Shiro入門

1、前言

Apache Shiro 是 Java 的一個安全框架。功能強大，使用簡單的Java安全框架，它爲開發人員提供一個直觀而全面的認證，受權，加密及會話管理的解決方案。

2、介紹

2.1 功能特色

Shiro 包含 10 個內容，以下圖：

1) Authentication：身份認證/登陸，驗證用戶是否是擁有相應的身份。

2) Authorization：受權，即權限驗證，驗證某個已認證的用戶是否擁有某個權限；即判斷用戶是否能作事情，常見的如：驗證某個用戶是否擁有某個角色。或者細粒度的驗證某個用戶對某個資源是否具備某個權限。

3) Session Manager：會話管理，即用戶登陸後就是一次會話，在沒有退出以前，它的全部信息都在會話中；會話能夠是普通 JavaSE 環境的，也能夠是如 Web 環境的。

4) Cryptography：加密，保護數據的安全性，如密碼加密存儲到數據庫，而不是明文存儲。

5) Web Support：Web支持，能夠很是容易的集成到 web 環境。

6) Caching：緩存，好比用戶登陸後，其用戶信息、擁有的角色/權限沒必要每次去查，這樣能夠提升效率。

7) Concurrency：shiro 支持多線程應用的併發驗證，即如在一個線程中開啓另外一個線程，能把權限自動傳播過去。

8) Testing：提供測試支持。

9) Run As：容許一個用戶僞裝爲另外一個用戶（若是他們容許）的身份進行訪問。

10) Remember Me：記住我，這個是很是常見的功能，即一次登陸後，下次再來的話不用登陸了。

2.2 運行原理

Shiro 運行原理圖1（應用程序角度）以下：

1) Subject：主體，表明了當前「用戶」。這個用戶不必定是一個具體的人，與當前應用交互的任何東西都是 Subject，如網絡爬蟲，機器人等。全部 Subject 都綁定到 SecurityManager，與 Subject 的全部交互都會委託給 SecurityManager。咱們能夠把 Subject 認爲是一個門面，SecurityManager 纔是實際的執行者。

2) SecurityManager：安全管理器。即全部與安全有關的操做都會與 SecurityManager 交互，且它管理着全部 Subject。能夠看出它是 Shiro 的核心，它負責與後邊介紹的其餘組件進行交互，若是學習過 SpringMVC，咱們能夠把它當作 DispatcherServlet 前端控制器。

3) Realm：域。Shiro 從 Realm 獲取安全數據（如用戶、角色、權限），就是說 SecurityManager 要驗證用戶身份，那麼它須要從 Realm 獲取相應的用戶進行比較以肯定用戶身份是否合法，也須要從 Realm 獲得用戶相應的角色/權限進行驗證用戶是否能進行操做。咱們能夠把 Realm 當作 DataSource，即安全數據源。

Shiro 運行原理圖2（Shiro 內部架構角度）以下：

1) Subject：主體，能夠看到主體能夠是任何與應用交互的「用戶」。

2) SecurityManager：至關於 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher。它是 Shiro 的核心，全部具體的交互都經過 SecurityManager 進行控制。它管理着全部 Subject、且負責進行認證和受權、及會話、緩存的管理。

3) Authenticator：認證器，負責主體認證的，這是一個擴展點，若是用戶以爲 Shiro 默認的很差，咱們能夠自定義實現。其須要認證策略（Authentication Strategy），即什麼狀況下算用戶認證經過了。

4) Authrizer：受權器，或者訪問控制器。它用來決定主體是否有權限進行相應的操做，即控制着用戶能訪問應用中的哪些功能。

5) Realm：能夠有1個或多個 Realm，能夠認爲是安全實體數據源，即用於獲取安全實體的。它能夠是 JDBC 實現，也能夠是 LDAP 實現，或者內存實現等。

6) SessionManager：若是寫過 Servlet 就應該知道 Session 的概念，Session 須要有人去管理它的生命週期，這個組件就是 SessionManager。而 Shiro 並不只僅能夠用在 Web 環境，也能夠用在如普通的 JavaSE 環境。

7) SessionDAO：DAO 你們都用過，數據訪問對象，用於會話的 CRUD。咱們能夠自定義 SessionDAO 的實現，控制 session 存儲的位置。如經過 JDBC 寫到數據庫或經過 jedis 寫入 redis 中。另外 SessionDAO 中可使用 Cache 進行緩存，以提升性能。

