java 安全框架_你一定不能错过的JAVA安全框架！现在点开还来得及！

原标题：你一定不能错过的JAVA安全框架！现在点开还来得及！

在尝试保护你的应用时，你是否有过挫败感？是否觉得现有的Java安全解决方案难以使用，只会让你更糊涂？本文介绍的Apache Shiro，是一个不同寻常的Java安全框架，为保护应用提供了简单而强大的方法，你一定不能错过！

Apache Shiro一个功能强大，使用简单的Java安全框架，它为开发人员提供一个直观而全面的认证，授权，加密及会话管理的解决方案。

目前，使用Apache Shiro的人也很多，对比Spring Security，它相当简单，易于在项目中快速应用。虽然没有Spring Security做的功能那么强大，但是已经可以满足我们项目需要，正所谓麻雀虽小，但五脏俱全。在实际项目中我们主要要求能够做到认证，授权，加密，会话管理，缓存等等就足够了，Shiro正式为此而生，完美解决了这些问题。而且Shiro的API也是非常简单；其基本功能点如下图所示：

注：Shiro可以在任何环境下运行，小到最简单的命令行应用，大到大型的企业应用以及集群应用。

Shiro 外部结构

应用代码直接交互的对象是Subject，也就是说Shiro的对外API核心就是Subject；其每个API的含义：

Subject：主体，代表了当前“用户”，这个用户不一定是一个具体的人，与当前应用交互的任何东西都是Subject，如网络爬虫，机器人等；即一个抽象概念；所有Subject都绑定到SecurityManager，与Subject的所有交互都会委托给SecurityManager；可以把Subject认为是一个门面；SecurityManager才是实际的执行者；

SecurityManager：安全管理器；即所有与安全有关的操作都会与SecurityManager交互；且它管理着所有Subject；可以看出它是Shiro的核心，它负责与后边介绍的其他组件进行交互，如果学习过SpringMVC，你可以把它看成DispatcherServlet前端控制器；

Realm：域，Shiro从从Realm获取安全数据(如用户、角色、权限)，就是说SecurityManager要验证用户身份，那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法；也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作；可以把Realm看成DataSource，即安全数据源。

Shiro内部结构

Subject：主体，可以看到主体可以是任何可以与应用交互的“用户”；

SecurityManager：相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher；是Shiro的心脏；所有具体的交互都通过SecurityManager进行控制；它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。

Authenticator：认证器，负责主体认证的，这是一个扩展点，如果用户觉得Shiro默认的不好，可以自定义实现；其需要认证策略(Authentication Strategy)，即什么情况下算用户认证通过了；

Authrizer：授权器，或者访问控制器，用来决定主体是否有权限进行相应的操作；即控制着用户能访问应用中的哪些功能；

Realm：可以有1个或多个Realm，可以认为是安全实体数据源，即用于获取安全实体的；可以是JDBC实现，也可以是LDAP实现，或者内存实现等等；由用户提供；注意：Shiro不知道你的用户/权限存储在哪及以何种格式存储；所以我们一般在应用中都需要实现自己的Realm；

SessionManager：如果写过Servlet就应该知道Session的概念，Session呢需要有人去管理它的生命周期，这个组件就是SessionManager；而Shiro并不仅仅可以用在Web环境，也可以用在如普通的JavaSE环境、EJB等环境；所有呢，Shiro就抽象了一个自己的Session来管理主体与应用之间交互的数据；这样的话，比如我们在Web环境用，刚开始是一台Web服务器；接着又上了台EJB服务器；这时想把两台服务器的会话数据放到一个地方，这个时候就可以实现自己的分布式会话(如把数据放到Memcached服务器)；

SessionDAO：DAO大家都用过，数据访问对象，用于会话的CRUD，比如我们想把Session保存到数据库，那么可以实现自己的SessionDAO，通过如JDBC写到数据库；比如想把Session放到Memcached中，可以实现自己的Memcached SessionDAO；另外SessionDAO中可以使用Cache进行缓存，以提高性能；

CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的；因为这些数据基本上很少去改变，放到缓存中后可以提高访问的性能

Cryptography：密码模块，Shiro提高了一些常见的加密组件用于如密码加密/解密的。

Shiro能够做到

1、身份认证/登录，验证用户是不是拥有相应的身份；

2、授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能做事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限；

