一、简介

• Apache Shiro是java的一个安全（权限）框架
• Shiro可以非常容器的开发出足够好的应用，其不仅可以用在javaSE环境，也可以用在JavaEE环境。

1、Shiro的功能简介

在学习之前，我们先了解一下shiro的这些基本功能。后面会详细说明

• Authentication：身份认证/登录，验证用户是不是拥有相应的身份。
• Authorization：授权，即权限验证，验证某个已认证用户是否拥有某个权限，即判断用户对某个资源是否具有某个权限
• Session Manager：会话管理，即用户登录一次就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通的JavaSE环境，也可以是Web环境
• Cryptography：加密。保护数据的安全性，如密码加密存储到数据库，而不是明文存储
• Web Support：Web支持，可以非常容易的集成到Web环境
• Caching：缓存，比如用户登录以后，其用户信息、拥有的角色/权限不必每次去访问数据库，这样可以提高效率。
• Concurrency：Shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去。
• Testing：提供测试支持
• Run As：允许一个用户假装为另一个用户（如果他们允许）的身份进行访问
• Remember Me：记住我，这是个非常常见的功能，即一次登录后，下次在来的话不用再登录了

2、Shiro（外部）架构

从外部来看，即从应用程序角度来观察如何使用Shiro完成工作：

• Subject：应用代码直接交互的对象就是Subject，也就是说Shiro的对外API核心就是Subject。Subject代表了当前用户，这个用户不一定是一个具体的人，与当前应用交互的任何东西都是Subject，如网络爬虫，机器人等；与Subject的所有交互都会委托给SecurityManager；Subject其实是一个门面，SecurityManager才是实际的执行者；
• SecurityManager：安全管理器；即所有与安全有关的操作都会与SecurityManager交互；且管理着所有的Subject；可以看出它是shiro的核心，它负责与shiro的其他组件进行交互，它相当于SpringMVC中的DispatcherServlet的角色。
• Realm：shiro从Realm获取安全数据（如用户、角色、权限），就是说SecurityManager要验证用户身份，那么它需要从Realm获取相应的用户进行比较以确认用户身份是否合法；也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作；可以把Realm看成DataSource。
• 可以把三者看成是spring中的controller层->service层->datasource层，更容易理解

3、shiro（内部）架构

• subject：任何可以与应用交互的“用户”；
• SecurityManager：相当于SpringMVC中的DispatcherServlet；是shiro的心脏；所有具体的交互都会通过SecurityManager进行控制；它管理这所有Subject、且负责进行认证、授权、会话以及缓存的管理
• Authenticator：负责Subject认证，是一个扩展点，可以自定义实现；可以使用认证策略（Authenticator Strategy），即用户认证通过的逻辑；
• Authorizer：授权器，即访问控制器，用来决定主体是否有权限进行相应的操作；即控制着用户能访问应用中的那些功能；
• Realm：可以有1个或多个Realm，可以认为是安全实体数据源，即用于获取安全实体的；可以是JDBC实现，也可以是内存实现等等；有用户提供；所以一般再应用中都需要实现自己的Realm；
• SessionManager：管理Session生命周期的组件；而shiro并不仅仅可以用在Web环境，也可以用在普通的javaSE环境
• CacheManager：缓存控制器，来管理用户、角色‘权限等的缓存的；因为这些数据基本上很少改变，放到缓存后可以提高访问的性能
• Cryptography：密码模块，shiro提供了一些常见的加密组件用于密码加密/解密。

二、与web集成

• shiro提供了与Web集成的支持，其通过一个shiroFilter入口来拦截需要安全控制的url，然后进行相应的控制
• shiroFilter类似于如SpringMVC这种web框架的前端控制器，是安全控制的入口点，其负责读取配置（如ini配置文件），然后判断url是否需要登录/权限等工作

在web.xml中的配置Filter

<!-- 
	1. 配置  Shiro 的 shiroFilter.  
	2. DelegatingFilterProxy 实际上是 Filter 的一个代理对象. 默认情况下, Spring 会到 IOC 容器中查找和 
	<filter-name> 对应的 filter bean. 也可以通过 targetBeanName 的初始化参数来配置 filter bean 的 id. 
	-->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>

    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

对应的bean

<!--  
     配置 ShiroFilter. 
    id 必须和 web.xml 文件中配置的 DelegatingFilterProxy 的 <filter-name> 一致.
若不一致, 则会抛出: NoSuchBeanDefinitionException. 因为 Shiro 会来 IOC 容器中查找和 <filter-name> 名字对应的 filter bean.
    -->     
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login.jsp"/>
        <property name="successUrl" value="/list.jsp"/>
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        
        <property name="filterChainDefinitionMap" ref="filterChainDefinitionMap"></property>
        
