shiro

1、 什么是shiro

Shiro是一个强大易用的java安全框架，提供了认证、授权、加密、会话管理、与web集成、缓存等功能，对于任何一个应用程序，都可以提供全面的安全服务，相比其他安全框架，shiro要简单的多。

为什么要使用Apache Shiro？

自2003年以来，框架格局发生了很大变化，因此今天仍然有充分的理由使用Shiro。实际上有很多原因。Apache Shiro特点如下：

• 易于使用 ：易于使用是该项目的最终目标。应用程序安全性可能非常令人困惑和沮丧，并被视为“必要的邪恶”。如果您使它易于使用，以使新手程序员可以开始使用它，那么就不必再痛苦了。

• 全面 ：没有其他安全框架可以达到Apache Shiro宣称的广度，它可以为你的安全需求提供“一站式”服务。

• 灵活 ：Apache Shiro可以在任何应用程序环境中工作。Shiro也不要求任何规范，甚至没有很多依赖性。

• 具有Web功能 ：Apache Shiro具有出色的Web应用程序支持，允许您基于应用程序URL和Web协议(例如REST)创建灵活的安全策略。

shiro对于 Spring Security区别

相同点 1、认证功能 2、授权功能 3、加密功能 4、会话管理 5、缓存支持 6、rememberMe功能 … …

不同点 1、Spring Security 基于Spring 开发，项目若使用 Spring 作为基础，配合 Spring Security 做权限更加方便，而 Shiro 需要和 Spring 进行整合开发； 2、Spring Security 功能比 Shiro 更加丰富些，例如安全维护方面； 3、Spring Security 社区资源相对比 Shiro 更加丰富； 4、Shiro 的配置和使用比较简单，Spring Security 上手复杂些； 5、Shiro 依赖性低，不需要任何框架和容器，可以独立运行.Spring Security 依赖Spring容器； 6、shiro 不仅仅可以使用在web中，它可以工作在任何应用环境中。在集群会话时Shiro最重要的一个好处或许就是它的会话是独立于容器的。

2、 Shiro的核心

shiro有三大核心：Subject，SecurityManager，Realm

Subject：主体，代表了当前“用户”，这个用户不一定是一个具体的人，与当前应用交互的任何东西都是Subject，如爬虫、机器人等；即一个抽象概念；所有Subject都绑定到SecurityManager，与Subject的所有交互都会委托给SecurityManager；可以把Subject认为是一个门面；SecurityManager才是实际的执行者。

SecurityManager：安全管理器；即所有与安全有关的操作都会与SecurityManager交互；且它管理着所有Subject；可以看出它是shiro的核心, SecurityManager相当于spring mvc中的dispatcherServlet前端控制器。

Realm：域，shiro从Realm获取安全数据(如用户、角色、权限)，就是说SecurityManager要验证用户身份，那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法；也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作；可以把Realm看成DataSource，即安全数据源。

3、 Authentication 认证

principals：身份，即主体的标识属性，可以是任何东西，如用户名、邮箱等，唯一即可。 credentials：证明/凭证，即只有主体知道的安全值，如密码/数字证书等。 身份认证流程：

1、首先在登录页面用SecurityUtils.getSubject()获取主体

2、将请求参数装进令牌中

3、再调用subject.login(token)进行登录，其会自动委托给SecurityManager

4、SecurityManager负责真正的身份验证逻辑；它会委托给Authenticator进行身份验证；Authenticator又交给

ModularRealmAuthenticator进行认证，ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证；

5、Authenticator会把相应的token传入Realm，从Realm获取身份验证信息，如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm，将按照相应的顺序及策略进行访问。

4、 Authorization 授权

授权流程：

1、首先调用Subject.isPermitted，将其会委托给SecurityManager，而SecurityManager接着会委托给Authorizer；

2、Authorizer又交给ModularRealmAuthorizer进行授权，

3、ModularRealmAuthorizer执行realm，从数据库查询权限数据调用realm的授权方法：doGetAuthorizationInfo

4、realm从数据库查询权限数据，返回ModularRealmAuthorizer

5、ModularRealmAuthorizer调用PermissionResolver进行权限串比对

6、如果比对后，isPermitted中"permission串"在realm查询到权限数据中，说明用户访问permission串有权限，否则 没有权限，抛出异常。

