动登录的也属于未进行身份验证。

•pincipal标签：显示用户身份信息，默认调用Subject.getPrincipal() 获取，即Primary Principal。

 

•hasRole标签：如果当前Subject 有角色将显示body 体内容：

 

•hasAnyRoles标签：如果当前Subject有任意一个角色（或的关系）将显示body体内容。

 

•lacksRole：如果当前Subject 没有角色将显示body 体内容

 

•hasPermission：如果当前Subject 有权限将显示body 体内容

 

•lacksPermission：如果当前Subject没有权限将显示body体内容。

 

• 权限注解 

•@RequiresAuthentication：表示当前Subject已经通过login 进行了身份验证；即Subject. isAuthenticated() 返回true
•@RequiresUser：表示当前Subject 已经身份验证或者通过记住我登录的。
•@RequiresGuest：表示当前Subject没有身份验证或通过记住我登录过，即是游客身份。
•@RequiresRoles(value={“admin”, “user”}, logical= Logical.AND)：表示当前Subject 需要角色admin 和user
•@RequiresPermissions(value={“user:a”, “user:b”}, logical= Logical.OR)：表示当前Subject 需要权限user:a或user:b。

• 会话管理 

•Shiro提供了完整的企业级会话管理功能，不依赖于底层容器（如web容器tomcat），不管JavaSE还是JavaEE环境都可以使用，提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web 的透明支持、SSO 单点登录的支持等特性。

•Subject.getSession()：即可获取会话；其等价于Subject.getSession(true)，即如果当前没有创建Session 对象会创建一个；Subject.getSession(false)，如果当前没有创建Session 则返回null
•session.getId()：获取当前会话的唯一标识
•session.getHost()：获取当前Subject的主机地址
•session.getTimeout() & session.setTimeout(毫秒)：获取/设置当前Session的过期时间
•session.getStartTimestamp() & session.getLastAccessTime()：获取会话的启动时间及最后访问时间；如果是JavaSE应用需要自己定期调用session.touch() 去更新最后访问时间；如果是Web 应用，每次进入ShiroFilter都会自动调用session.touch() 来更新最后访问时间。

•session.touch() & session.stop()：更新会话最后访问时间及销毁会话；当Subject.logout()时会自动调用stop 方法来销毁会话。如果在web中，调用HttpSession. invalidate() 也会自动调用ShiroSession.stop方法进行销毁Shiro的会话
•session.setAttribute(key, val) & session.getAttribute(key) & session.removeAttribute(key)：设置/获取/删除会话属性；在整个会话范围内都可以对这些属性进行操作

• SessionDao 

•AbstractSessionDAO提供了SessionDAO的基础实现，如生成会话ID等
•CachingSessionDAO提供了对开发者透明的会话缓存的功能，需要设置相应的CacheManager
•MemorySessionDAO直接在内存中进行会话维护
•EnterpriseCacheSessionDAO提供了缓存功能的会话维护，默认情况下使用MapCache实现，内部使用ConcurrentHashMap保存缓存的会话。 

 

•create table sessions (
•id varchar(200),
•session varchar(2000),
•constraint pk_sessionsprimary key(id)
•) charset=utf8 ENGINE=InnoDB;

 

 

• SerializableUtils 

 

• 会话验证 

•Shiro提供了会话验证调度器，用于定期的验证会话是否已过期，如果过期将停止会话
•出于性能考虑，一般情况下都是获取会话时来验证会话是否过期并停止会话的；但是如在web 环境中，如果用户不主动退出是不知道会话是否过期的，因此需要定期的检测会话是否过期，Shiro提供了会话验证调度器SessionValidationScheduler
•Shiro也提供了使用Quartz会话验证调度器：QuartzSessionValidationScheduler

• 缓存 

 •Shiro内部相应的组件（DefaultSecurityManager）会自动检测相应的对象（如Realm）是否实现了CacheManagerAware并自动注入相应的CacheManager。

•Shiro提供了CachingRealm，其实现了CacheManagerAware接口，提供了缓存的一些基础实现；
•AuthenticatingRealm及AuthorizingRealm也分别提供了对AuthenticationInfo和AuthorizationInfo信息的缓存。

•如SecurityManager实现了SessionSecurityManager，其会判断SessionManager是否实现了CacheManagerAware接口，如果实现了会把CacheManager设置给它。
•SessionManager也会判断相应的SessionDAO（如继承自CachingSessionDAO）是否实现了CacheManagerAware，如果实现了会把CacheManager设置给它
•设置了缓存的SessionManager，查询时会先查缓存，如果找不到才查数据库。

• RememberMe

•Shiro提供了记住我（RememberMe）的功能，比如访问如淘宝等一些网站时，关闭了浏览器，下次再打开时还是能记住你是谁，下次访问时无需再登录即可访问，基本流程如下：
•1、首先在登录页面选中RememberMe然后登录成功；如果是浏览器登录，一般会把RememberMe的Cookie 写到客户端并保存下来；
•2、关闭浏览器再重新打开；会发现浏览器还是记住你的；
•3、访问一般的网页服务器端还是知道你是谁，且能正常访问；
•4、但是比如我们访问淘宝时，如果要查看我的订单或进行支付时，此时还是需要再进行身份认证的，以确保当前用户还是你。

•subject.isAuthenticated() 表示用户进行了身份验证登录的，即使有Subject.login进行了登录；
•subject.isRemembered()：表示用户是通过记住我登录的，此时可能并不是真正的你（如你的朋友使用你的电脑，或者你的cookie 被窃取）在访问的
•两者二选一，即subject.isAuthenticated()==true，则subject.isRemembered()==false；反之一样。

•访问一般网页：如个人在主页之类的，我们使用user 拦截器即可，user 拦截器只要用户登录
(isRemembered() || isAuthenticated())过即可访问成功；
•访问特殊网页：如我的订单，提交订单页面，我们使用authc拦截器即可，authc拦截器会判断用户是否是通过Subject.login（isAuthenticated()==true）登录的，如果是才放行，否则会跳转到登录页面叫你重新登录。

•如果要自己做RememeberMe，需要在登录之前这样创建Token：UsernamePasswordToken(用户名，密码，是否记住我)，且调用UsernamePasswordToken的：token.setRememberMe(true); 方法

 

demo 

https://blog.csdn.net/qq_36925536/article/details/86483865