        <!--  
        	配置哪些页面需要受保护. 
        	以及访问这些页面需要的权限. 
        	1). anon 可以被匿名访问
        	2). authc 必须认证(即登录)后才可能访问的页面. 
        	3). logout 登出.
        	4). roles 角色过滤器
        --> 
        <property name="filterChainDefinitions">
            <value>
                /login.jsp = anon
                /shiro/login = anon
                /shiro/logout = logout
                
                /user.jsp = roles[user]
                /admin.jsp = roles[admin]
                
                <!-- # everything else requires authentication:-->
                /** = authc
            </value>
        </property>
        
    </bean>

1、shiro的工作原理

2、shiro中默认的过滤器

3、URL匹配模式

• url模式使用Ant风格

• Ant路径通配符支持?、\*、**，注意通配符匹配不包括目录分割符"/""

  • ?:匹配一个字符。如/admin?可匹配/admin1或/admin2等。但不能匹配/admin
  • *：匹配零个或多个字符串。/admin*可匹配/admin、/admin123
  • **：匹配路径中的零个或多个路径。/admin/**，可匹配/admin/a、/admin/a/b

• URL权限采取第一次匹配优先的原则，即从头开始使用第一个匹配的url模式对应的拦截器链

三、认证

1、身份认证

• 身份认证：一般需要提供如身份ID等一些标识信息来表明登录者的身份，如提供email，用户名/密码来验证。
• 在Shiro中，用户需要提供principals（身份）和credentials（证明）给shiro，从而应用能验证用户身份。
• principals：身份，即主体的标识信息，可以是任何唯一属性。一个主体可以有多个principals，但只有一个Primary principals
• credentials：证明/凭证，即只有主体知道的安全值，如密码/数字证书等
• 最常见的principals和credentials组合就是用户名/密码

2、身份验证基本流程

1. 收集用户身份/凭证，即如用户名/密码
2. 调用Subject.login进行登录，如果失败将得到相应的AuthenticationException异常，根据异常提示用户错误信息；否则登录成功
3. 创建自定义的Realm类，继承org.apache.shiro.realm.AuthenticatingRealm类，实现doGetAuthenticationInfo()方法

3、身份验证内部流程

1. 首先调用 Subject.login(token) 进行登录，其会自动委托给 SecurityManager
2. SecurityManager 负责真正的身份验证逻辑；它会委托给 Authenticator 进行身份验证
3. Authenticator 才是真正的身份验证者，Shiro API 中核心的身份 认证入口点，此处可以自定义插入自己的实现；
4. Authenticator 可能会委托给相应的 AuthenticationStrategy 进 行多 Realm 身份验证，默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证；
5. Authenticator 会把相应的 token 传入 Realm，从 Realm 获取 身份验证信息，如果没有返回/抛出异常表示身份验证失败了。此处 可以配置多个Realm，将按照相应的顺序及策略进行访问。

4、Realm

Shiro 从 Realm 获取安全数据（如用户、角色、 权限）；

即 SecurityManager 要验证用户身份，那么它需 要从 Realm 获取相应的用户进行比较以确定用户身份是否 合法；

也需要从Realm得到用户相应的角色/权限进行验证 用户是否能进行操作。

一般继承 AuthorizingRealm（授权）即可；其继承了 AuthenticatingRealm（即身份验证），而且也间接继承了 CachingRealm（带有缓存实现）。

public interface Realm {
    //返回一个唯一的Realm名字
    String getName();
	
    //支持的AuthenticationToken的类型
    boolean supports(AuthenticationToken var1);

    //认证的逻辑
    AuthenticationInfo getAuthenticationInfo(AuthenticationToken var1) throws AuthenticationException;
}

5、加密

密码的比对:
通过 AuthenticatingRealm 的 credentialsMatcher 属性来进行的密码的比对!

1. 如何把一个字符串加密为 MD5

2. 替换当前 Realm 的 credentialsMatcher 属性. 直接使用 HashedCredentialsMatcher 对象, 并设置加密算法即可.

3. 为什么使用 MD5 盐值加密:

4. 如何做到:
   1). 在 doGetAuthenticationInfo 方法返回值创建 SimpleAuthenticationInfo 对象的时候, 需要使用
   SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName) 构造器
   2). 使用 ByteSource.Util.bytes() 来计算盐值.
   3). 盐值需要唯一: 一般使用随机字符串或 user id
   4). 使用 new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations); 来计算盐值加密后的密码的值.