5、 Realm 域

1、定义Realm，自定义Realm继承AuthorizingRealm即可

2、实现获取身份验证信息（doGetAuthenticationInfo）及授权信息（doGetAuthorizationInfo）方法

3、认证：doGetAuthenticationInfo获取身份验证相关信息：

1）首先根据传入的用户名获取User信息；如果user为空，那么抛出没找到账号异常UnknownAccountExecption；如果user找到但却被锁定了抛出锁定异常LockedAccountException；

2）最后生成AuthenticationInfo信息，交给间接父类AuthenticatingRealm使用CredentialsMatcher进行判断密码是否匹配，如果不匹配将抛出密码错误异常信息IncorrectCredentialsException；如果密码重试次数太多将抛出超出重试次数异常ExcessiveAttemptsException；在组装SimpleAuthenticationInfo信息时，需要传入：身份信息（用户名）、凭据（密文密码）、盐（username+salt），CredentialsMatcher使用盐加密传入的明文密码和此处的密文密码进行匹配。

3、授权：doGetAuthorizationInfo获取授权信息：PrincipalCollection是一个身份集合，因为只用到了一个Realm，所以直接调用getPrimaryPrincipal得到之前传入的用户名即可；然后根据用户名调用UserService接口获取角色及权限信息。

AuthenticationInfo的两个作用

如果Realm是AuthenticatingRealm子类，则提供给AuthenticatingRealm内部使用的CredentialsMatcher进行凭据验证；（如果没有继承它需要在自己的Realm中实现验证）；

6、 Cryptography 加密

编码/解码 Shiro提供了base64和16进制字符串编码/解码的API支持,方便一些编码解码操作 Base64.encodeToString(str.getBytes())编码 Base64.decodeToString(base64Encoded) 解码 散列算法 常见散列算法如MD5,SHA等

首先创建一个DfaultHashService,默认使用SHA-512算法； 可以通过hashAlgorithmName属性修改算法； 可以通过privateSalt设置一个私盐，其在散列时自动与用户传入的公盐混合产生一个新盐； 可以通过generatePublicSalt属性在用户没有传入公盐的情况下是否生成公盐； 可以设置randomNumberGenerator用于生成公盐； 可以设置hashIterations属性来修改默认加密迭代次数； 需要构建一个HashRequest,传入算法、数据、公盐、迭代次数。 生成随机数 SecureRandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator(); randomNumberGenerator.setSeed(“159”.getBytes()); String hex = randomNumberGenerator.nextBytes().toHex(); 加密/解密 提供对称式加密/解密算法的支持，如AES、Blowfish等 PasswordService/CredentialsMatcher 用于提供加密密码及验证密码服务 Shiro默认提供了PasswordService实现DefaultPasswordService;CredentialsMatcher实现PasswordMatcher及HashedCredentialsMatcher(更强大) HashedCredentialsMatcher实现密码验证服务 Shiro提供了CredentialsMatcher的散列实现HashedCredentialsMatcher,和PasswordMatcher不同的是，它只是用于密码验证，且可以提供自己的盐，而不是随机生成盐，且生成密码散列值的算法需要自己写，因为能提供自己的盐提供给SecurityManager来创建Subject（提供身份信息）；

7、 拦截器

基于表单登录拦截器： onPreHandle主要流程：

1、首先判断是否已经登录过了，如果已经登录过了继续拦截器链即可；

2、如果没有登录，看看是否是登录请求，如果是get方法的登录页面请求，则继续拦截器链（到请求页面），否则如果是get方法的其他页面请求则保存当前请求并重定向到登录页面；

3、如果是post方法的登录页面表单提交请求，则收集用户名/密码登录即可，如果失败了保存错误消息到“shiroLoginFailure”并返回到登录页面；

4、如果登录成功了，且之前有保存的请求，则重定向到之前的这个请求，否则到默认的成功页面。 任意角色授权拦截器： 流程：

1、首先判断用户有没有任意角色，如果没有返回false，将到onAccessDenied进行处理；

2、如果用户没有角色，接着判断用户有没有登录，如果没有登录先重定向到登录；

3、如果用户没有角色且设置了未授权页面（unauthorizedUrl），那么重定向到未授权页面；否则直接返回401未授权错误码。 默认拦截器

1、身份验证相关的 1）authc 基于表单的拦截器，即验证成功之后才能访问 /=authc

2）anon 匿名拦截器，一般用于静态资源过滤 /static/=anon

3）authcBasic Basic HTTP身份验证拦截器，主要属性：applicationName 4）logout 退出 /logout=logout 5）user 用户拦截器 /=user