3、会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通JavaSE环境的，也可以是如Web环境的；

4、加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；

5、Web支持，可以非常容易的集成到Web环境；

Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率；

6、shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去；

7、提供测试支持；

8、允许一个用户假装为另一个用户(如果他们允许)的身份进行访问；

9、记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了。

解决方案搭建

项目依赖

添加URL请求过滤器

实现身份认证和授权

继承AuthorizingRealm并实现登录验证和授权的两个方法，验证当前用户是否需要身份认证，认证通过得用户会自动赋予角色权限。

具体实现如下：

Shiro上下文配置

缓存控制规则配置

过滤器配置规则说明

shrio 权限管理filterChainDefinitions过滤器配置

1、Shiro验证URL时,URL匹配成功便不再继续匹配查找(所以要注意配置文件中的URL顺序,尤其在使用通配符时)，故filterChainDefinitions的配置顺序为自上而下,以最上面的为准；

2、当运行一个Web应用程序时,Shiro将会创建一些有用的默认Filter实例,并自动地在[main]项中将它们置为可用，默认的Filter实例是被DefaultFilter枚举类定义的,枚举的名称字段就是可供配置的名称，如下：

anon---------------org.apache.shiro.web.filter.authc.AnonymousFilter

authc--------------org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic---------org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

logout-------------org.apache.shiro.web.filter.authc.LogoutFilter

noSessionCreation--org.apache.shiro.web.filter.session.NoSessionCreationFilter

perms--------------org.apache.shiro.web.filter.authz.PermissionAuthorizationFilter

port---------------org.apache.shiro.web.filter.authz.PortFilter

rest---------------org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

roles--------------org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

ssl----------------org.apache.shiro.web.filter.authz.SslFilter

user---------------org.apache.shiro.web.filter.authz.UserFilter

3、通常可将这些过滤器分为两组：

anon,authc,authcBasic,user是第一组认证过滤器；

perms,port,rest,roles,ssl是第二组授权过滤器。

注意user和authc不同：当应用开启了rememberMe时,用户下次访问时可以是一个user,但绝不会是authc,因为authc是需要重新认证的；

user表示用户不一定已通过认证,只要曾被Shiro记住过登录状态的用户就可以正常发起请求,比如rememberMe；

说白了,以前的一个用户登录时开启了rememberMe,然后他关闭浏览器,下次再访问时他就是一个user,而不会authc。

例子说明

/admin=authc,roles[admin] 表示用户必需已通过认证,并拥有admin角色才可以正常发起'/admin'请求

/edit=authc,perms[admin:edit] 表示用户必需已通过认证,并拥有admin:edit权限才可以正常发起'/edit'请求

/home=user 表示用户不一定需要已经通过认证,只需要曾经被Shiro记住过登录状态就可以正常发起'/home'请求

各默认过滤器常用如下(注意URL Pattern里用到的是两颗星,这样才能实现任意层次的全匹配)

/admins/**=anon 无参,表示可匿名使用,可以理解为匿名用户或游客

/admins/user/**=authc 无参,表示需认证才能使用

/admins/user/**=authcBasic 无参,表示httpBasic认证

/admins/user/**=user 无参,表示必须存在用户,当登入操作时不做检查

/admins/user/**=ssl 无参,表示安全的URL请求,协议为https

/admins/user/**=perms[user:add:*] 参数可写多个,多参时必须加上引号,且参数之间用逗号分割,如/admins/user/**=perms["user:add:*,user:modify:*"] 当有多个参数时必须每个参数都通过才算通过,相当于isPermitedAll()方法

/admins/user/**=port[8081]当请求的URL端口不是8081时,跳转到

schemal://serverName:8081?queryString

其中schmal是协议http或https等,serverName是你访问的Host,8081是Port端口,queryString是你访问的URL里的?后面的参数

/admins/user/**=rest[user] 根据请求的方法,相当于/admins/user/**=perms[user:method],其中method为post,get,delete等

/admins/user/**=roles[admin] 参数可写多个,多个时必须加上引号,且参数之间用逗号分割,如/admins/user/**=roles["admin,guest"] 当有多个参数时必须每个参数都通过才算通过,相当于hasAllRoles()方法

总结

Shiro只是一个安全框架，虽然没有Spring Security的功能强大，但是比其更简单，没有那么多复杂的东西，初学者也很容易上手，并能快速在项目中运用。但是请记住：Shiro是不会提供用户、角色、权限等维护功能，这些需要我们自己实现，并通过注入的服务实现用户和角色及权限之间得关系，同时注入到Shiro中，从而实现身份认证和权限控制等。

文章来源：擎天科技研究院返回搜狐，查看更多

责任编辑：