6、Authenticator

• Authenticator 的职责是验证用户帐号，是 Shiro API 中身份验 证核心的入口点：如果验证成功，将返回AuthenticationInfo 验 证信息；此信息中包含了身份及凭证；如果验证失败将抛出相应 的 AuthenticationException 异常
• SecurityManager 接口继承了 Authenticator，另外还有一个 ModularRealmAuthenticator实现，其委托给多个Realm 进行 验证，验证规则通过 AuthenticationStrategy 接口指定

AuthenticationStrategy

• AuthenticationStrategy 接口的默认实现：

• FirstSuccessfulStrategy：只要有一个 Realm 验证成功即可，只返回第 一个 Realm 身份验证成功的认证信息，其他的忽略；

• AtLeastOneSuccessfulStrategy：只要有一个Realm验证成功即可，和 FirstSuccessfulStrategy 不同，将返回所有Realm身份验证成功的认证信 息；

• AllSuccessfulStrategy：所有Realm验证成功才算成功，且返回所有 Realm身份验证成功的认证信息，如果有一个失败就失败了。

• ModularRealmAuthenticator 默认是 AtLeastOneSuccessfulStrategy 策略

<bean id="authenticator"
      class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
    <property name="authenticationStrategy">
        <bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy"></bean>
    </property>
</bean>

四、授权

1、权限

在枚举类DefaultFilter可以查看shiro的全部默认权限.在前面也已经相似说明过。

public enum DefaultFilter {
    anon(AnonymousFilter.class),
    authc(FormAuthenticationFilter.class),
    authcBasic(BasicHttpAuthenticationFilter.class),
    authcBearer(BearerHttpAuthenticationFilter.class),
    logout(LogoutFilter.class),
    noSessionCreation(NoSessionCreationFilter.class),
    perms(PermissionsAuthorizationFilter.class),
    port(PortFilter.class),
    rest(HttpMethodPermissionFilter.class),
    roles(RolesAuthorizationFilter.class),
    ssl(SslFilter.class),
    user(UserFilter.class);
    ...
}

2、授权

授权需要继承AuthorizingRealm类，并实现其doGetAuthorizationInfo方法

AuthorizingRealm类继承自AuthenticatingRealm，但没有实现doGetAuthenticationInfo方法。所有认证和授权可以同时完成。

@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //1.通过PrincipalCollection获取用户信息
        Object principal = principalCollection.getPrimaryPrincipal();
        //2.根据登录的用户信息来给用户权限
        Set<String> roles = new HashSet<>();
        //3.创建SimpleAuthorizationInfo并设置roles属性
    	//普通用户只有user权限，admin有管理员权限
        roles.add("user");
        if("admin".equals(principal)){
            roles.add("admin");
        }
        //4.返回SimpleAuthorizationInfo对象
         return new SimpleAuthorizationInfo(roles);
}

3、授权流程

流程如下：

1. 首先调用 Subject.isPermitted*/hasRole* 接口，其会委托给 SecurityManager，而 SecurityManager 接着会委托给 Authorizer；
2. Authorizer是真正的授权者，如果调用 isPermitted(“user:view”)，其首先会通过PermissionResolver 把字符串转换成相应的 Permission 实例；
3. 在进行授权之前，其会调用相应的 Realm 获取 Subject 相应的角 色/权限用于匹配传入的角色/权限；
4. Authorizer 会判断 Realm 的角色/权限是否和传入的匹配，如果 有多个Realm，会委托给 ModularRealmAuthorizer 进行循环判断， 如果匹配如 isPermitted*/hasRole* 会返回true，否则返回false表示 授权失败。

4、Shiro标签

Shiro提供的JSTL标签，用于在JSP页面进行权限控制，如根据登录用户显示相应的页面按钮。

这里简单介绍一些，如有需要，可在网上搜索。

<!--guest用户没有身份验证时显示相应信息-->
<shiro:guest>
	欢迎游客访问,<a href="login.jsp">登录</a>
</shiro:guest>

<!--用户经过认证/记住我登录后显示相应的信息-->
<shiro:user>
	欢迎[<shiro:principal/>]登录，<a href="logout">退出</a>
</shiro:user>

<!--authenticated 标签：用户已经身份验证通过，即
Subject.login登录成功，不是记住我登录的
-->
<shiro:authenticated></shiro:authenticated>

<!--notAuthenticated 标签：用户未进行身份验证，即没有调
用Subject.login进行登录，包括记住我自动登录的也属于
未进行身份验证。-->
<shiro:notAuthenticated></shiro:notAuthenticated>

