一、Shiro框架

一、Shiro简介

1.Shiro 框架是Java的一个安全认证框架。

2.Shiro可以容易开发出足够好的应用，其不仅可以用在JavaSE环境，也可以用在JavaEE环境。

3.Shiro可以完成认证、授权、加密、会话管理、与web集成、缓存等。

二、Shiro基本功能介绍

1.Authentication:身份认证/登录，验证用户是不是拥有相应的身份。

2.Authorization:授权，即权限验证，验证某个已认证的用户是否拥有某个权限，即判断用户是否能进行什么操作，如验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限。

3.Session Manager：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通JavaSE环境，也可以是Web环境的。

4.Cryptography:加密，保护数据的安全性，如密码加密存储到数据库中，而不是明文存储。

5.Web Support：Web支持，可以非常容易的集成到Web环境。

6.Caching：缓存，比如用户登录成功后，其用户信息、拥有的角色/权限不需要每次去查，这样可以提高效率。

7.Concurrency:Shiro 支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去。

8.Testing:提供测试支持

9.Run As:允许一个用户假装为另一个用户的身份进行访问。

10.Remember Me：这是一个非常常见的功能，即一次登录后，下次再来的话就不需要进行登录了。

三、Shiro架构及其重要组件

1.Subject:本质上是当前访问对象的抽象描述，即应用代码直接交互的对象是Subject，也就是说Shiro的对外API核心就是Subject。Subject代表了当前“用户”，这个用户不一定是一个具体的人，与当前应用交互的任何东西都是Subject，如网络爬虫，机器人等；与Subject的所有交互都会委托给SecurityManager；Subject其实就是一个门面，SecurityManager才是实际的执行者。

2.SecurityManager：安全管理器；即所有与安全相关的操作都会与SecurityManager交互；且其管理着所有的Subject，它是整个Shiro框架的核心，它负责与Shiro的其他组件进行交互，它相当于SpringMVC中的DispatcherServlet的角色。

3.Realm：Shiro从Realm获取安全数据（如用户、角色、权限），也就是说SecurityManager要验证用户身份，那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法；也需要从Realm得到用户相应角色/权限进行验证用户是否能进行操作；可以把Realm看作DataSource，它定义了访问数据的方式，用来连接不同的数据源。

四、使用Shiro框架进行认证的过程

1.首先在pom文件中添加与shiro直接或者间接相关相应的依赖包。

2.编写一个jsp或者html文件，之后向浏览器发送一个url请求，Controller类中的方法接收这个请求，并使用shiro框架对该请求作出处理。

3.编写Config类，并使用注解@Configuration说明该类为配置类，并将该类实例化放入IOC容器中。

4.之后编写定义一个Realm类，并让其继承AuthorizingRealm接口，并生成一个doGetAuthenticationInfo方法和一个doGetAuthorizationInfo方法，这两个方法便是认证和授权的两大核心方法。

5.编写两个方法，用来获得Realm对象以及securityManager对象，并使用@Bean注解将这两个对象的实例放入到容器中。

6.编写过滤器方法ShiroFilterFactoryBean,里面编写常用的过滤器，如anon(无需认证可以访问)，authc(必须认证才可以访问)，perms(必须得到资源之后才可以进行验证)。其实拦截器的底层就是编写一个Map集合，将相应的key(对应的操作)和value(认证的类型)进行封装。之后将这个集合作为参数传给shiroFilterFactoryChainDefinitionMap方法中，之后还可以使用setLoginUrl方法设置验证不成功后返回的登录页面。

7.若需要认证的请求太多，我们不可能编写很多个具体的url拦截，可以使用/*表示拦截所有请求；但是也不可以对所有请求都进行拦截，比如不能对login请求进行拦截，可以使用anon对login请求进行放行。注意：放行等请求一定需要放在负责拦截所有请求的前面，不然会不起作用。

8.回到上面的第2步，在Controller类中继续编写，使用UsernamePasswordToken生成一个token对象，之后使用SecurityUtils中的getSubject方法获取一个subject对象，之后将token对象作为参数传入给subject.login(token)方法。之后便回到doGetAuthenticationInfo方法，之后利用与数据库的交互获得相应的账户名和密码，使用用户输入的账户名和密码与数据库中查询到的密码进行比较，若一致，则登录成功，不一致就登录失败。（注意：AuthenticationToken与UsernamePasswordToken是父子关系）

五、Shiro框架实现授权

1.首先得在数据库中有专门的一列用来标记授权，比如使用1表示添加权限，2表示修改权限等。

2.之后在MyConfig配置类中进行配置，如filterMap.put("/add",“perms[1]”)表示要想进行添加操作，该用户必须要有perms[1]这个授权，否则无法进行操作。注意这个配置类中仅仅是对操作进行限制，还未进行真正的授权，之后需要在doGetAuthorizationInfo方法中进行权限的授予。

3.在Controller中编写用来接收请求，并将未授权的信息返回到未授权页面，之后也需要在MyConfig中进行shiroFilterFactoryBean.setUnauthor(“/**”)实现授权未成功后跳转的页面。

4.在doGetAuthorizationInfo方法中编写核心的授权方法。首先创建一个SimpleAuthorizationInfo的info对象使用SecurityUtils.getSubject()方法获取一个subject对象，之后使用subject.getPrincipal()对象获得user对象，之后再通过user获得相应的权限值，最后通过info.addStringPermissions(perms)进行权限的授予。