8) CacheManager：緩存管理器。它來管理如用戶、角色、權限等的緩存的。由於這些數據基本上不多去改變，放到緩存中後能夠提升訪問的性能。

9) Cryptography：密碼模塊，Shiro 提升了一些常見的加密組件用於如密碼加密/解密的。

2.3 過濾器

當 Shiro 被運用到 web 項目時，Shiro 會自動建立一些默認的過濾器對客戶端請求進行過濾。如下是 Shiro 提供的過濾器：

過濾器簡稱	對應的 Java 類
anon	org.apache.shiro.web.filter.authc.AnonymousFilter
authc	org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic	org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
perms	org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port	org.apache.shiro.web.filter.authz.PortFilter
rest	org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles	org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl	org.apache.shiro.web.filter.authz.SslFilter
user	org.apache.shiro.web.filter.authc.UserFilter
logout	org.apache.shiro.web.filter.authc.LogoutFilter
noSessionCreation	org.apache.shiro.web.filter.session.NoSessionCreationFilter

解釋：

1. /admins/**=anon # 表示該 uri 能夠匿名訪問
2. /admins/**=auth # 表示該 uri 須要認證才能訪問
3. /admins/**=authcBasic # 表示該 uri 須要 httpBasic 認證
4. /admins/**=perms[user:add:*] # 表示該 uri 須要認證用戶擁有 user:add:* 權限才能訪問
5. /admins/**=port[8081] # 表示該 uri 須要使用 8081 端口
6. /admins/**=rest[user] # 至關於 /admins/**=perms[user:method]，其中，method 表示 get、post、delete 等
7. /admins/**=roles[admin] # 表示該 uri 須要認證用戶擁有 admin 角色才能訪問
8. /admins/**=ssl # 表示該 uri 須要使用 https 協議
9. /admins/**=user # 表示該 uri 須要認證或經過記住我認證才能訪問
10. /logout=logout # 表示註銷,能夠看成固定配置

注意：

anon，authcBasic，auchc，user 是認證過濾器。

perms，roles，ssl，rest，port 是受權過濾器。

3、基礎入門

3.1 添加依賴

1. <dependency>
2. <groupId>commons-logging</groupId>
3. <artifactId>commons-logging</artifactId>
4. <version>1.1.3</version>
5. </dependency>
6.  
7. <dependency>
8. <groupId>org.apache.shiro</groupId>
9. <artifactId>shiro-core</artifactId>
10. <version>1.4.0</version>
11. </dependency>

3.2 配置文件

在 src/main/resources 目錄下建立名爲 shiro.ini 的配置文件，內容以下：

1. [users]
2. # admin=admin 分別表示帳號和密碼，administrator 表示逗號前邊的帳號擁有 administrator 這個角色。
3. admin=admin,administrator
4. zhangsan=zhangsan,manager
5. lisi=lisi,guest
6.  
7. [roles]
8. # administrator 表示角色名稱，* 表示這個角色擁有全部權限
9. administrator=*
10. manager=user:*,department:*
11. guest=user:query,department:query

其中，每一個用戶能夠擁有多個角色，經過逗號分隔。每一個角色能夠擁有多個權限，一樣經過逗號分隔。

3.3 編碼

1. public class ShiroTest {
2.  
3. @Test
4. public void test() {
5.  
6. // 讀取 shiro.ini 文件內容
7. Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
8. SecurityManager securityManager = factory.getInstance();
9. SecurityUtils.setSecurityManager(securityManager);
10.  
11. Subject currentUser = SecurityUtils.getSubject();
12.  
13. Session session = currentUser.getSession();
14. session.setAttribute("someKey", "aValue");
15. String value = (String) session.getAttribute("someKey");
16. if (value.equals("aValue")) {
17. System.out.println("someKey 的值：" + value);
18. }
19.  
20. // 登錄
21. UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "zhangsan");
22. token.setRememberMe(true);
23. try {
24. currentUser.login(token);
25. } catch (UnknownAccountException uae) {
26. System.out.println("用戶名不存在:" + token.getPrincipal());
27. } catch (IncorrectCredentialsException ice) {
28. System.out.println("帳戶密碼 " + token.getPrincipal() + " 不正確!");
29. } catch (LockedAccountException lae) {
30. System.out.println("用戶名 " + token.getPrincipal() + " 被鎖定 !");
31. }
32.  
33. // 認證成功後
34. if (currentUser.isAuthenticated()) {
35.  
36. System.out.println("用戶 " + currentUser.getPrincipal() + " 登錄成功！");
37.  
38. //測試角色
39. System.out.println("是否擁有 manager 角色：" + currentUser.hasRole("manager"));
40.  
41. //測試權限
42. System.out.println("是否擁有 user:create 權限" + currentUser.isPermitted("user:create"));
43.  
44. //退出
45. currentUser.logout();
46. }
47.  
48. }
49. }