<!--pincipal 标签：显示用户身份信息，默认调用
Subject.getPrincipal() 获取，即 Primary Principal。-->
<shiro:principal property="username"></shiro:principal>

<!--hasRole 标签：如果当前 Subject 有角色将显示 body 体内
容：-->
<shiro:hasRole name="admin">
	拥有管理员权限
</shiro:hasRole>

<!--hasAnyRoles 标签：如果当前Subject有任意一个
角色（或的关系）将显示body体内容。-->
<shiro:hasAnyRoles name="admin,user">
	拥有管理员或普通用户权限
</shiro:hasAnyRoles>

5、权限注解

• @RequiresAuthentication：表示当前Subject已经通过login 进行了身份验证；即 Subject. isAuthenticated() 返回 true
• @RequiresUser：表示当前 Subject 已经身份验证或者通过记 住我登录的。
• @RequiresGuest：表示当前Subject没有身份验证或通过记住 我登录过，即是游客身份。
• @RequiresRoles(value={“admin”, “user”}, logical= Logical.AND)：表示当前 Subject 需要角色 admin 和user
• @RequiresPermissions (value={“user:a”, “user:b”}, logical= Logical.OR)：表示当前 Subject 需要权限 user:a 或 user:b。

五、从数据表中初始化资源和权限

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.jsp"/>
    <property name="successUrl" value="/list.jsp"/>
    <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
    <property name="filterChainDefinitionMap" ref="filterChainDefinitionMap"></property>
    <!--  
         配置哪些页面需要受保护. 
         以及访问这些页面需要的权限. 
         1). anon 可以被匿名访问
         2). authc 必须认证(即登录)后才可能访问的页面. 
         3). logout 登出.
         4). roles 角色过滤器
        -->

    <property name="filterChainDefinitions">
        <value>
            /login.jsp = anon
            /shiro/login = anon
            /shiro/logout = logout

            /user.jsp = roles[user]
            /admin.jsp = roles[admin]

            <!-- # everything else requires authentication:-->
            /** = authc
        </value>
    </property>
</bean>

每次若有添加或修改页面的权限都要在xml文件中进行修改太过麻烦。

1、获取权限配置的流程

我们可以知道，<property name="filterChainDefinitions">，此类属性的赋值就是调用其set方法；

而setFilterChainDefinitions方法中调用了setFilterChainDefinitionMap方法为filterChainDefinitionMap属性赋值；

filterChainDefinitionMap里封装的正是我们在<property name="filterChainDefinitions">下进行的配置；

因此，我们只要对filterChainDefinitionMap属性进行操作，便能对资源和权限进行管理了。

上面的配置可以写为

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.jsp"/>
    <property name="successUrl" value="/list.jsp"/>
    <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
    
    <!--引用实例工厂创建的Bean-->
    <property name="filterChainDefinitionMap" ref="filterChainDefinitionMap"></property>
   
</bean>

通过实例工厂的方式来为filterChainDefinitionMap属性赋值。

• 创建一个工厂类FilterChainDefinitionMapBuilder。
• 在工厂类中写一个函数，返回filterChainDefinitionMap同类型的Map。我们可以在这个函数中访问数据库从中获得初始化的资源和权限，封装在Map中。
• 使用该工厂实例创建一个filterChainDefinitionMap的Bean，然后让filterChainDefinitionMap使用该Bean的值

public class FilterChainDefinitionMapBuilder {

	public LinkedHashMap<String, String> buildFilterChainDefinitionMap(){
		LinkedHashMap<String, String> map = new LinkedHashMap<>();
		/*进行数据表的读取
		map.put("/login.jsp", "anon");
		map.put("/shiro/login", "anon");
		map.put("/shiro/logout", "logout");
		map.put("/user.jsp", "authc,roles[user]");
		map.put("/admin.jsp", "authc,roles[admin]");
		map.put("/list.jsp", "user");
		map.put("/**", "authc");*/   
		return map;
	}	
}

实例工厂bean的配置

<!--配置一个工厂实例-->
<bean id="filterChainDefinitionMapBuilder"
    	class="com.atguigu.shiro.factory.FilterChainDefinitionMapBuilder"></bean>    

<!--通过使用工厂和其工厂方法获得filterChainDefinitionMap实例-->
<bean id="filterChainDefinitionMap" 
    	factory-bean="filterChainDefinitionMapBuilder" factory-method="buildFilterChainDefinitionMap"></bean>

<!--filterChainDefinitionMap属性的赋值-->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    ...
    <!--引用实例工厂创建的Bean-->
    <property name="filterChainDefinitionMap" ref="filterChainDefinitionMap"></property>  
</bean>

