Shiro 入门教程

一、名词解释

1、Subject：即" 当前操作用户 "。Subject代表了当前用户的安全操作，SecurityManager则管理所有用户的安全操作。（主体要访问系统、系统需要对主体进行认证、授权。）

2、SecurityManager：它是Shiro框架的核心，典型的Facade模式，Shiro通过SecurityManager来管理内部组件实例，并通过它来提供安全管理的各种服务。（主体通过验证和授权都是通过SecurityManager进行的。）

3、Realm：Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说，当对用户执行认证（登录）和授权（访问控制）验证时，Shiro会从应用配置的Realm中查找用户及其权限信息。 从这个意义上讲，Realm实质上是一个安全相关的DAO：它封装了数据源的连接细节，并在需要时将相关数据提供给Shiro。当配置Shiro时，你必须至少指定一个Realm，用于认证和（或）授权。配置多个Realm是可以的，但是至少需要一个。 Shiro内置了可以连接大量安全数据源（又名目录）的Realm，如LDAP、关系数据库（JDBC）、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求，你还可以插入代表自定义数据源的自己的Realm实现。（通过realm存取认证、授权相关数据）

应用代码通过subject来进行认证和授权，而subject又委托给SecurityManager，我们需要给Shiro的SecurityManager注入Realm，从而让SecurityManager能够得到合法的用户及其权限进行判断。因此Shiro是不提供维护用户/权限的，而是通过Realm让开发者自己注入。

4、cacheManager：缓存管理器，主要对session和授权数据进行缓存，比如将授权数据通过cacheManager进行缓存管理，和ehcache整合对缓存数据进行管理。

5、sessionManager：web应用中一般是用web容器对session进行管理，shiro提供一套session管理的方式。

6、sessionDao：通过sessionDao管理session数据，针对个性化的session数据存储需要使用sessionDao。

7、cryptography：密码模块，用于加密/解密的。

二、Shiro如何来完成权限验证？

通过调用Subject.hasRoles(...) 或 Subject.isPermitted(...) 和 Subject.checkRoles(...) 或 Subject.checkPermissions(...)

两种的区别是后两种检验在没有权限时会抛出异常。

关于权限的定义，在Shiro中可以这么来定义权限字符串：资源标识符 : 操作 : 对象实例ID。另外这里支持通配符配置。

Shiro内部有一个PermissionResolver来负责将这类字符串解析为Permission对象。

授权的流程：

1、当我们调用Subject.hasRole(...)后

2、首先会委托给securityManager来处理，而securityManager内部有一个Authorizer来做真正的授权，默认实现为ModularRealmAuthorizer。

3、ModularRealmAuthorizer可以根据多个Realm来判断是否拥有相应的角色，其中只要某个Realm匹配，则返回true。

4、AuthorizingRealm对于判断hasRole的逻辑也很简单

    protected boolean hasRole(String roleIdentifier, AuthorizationInfo info) {
        return info != null && info.getRoles() != null && info.getRoles().contains(roleIdentifier);
    }

而对于Subject.isPermitted(...)稍微会显得复杂一些，前三步都一样，就是 AuthorizingRealm对于判断 isPermitted的逻辑稍微有点不一样。它会先将权限字符串转换成 Permission，将用户的权限转换成List<Permission>，这里的List<Permission>由三个部分组成：

1、通过AuthorizationInfo.getObjectPermissions()得到Permission实例集合。
2、通过AuthorizationInfo. getStringPermissions()得到字符串集合并通过PermissionResolver解析为Permission实例。

3、然后获取用户的角色，并通过RolePermissionResolver解析角色对应的权限集合（默认没有实现，可以自己提供）。

而JdbcRealm的实现是使用了stringPermissions，接下来，用Permission和List进行匹配，其中遍历用户权限的匹配方法就是implies(...)，这个单词可以理解成“蕴含”的意思：

   private boolean isPermitted(Permission permission, AuthorizationInfo info) {
        Collection<Permission> perms = getPermissions(info);
        if (perms != null && !perms.isEmpty()) {
            for (Permission perm : perms) {
                if (perm.implies(permission)) {
                    return true;
                }
            }
        }
        return false;
    }

使用声明式的鉴权需要启用aspectJ自动代理，并支持对类的代理。

 <aop:aspectj-autoproxy proxy-target-class="true" />
 <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager" />
 </bean>

鉴权流程：

服务端将页面传来的权限信息和缓存中权限信息比较，有权限则返回true，否则返回false。

shiro中的isPermitted方法：

public boolean isPermitted(PrincipalCollection principals, String permission) {  
    Permission p = getPermissionResolver().resolvePermission(permission);  
    return isPermitted(principals, p);  
}  
  
public boolean isPermitted(PrincipalCollection principals, Permission permission) {  
    AuthorizationInfo info = getAuthorizationInfo(principals);  
    return isPermitted(permission, info);  
} 

isPermitted会先将传进来的权限字符串转化为shiro的Permission实例；接着回去获取授权信息AuthorizationInfo；获取授权信息时，它是先从缓存中获取，如果缓存中没有，则会调用doGetAuthorizationInfo（principals）获取。doGetAuthorizationInfo（principals）是在自定义realm域中重写的授权方法。

shiro不提供角色和权限的维护，如果程序其他地方要用到权限或角色信息，或者如果需要在应用中判断用户是否有相应角色，用户是否有权限，就需要在相应的Realm中返回角色、权限信息，所有的信息都可以通过SecurityUtils.getSubject()来获取。

对于角色的控制访问，shiro提供了checkRole/checkRoles 和 hasRole/hasAllRoles 不同的地方是前者它在判断为假的情况下会抛出UnauthorizedException异常。

对于权限的控制访问，shiro提供了isPermitted/isPermittedAll 和 checkPermission/checkPermissions 不同的地方在于后者它在判断为假的情况下会抛出UnauthorizedException异常。