Shiro權限管理框架

1、Shiro介紹

　　Apache Shiro 是Java 的一個安全框架。Shiro 能夠很是容易的開發出足夠好的應用，其不只能夠用在JavaSE 環境，也能夠用在JavaEE 環境。Shiro 能夠幫助咱們完成：認證、受權、加密、會話管理、與Web 集成、緩存等。

　　既然shiro將安全認證相關的功能抽取出來組成一個框架，使用shiro就能夠很是快速的完成認證、受權等功能的開發，下降系統成本。

       shiro使用普遍，shiro能夠運行在web應用，非web應用，集羣分佈式應用中愈來愈多的用戶開始使用shiro。

       java領域中spring security(原名Acegi)也是一個開源的權限管理框架，可是spring security依賴spring運行，而shiro就相對獨立，最主要是由於shiro使用簡單、靈活，因此如今愈來愈多的用戶選擇shiro。

2、Shiro基本概念

　　Shiro 不會去維護用戶、維護權限；這些須要咱們本身去設計/提供；而後經過相應的接口注入給Shiro便可

1，Authentication

　　身份認證/登陸，驗證用戶是否是擁有相應的身份。

2，Authorization

　　受權，即權限驗證，驗證某個已認證的用戶是否擁有某個權限；即判斷用戶是否能作事情，常見的如：驗證某個用戶是否擁有某個角色。或者細粒度的驗證某個用戶對某個資源是否具備某個權限。

3，Session Manager

　　會話管理，即用戶登陸後就是一次會話，在沒有退出以前，它的全部信息都在會話中；會話能夠是普通JavaSE環境的，也能夠是如Web環境的。

4，Cryptography

　　加密，保護數據的安全性，如密碼加密存儲到數據庫，而不是明文存儲。

5，Web Support

　　Web 支持，能夠很是容易的集成到Web 環境。

6，Caching

　　緩存，好比用戶登陸後，其用戶信息、擁有的角色/權限沒必要每次去查，這樣能夠提升效率。

7，Concurrency

　　shiro 支持多線程應用的併發驗證，即如在一個線程中開啓另外一個線程，能把權限自動傳播過去。

8，Testing

　　提供測試支持。

9，Run As

　　容許一個用戶僞裝爲另外一個用戶（若是他們容許）的身份進行訪問；

10，Remember Me

　　記住我，這個是很是常見的功能，即一次登陸後，下次再來的話不用登陸了。

3、Shiro架構

1，Subject

　　Subject即主體，外部應用與subject進行交互，subject記錄了當前操做用戶，將用戶的概念理解爲當前操做的主體，多是一個經過瀏覽器請求的用戶，也多是一個運行的程序。   

　　 Subject在shiro中是一個接口，接口中定義了不少認證授相關的方法，外部程序經過subject進行認證授，而subject是經過SecurityManager安全管理器進行認證受權。

2，SecurityManager

　　SecurityManager即安全管理器，對所有的subject進行安全管理，它是shiro的核心，負責對全部的subject進行安全管理。經過SecurityManager能夠完成subject的認證、受權等，實質上SecurityManager是經過Authenticator進行認證，經過Authorizer進行受權，經過SessionManager進行會話管理等。

        SecurityManager是一個接口，繼承了Authenticator, Authorizer, SessionManager這三個接口。

3，Authenticator

　　Authenticator即認證器，對用戶身份進行認證，Authenticator是一個接口，shiro提供ModularRealmAuthenticator實現類，經過ModularRealmAuthenticator基本上能夠知足大多數需求，也能夠自定義認證器。

4，Authorizer

　　Authorizer即受權器，用戶經過認證器認證經過，在訪問功能時須要經過受權器判斷用戶是否有此功能的操做權限。

5，realm

　　Realm即領域，至關於datasource數據源，securityManager進行安全認證須要經過Realm獲取用戶權限數據，好比：若是用戶身份數據在數據庫那麼realm就須要從數據庫獲取用戶身份信息。

        注意：不要把realm理解成只是從數據源取數據，在realm中還有認證受權校驗的相關的代碼。

 6，sessionManager

　　sessionManager即會話管理，shiro框架定義了一套會話管理，它不依賴web容器的session，因此shiro可使用在非web應用上，也能夠將分佈式應用的會話集中在一點管理，此特性可以使它實現單點登陸。

7，SessionDAO

　　SessionDAO即會話dao，是對session會話操做的一套接口，好比要將session存儲到數據庫，能夠經過jdbc將會話存儲到數據庫。

8，CacheManager

　　CacheManager即緩存管理，將用戶權限數據存儲在緩存，這樣能夠提升性能。

9，Cryptography

　　Cryptography即密碼管理，shiro提供了一套加密/解密的組件，方便開發。好比提供經常使用的散列、加/解密等功能。

4、Shiro過濾器 

　　Shiro 內置了不少默認的過濾器，好比身份驗證、受權等相關的。默認過濾器能夠參考org.apache.shiro.web.filter.mgt.DefaultFilter中的過濾器：

　　anon           org.apache.shiro.web.filter.authc.AnonymousFilter
　　authc          org.apache.shiro.web.filter.authc.FormAuthenticationFilter
　　authcBasic org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
　　perms         org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
　　port             org.apache.shiro.web.filter.authz.PortFilter
　　rest             org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
　　roles           org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
　　ssl               org.apache.shiro.web.filter.authz.SslFilter
　　user            org.apache.shiro.web.filter.authc.UserFilter
　　logout         org.apache.shiro.web.filter.authc.LogoutFilter

anon:例子

　　/admins/**=anon 沒有參數，表示能夠匿名使用。

authc:例子

　　/admins/user/**=authc表示須要認證(登陸)才能使用，FormAuthenticationFilter是表單認證，沒有參數

使用FormAuthenticationFilter過慮器實現 ，原理以下：

　　將用戶沒有認證時，請求loginurl進行認證，用戶身份和用戶密碼提交數據到loginurl。

　　FormAuthenticationFilter攔截住取出request中的username和password（兩個參數名稱是能夠配置的）。

　　FormAuthenticationFilter調用realm傳入一個token（username和password）。

　　realm認證時根據username查詢用戶信息（在Activeuser中存儲，包括 userid、usercode、username、menus）。

　　若是查詢不到，realm返回null，FormAuthenticationFilter向request域中填充一個參數（記錄了異常信息）。