六、会话管理

Shiro的会话在web环境与servlet的会话功能是一致的，不同的是Shiro的会话不依赖与servlet容器，所以在javaSE环境下依然可以使用。

1、相关API

• Subject.getSession()：即可获取会话；其等价于 Subject.getSession(true)，即如果当前没有创建 Session 对象会创建 一个；Subject.getSession(false)，如果当前没有创建 Session 则返回 null
• session.getId()：获取当前会话的唯一标识
• session.getHost()：获取当前Subject的主机地址
• session.getTimeout() & session.setTimeout(毫秒)：获取/设置当 前Session的过期时间
• session.getStartTimestamp() & session.getLastAccessTime()： 获取会话的启动时间及最后访问时间；如果是 JavaSE 应用需要自己定 期调用 session.touch() 去更新最后访问时间；如果是 Web 应用，每 次进入 ShiroFilter 都会自动调用 session.touch() 来更新最后访问时间。
• session.touch() & session.stop()：更新会话最后访问时 间及销毁会话；当Subject.logout()时会自动调用 stop 方法 来销毁会话。如果在web中，调用 HttpSession. invalidate() 也会自动调用Shiro Session.stop 方法进行销毁Shiro 的会 话
• session.setAttribute(key, val) & session.getAttribute(key) & session.removeAttribute(key)：设置/获取/删除会话属 性；在整个会话范围内都可以对这些属性进行操作

2、SessionDao

• AbstractSessionDAO 提供了 SessionDAO 的基础实现， 如生成会话ID等
• CachingSessionDAO 提供了对开发者透明的会话缓存的 功能，需要设置相应的 CacheManager
• MemorySessionDAO 直接在内存中进行会话维护
• EnterpriseCacheSessionDAO 提供了缓存功能的会话维 护，默认情况下使用 MapCache 实现，内部使用 ConcurrentHashMap 保存缓存的会话。直接使用此就可。

2、配置思路

1. 配置一个Session ID生成器，赋值给SessionDao的sessionIdGenerator属性
2. SessionDAO，赋值给SessionManager的sessionDAO属性

SessionDAO进行增删改查使用序列化。

3、会话验证

• Shiro 提供了会话验证调度器，用于定期的验证会话是否 已过期，如果过期将停止会话
• 出于性能考虑，一般情况下都是获取会话时来验证会话是 否过期并停止会话的；但是如在 web 环境中，如果用户不 主动退出是不知道会话是否过期的，因此需要定期的检测 会话是否过期，Shiro 提供了会话验证调度器 SessionValidationScheduler
• Shiro 也提供了使用Quartz会话验证调度器： QuartzSessionValidationScheduler

七、缓存

Shiro 内部相应的组件（DefaultSecurityManager）会自 动检测相应的对象（如Realm）是否实现了 CacheManagerAware 并自动注入相应的 CacheManager。

八、Remember me

• Shiro 提供了记住我（RememberMe）的功能，比如访问如淘宝 等一些网站时，关闭了浏览器，下次再打开时还是能记住你是谁， 下次访问时无需再登录即可访问，基本流程如下：
• 首先在登录页面选中 RememberMe 然后登录成功；如果是 浏览器登录，一般会把 RememberMe 的Cookie 写到客户端并 保存下来；
• 关闭浏览器再重新打开；会发现浏览器还是记住你的；
• 访问一般的网页服务器端还是知道你是谁，且能正常访问；
• 但是比如我们访问淘宝时，如果要查看我的订单或进行支付 时，此时还是需要再进行身份认证的，以确保当前用户还是你。

1、认证和记住我的区别

• subject.isAuthenticated() 表示用户进行了身份验证登录的， 即有 Subject.login 进行了登录；
• subject.isRemembered()：表示用户是通过记住我登录的， 此时可能并不是真正的你（如你的朋友使用你的电脑，或者 你的cookie 被窃取）在访问的
• 两者只能二选一，即 subject.isAuthenticated()==true，则 subject.isRemembered()==false；反之一样。

2、建议

• 访问一般网页：如个人在主页之类的，我们使用user 拦截 器即可，user 拦截器只要用户登录 (isRemembered() || isAuthenticated())过即可访问成功；
• 访问特殊网页：如我的订单，提交订单页面，我们使用 authc 拦截器即可，authc 拦截器会判断用户是否是通过 Subject.login（isAuthenticated()==true）登录的，如 果是才放行，否则会跳转到登录页面叫你重新登录。

shiro简单入门

原文：https://www.cnblogs.com/ylcc-zyq/p/12570675.html