打印結果：

1. someKey 的值：aValue
2. 用戶 zhangsan 登錄成功！
3. 是否擁有 manager 角色：true
4. 是否擁有 user:create 權限true

在項目的後端代碼中，咱們能夠經過 Subject 對象檢測出當前登陸用戶的認證狀態和受權信息，如下是 Subject 對象認證和受權相關的方法列表：

若是開發者不想使用代碼進行用戶進行受權校驗等操做，那麼可使用註解代替。

在使用 Shiro 的註解以前，請確保項目中已經添加支持 AOP 功能的相關 jar 包。經常使用註解以下：

1. @RequiresRoles( "manager" ) # 角色校驗
2. public String save() {
3. //...
4. }
5. @RequiresPermissions("user:manage") # 權限檢驗
6. public String delete() {
7. //...
8. }

當客戶端發送請求後，系統會使用 AOP 生成請求目標的代理類來解析註解，而後判斷當前請求的用戶是否擁有權限訪問。

在項目的前端代碼中，若是使用的是 JSP 模板，咱們就可使用 Shiro 提供的標籤對頁面元素的展現進行控制。

例如：

1. <%@ taglib prefix="shiro" uri=http://shiro.apache.org/tags %>
2. <html>
3. <body>
4. <shiro:hasPermission name="user:manage">
5. <a href="manageUsers.jsp">
6. 點擊進入管理界面
7. </a>
8. </shiro:hasPermission>
9. <shiro:lacksPermission name="user:manage">
10. 沒有管理權限
11. </shiro:lacksPermission>
12. </body>
13. </html>

其中，user:manage 對應 shiro.ini 文件中[roles]下邊的設置。

4、自定義 Realm

上邊的程序使用的是 Shiro 自帶的 IniRealm，而 IniRealm 從 ini 配置文件中讀取用戶的信息，大部分狀況下須要從系統的數據庫中讀取用戶信息，因此須要自定義 realm。

Shiro 爲咱們提供了以下 Realm:

其中，最基礎的是 Realm 接口，CachingRealm 負責緩存處理，AuthenticationRealm 負責認證，AuthorizingRealm負責受權，一般自定義的 realm 繼承 AuthorizingRealm。

自定義 Realm：

1. public class CustomRealm extends AuthorizingRealm {
2.  
3. /**
4. * 認證
5. */
6. @Override
7. protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
8. // 從 token 中獲取用戶身份信息
9. String username = (String) token.getPrincipal();
10. // 經過 username 從數據庫中查詢
11.  
12. // 若是查詢不到則返回 null
13. if(!username.equals("zhangsan")){//這裏模擬查詢不到
14. return null;
15. }
16.  
17. //獲取從數據庫查詢出來的用戶密碼
18. String dbPassword = "zhangsan";//這裏使用靜態數據模擬
19.  
20. //返回認證信息由父類 AuthenticatingRealm 進行認證
21. SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, dbPassword, getName());
22.  
23. return simpleAuthenticationInfo;
24. }
25.  
26. /**
27. * 受權
28. */
29. @Override
30. protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
31. // 獲取身份信息
32. String username = (String) principals.getPrimaryPrincipal();
33. // 根據身份信息從數據庫中查詢權限數據
34. // 這裏使用靜態數據模擬
35. List<String> permissions = new ArrayList<String>();
36. permissions.add("user:*");
37. permissions.add("department:*");
38.  
39. // 將權限信息封閉爲AuthorizationInfo
40. SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
41. // 模擬數據，添加 manager 角色
42. simpleAuthorizationInfo.addRole("manager");
43.  
44. for(String permission:permissions){
45. simpleAuthorizationInfo.addStringPermission(permission);
46. }
47.  
48. return simpleAuthorizationInfo;
49. }
50.  
51. }

在 src/main/resources 目錄下建立 shiro-realm.ini 文件，內容以下：

1. [main]
2. #自定義 realm
3. customRealm=com.light.shiroTest.realm.CustomRealm
4. #將realm設置到securityManager
5. securityManager.realms=$customRealm

