Shiro學習（一）之理論知識篇

一：Shiro簡介

Apache Shiro 是 Java 的一個安全框架。功能強大，使用簡單的Java安全框架，它爲開發人員提供一個直觀而全面的認證，受權，加密及會話管理的解決方案。

 

Authentication：身份認證/登陸，驗證用戶是否是擁有相應的身份；

Authorization：受權，即權限驗證，驗證某個已認證的用戶是否擁有某個權限；即判斷用戶是否能作事情，常見的如：驗證某個用戶是否擁有某個角色。或者細粒度的驗證某個用戶對某個資源是否具備某個權限；

Session Manager：會話管理，即用戶登陸後就是一次會話，在沒有退出以前，它的全部信息都在會話中；會話能夠是普通JavaSE環境的，也能夠是如Web環境的；

Cryptography：加密，保護數據的安全性，如密碼加密存儲到數據庫，而不是明文存儲；

Web Support：Web支持，能夠很是容易的集成到Web環境；

Caching：緩存，好比用戶登陸後，其用戶信息、擁有的角色/權限沒必要每次去查，這樣能夠提升效率；

Concurrency：shiro支持多線程應用的併發驗證，即如在一個線程中開啓另外一個線程，能把權限自動傳播過去；

Testing：提供測試支持；

Run As：容許一個用戶僞裝爲另外一個用戶（若是他們容許）的身份進行訪問；

Remember Me：記住我，這個是很是常見的功能，即一次登陸後，下次再來的話不用登陸了。

2、Shiro架構

從大的角度來看，Shiro有三個主要的概念：Subject，SecurityManager，Realms，下面這幅圖能夠看到這些原件之間的交互。

1) Subject：主體，表明了當前「用戶」。這個用戶不必定是一個具體的人，與當前應用交互的任何東西都是 Subject，如網絡爬蟲，機器人等。全部 Subject 都綁定到 SecurityManager，與 Subject 的全部交互都會委託給 SecurityManager。咱們能夠把 Subject 認爲是一個門面，SecurityManager 纔是實際的執行者。

2) SecurityManager：安全管理器。即全部與安全有關的操做都會與 SecurityManager 交互，且它管理着全部 Subject。能夠看出它是 Shiro 的核心，它負責與後邊介紹的其餘組件進行交互，若是學習過 SpringMVC，咱們能夠把它當作 DispatcherServlet 前端控制器。

3) Realm：域。Shiro 從 Realm 獲取安全數據（如用戶、角色、權限），就是說 SecurityManager 要驗證用戶身份，那麼它須要從 Realm 獲取相應的用戶進行比較以肯定用戶身份是否合法，也須要從 Realm 獲得用戶相應的角色/權限進行驗證用戶是否能進行操做。咱們能夠把 Realm 當作 DataSource，即安全數據源。

更細節的架構

Subject：主體，能夠看到主體能夠是任何能夠與應用交互的「用戶」；

SecurityManager：至關於SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher；是Shiro的心臟；全部具體的交互都經過SecurityManager進行控制；它管理着全部Subject、且負責進行認證和受權、及會話、緩存的管理。

Authenticator：認證器，負責主體認證的，這是一個擴展點，若是用戶以爲Shiro默認的很差，能夠自定義實現；其須要認證策略（Authentication Strategy），即什麼狀況下算用戶認證經過了；

Authrizer：受權器，或者訪問控制器，用來決定主體是否有權限進行相應的操做；即控制着用戶能訪問應用中的哪些功能；

Realm：能夠有1個或多個Realm，能夠認爲是安全實體數據源，即用於獲取安全實體的；能夠是JDBC實現，也能夠是LDAP實現，或者內存實現等等；由用戶提供；注意：Shiro不知道你的用戶/權限存儲在哪及以何種格式存儲；因此咱們通常在應用中都須要實現本身的Realm；

SessionManager：若是寫過Servlet就應該知道Session的概念，Session呢須要有人去管理它的生命週期，這個組件就是SessionManager；而Shiro並不只僅能夠用在Web環境，也能夠用在如普通的JavaSE環境、EJB等環境；全部呢，Shiro就抽象了一個本身的Session來管理主體與應用之間交互的數據；這樣的話，好比咱們在Web環境用，剛開始是一臺Web服務器；接着又上了臺EJB服務器；這時想把兩臺服務器的會話數據放到一個地方，這個時候就能夠實現本身的分佈式會話（如把數據放到Memcached服務器）；

SessionDAO：DAO你們都用過，數據訪問對象，用於會話的CRUD，好比咱們想把Session保存到數據庫，那麼能夠實現本身的SessionDAO，經過如JDBC寫到數據庫；好比想把Session放到Memcached中，能夠實現本身的Memcached SessionDAO；另外SessionDAO中可使用Cache進行緩存，以提升性能；

CacheManager：緩存控制器，來管理如用戶、角色、權限等的緩存的；由於這些數據基本上不多去改變，放到緩存中後能夠提升訪問的性能

Cryptography：密碼模塊，Shiro提升了一些常見的加密組件用於如密碼加密/解密的。

3、過濾器

當 Shiro 被運用到 web 項目時，Shiro 會自動建立一些默認的過濾器對客戶端請求進行過濾。如下是 Shiro 提供的過濾器：

過濾器簡稱	對應的 Java 類
anon	org.apache.shiro.web.filter.authc.AnonymousFilter
authc	org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic	org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
perms	org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port	org.apache.shiro.web.filter.authz.PortFilter
rest	org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles	org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl	org.apache.shiro.web.filter.authz.SslFilter
user	org.apache.shiro.web.filter.authc.UserFilter
logout	org.apache.shiro.web.filter.authc.LogoutFilter
noSessionCreation	org.apache.shiro.web.filter.session.NoSessionCreationFilter

解釋：

1. /admins/**=anon # 表示該 uri 能夠匿名訪問
2. /admins/**=auth # 表示該 uri 須要認證才能訪問
3. /admins/**=authcBasic # 表示該 uri 須要 httpBasic 認證
4. /admins/**=perms[user:add:*] # 表示該 uri 須要認證用戶擁有 user:add:* 權限才能訪問
5. /admins/**=port[8081] # 表示該 uri 須要使用 8081 端口
6. /admins/**=rest[user] # 至關於 /admins/**=perms[user:method]，其中，method 表示 get、post、delete 等
7. /admins/**=roles[admin] # 表示該 uri 須要認證用戶擁有 admin 角色才能訪問
8. /admins/**=ssl # 表示該 uri 須要使用 https 協議
9. /admins/**=user # 表示該 uri 須要認證或經過記住我認證才能訪問
10. /logout=logout # 表示註銷,能夠看成固定配置

注意：

anon，authcBasic，auchc，user 是認證過濾器。

perms，roles，ssl，rest，port 是受權過濾器。