Shiro框架：认证和授权原理

前言

Shiro作为解决权限问题的常用框架，常用于解决认证、授权、加密、会话管理等场景。本文将对Shiro的认证和授权原理进行介绍：

• Shiro可以做什么？、

• Shiro是由什么组成的？

• 举个Shiro的例子呗？

• Shiro认证的原理是咋样的？

• Shiro授权的原理是咋样的？

 

1. Shiro可以做什么？

在构建一个网络应用的时候，权限检验管理作为非常重要的安全措施，需要包含以下几点：

• 用户认证 — 用户身份识别。得知道来的人是谁；

• 用户授权 — 用户权限访问控制。得知道来的人有没有资格进来，又不是“我家大门常打开”；

• 密码加密 — 加密敏感数据，防止被偷窥。就像是家里上锁，上几把锁，原子锁还是电子锁？

• 会话管理 — 与用户相关的时间敏感的状态信息。类似于阅后即焚的信件。

Shiro支持以上的功能，而且它提供的API可以帮助我们很容易就开发出足够好的应用。Shiro具备认证、授权、加密、会话管理、集成Web、缓存等功能，相当好用。

 

2. Shiro是由什么组成的？

 

下图是Shiro的架构图：

可以看出来，Security Manager是Shiro的核心，连认证、授权、会话管理等都是在这里面执行的。接下来我们来看看这些组件分别是做什么用的：

• Subject：主体，可以是用户或程序，主体可以访问Security Manager以获得认证、授权、会话等服务；

• Security Manager：安全管理器，主体所需的认证、授权功能都是在这里进行的，是Shiro的核心；

  • Authenticator：认证器，主体的认证过程通过Authenticator进行；

  • Authorizer：授权器，主体的授权过程通过Authorizer进行；

  • Session Manager：shiro的会话管理器，与web应用提供的Session管理分隔开；

  • Session DAO：通过Session DAO管理Session数据，针对个性化的Session数据存储，需要使用到Session DAO；

  • Cache Manager：缓存管理器，主要对Session和授权数据进行缓存。因为这些数据不怎么改变，为了提高访问速度选择将其缓存起来；

  • Realm：域，可以有一个或多个域，可通过Realm存储授权和认证的逻辑；

• Cryptography：密码管理，Shiro提供了一套加密/解密的组件，如MD5散列算法等。

 

3. 举个Shiro的例子呗？

笔者采用Shiro官网给的例子，来梳理Shiro认证、授权的过程：

shiro.ini

创建一个文件shiro.ini，其功用相当于Realm。shiro默认使用的也是IniRealm：

# ======================================================================&