將測試類中，shiro.ini 改爲 shiro-realm.ini 後執行，結果以下：

1. someKey 的值：aValue
2. 用戶 zhangsan 登錄成功！
3. 是否擁有 manager 角色：true
4. 是否擁有 user:create 權限true

5、與 Spring 整合

因爲項目設計思路不一樣，整合 Shiro 框架時的設置也會有所不一樣，所以下邊只列出部分通用的代碼。

5.1 添加依賴

1. <dependency>
2. <groupId>org.apache.shiro</groupId>
3. <artifactId>shiro-core</artifactId>
4. <version>1.4.0</version>
5. </dependency>
6. <dependency>
7. <groupId>org.apache.shiro</groupId>
8. <artifactId>shiro-spring</artifactId>
9. <version>1.4.0</version>
10. </dependency>

5.2 配置文件

web.xml ：

1. <filter>
2. <filter-name>shiroFilter</filter-name>
3. <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
4. <init-param>
5. <param-name>targetFilterLifecycle</param-name>
6. <param-value>true</param-value>
7. </init-param>
8. </filter>
9.  
10. <filter-mapping>
11. <filter-name>shiroFilter</filter-name>
12. <url-pattern>/*</url-pattern>
13. </filter-mapping>

application-shiro.xml：

1. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
2. <!-- 必須設置 -->
3. <property name="securityManager" ref="securityManager"/>
4. <!-- 3 個 url 屬性爲可選設置 -->
5. <property name="loginUrl" value="/login.jsp"/>
6. <property name="successUrl" value="/home.jsp"/>
7. <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
8. <property name="filterChainDefinitions">
9. <value>
10. <!-- 對靜態資源設置匿名訪問 -->
11. /resources/** = anon
12. /login = anon
13. <!-- /** = authc 全部url都必須認證經過才能夠訪問-->
14. /** = authc
15. </value>
16. </property>
17. </bean>
18.  
19. <!-- 安全管理器 -->
20. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
21. <property name="realm" ref="customRealm" />
22. </bean>
23.  
24. <!-- 自定義 realm -->
25. <bean id="customRealm" class="com.light.ac.web.realm.CustomRealm"></bean>
26.  
27. <!-- 保證明現了Shiro內部lifecycle函數的bean執行 -->
28. <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

其中，application-shiro.xml 中的 shiroFilter 名字和 web.xml 文件中的 shiroFilter是對應的，必須一致。

anon 和 authc 對應上文提到的過濾器。

CustomRealm 類：

1. public class CustomRealm extends AuthorizingRealm {
2.  
3. @Autowired
4. private UserService userService;
5.  
6. @Autowired
7. private PermissionService permissionService;
8.  
9. /**
10. * 認證
11. */
12. @Override
13. protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
14. // 獲取用戶名
15. String userName = (String) token.getPrincipal();
16. // 經過用戶名獲取用戶對象
17. User user = this.userService.findUserByUserName(userName);
18.  
19. if (user == null) {
20. return null;
21. }
22.  
23. // 經過 userId 獲取該用戶擁有的全部權限，返回值根據本身需求編寫，並不是固定值。
24. Map<String,List<Permission>> permissionMap = this.permissionService.getPermissionMapByUserId(user.getId());
25.  
26. // （目錄+菜單，分層級，用於前端 jsp 遍歷）
27. user.setMenuList(permissionMap.get("menuList"));
28. // （目錄+菜單+按鈕，用於後端權限判斷）
29. user.setPermissionList(permissionMap.get("permissionList"));
30.  
31. SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
32.  
33. return info;
34. }
35.  
36. /**
37. * 受權
38. */
39. @Override
40. protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
41. User user = (User) principals.getPrimaryPrincipal();
42.  
43. SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
44.  
45. // （目錄+菜單+按鈕，用於後端權限判斷）
46. List<Permission> permissionList = user.getPermissionList();
47.  
48. for (Permission permission : permissionList) {
49. if (StringUtil.isNotEmpty(permission.getCode())) {
50. info.addStringPermission(permission.getCode());
51. }
52. }
53.  
54. return info;
55. }
56. }

具體代碼能夠根據下文提供的源碼地址進行下載查看。

6、源碼下載

authority-control-shiro

7、參考資料

• http://shiro.apache.org/documentation.html 官方文檔