2、授权相关的 roles 角色授权拦截器，主要属性：loginUrl，unauthorizedUrl /admin/=roles[admin]

perms 权限授权拦截器 /user/**=perms[“user:create”]

port 端口拦截器，主要属性: port(80) /test=port[80]

rest rest风格拦截器 /users=rest[user]，会自动拼接出“user:read,user:create,user:update,user:delete”

ssl ssl拦截器，只有请求协议是https才能通过

8、 Jsp标签

1、<%@taglib prefix=“shiro” uri=“Taglib | Apache Shiro” %> shiro:guest标签 匿名访问，即游客访问信息 shiro:user标签 用户已经身份验证/记住我登录后显示相应的信息 shiro:authenticated 用户已经身份验证通过，即Subject.login登录成功，不是记住我login shiro:notAuthenticated 未身份验证（包括记住我） shiro:principal/ 显示用户身份信息，默认调用Subject.getPrincipal()获取

2、<shiro:principal type=“java.lang.String”/> 相当于 Subject.getPrincipals().oneByType(String.class)。

3、<shiro:principal type=“java.lang.String”/> 相当于 Subject.getPrincipals().oneByType(String.class)。

4、<shiro:principal property=“username”/> 相当于 ((User)Subject.getPrincipals()).getUsername()。

5、<shiro:hasRole name=”admin”>/shiro:hasRole 当前用户拥有admin角色

6、<shiro:hasAnyRoles name=”admin,user”> 当前用户拥有admin/user角色

7、<shiro:lacksRole name=”abc”>/shiro:lacksRole 当前用户没有abc角色

8、<shiro:hasPermission name=”user:create”> 当前用户拥有权限user:create

9、<shiro:lacksPermission name=”org:create” 当前用户没有权限org:create

9、 Session Manager 会话管理

Session 所谓session，即用户访问应用时保持的连接关系，在多次交互中应用能够识别出当前访问的用户是谁，且可以在多次交互中保存一些数据。

Subject subject = SecurityUtils.getSubject();
Session session = subject.getSession();
session.getId(); // 获取当前session的唯一标识
session.getHost(); // 获取当前Subject的主机地址，该地址是通过HostAuthenticationToken.getHost()提供的
session.getTimeOut(); // 获取超时时间
session.setTimeOut(); // 设置超时时间（不设置默认是全局过期时间）
session.touch(); // 更新最后访问时间
session.stop(); // 销毁session，当Subject.logout()时会自动调用stop方法来销毁会话。如果在web中，调用javax.servlet.http.HttpSession.invalidate()也会自动调用shiro session.top方法进行销毁shiro的会话
session.setAttribute(“key”,”123”); // 设置session属性
session.getAttribute(“key”); // 获取session属性
session.removeAttribute(“key”); // 删除属性

注：Shiro提供的会话可以用于javaSE/javaEE环境，不依赖于任何底层容器，可以独立使用，是完整的会话模块。

Session manager 会话管理器 1、会话管理器管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。是Shiro的核心组件，

2、顶层组件SecurityManager直接继承了SessionManager，且提供了SessionSecurityManager实现直接把会话管理委托给相应的SessionManager、DefaultSecurityManager及DefaultWebSecurityManager 默认SecurityManager都继承了SessionSecurityManager。

Shiro提供了三个默认实现： DefaultSessionManager：DefaultSecurityManager使用的默认实现，用于JavaSE环境； ServletContainerSessionManager: DefaultWebSecurityManager使用的默认实现，用于Web环境，其直接使用Servlet容器的会话； DefaultWebSessionManager：用于Web环境的实现，可以替代ServletContainerSessionManager，自己维护着会话，直接废弃了Servlet容器的会话管理。

10、shiro 注解

1、 @RequiresAuthentication : 表示当前Subject已经通过login进行了身份验证；即 Subject.isAuthenticated() 返回 true 2、@RequiresUser : 表示当前Subject 已经身份验证或者通过记住我登录的 3、@RequiresGuest : 表示当前Subject没有身份验证或通过记住我登陆过，即是游客身份 4、@RequiresRoles(value = { “admin”, “user” }, logical = Logical.AND) : 表示当前 Subject 需要角色 admin和user 5、@RequiresPermissions(value = { “user:a”, “user:b” }, logical = Logical.OR) : 表示当前 Subject 需要权限 user:a 或 user:b

11、shiro的优点

1、 简单的身份验证，支持多种数据源 2、对角色的简单授权，支持细粒度的授权（方法） 3、支持一级缓存，以提升应用程序的性能 4、内置基于POJO的企业会话管理，适用于web及非web环境 5、非常简单的API加密 6、不跟任何框架绑定，可以独立运行