shiro的使用与详解

最新推荐文章于 2025-07-10 20:34:18 发布

风再云巅

最新推荐文章于 2025-07-10 20:34:18 发布

阅读量1k

点赞数

CC 4.0 BY-SA版权

文章标签： shiro

本文链接：https://blog.youkuaiyun.com/Hard_farmer/article/details/88832640

1>什么是权限管理?

基本上涉及到用户参与的系统都要进行权限管理，权限管理属于系统安全的范畴，权限管理实现对用户访问系统的控制，按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

权限管理包括用户身份认证和授权两部分，简称认证授权。对于需要访问控制的资源用户首先经过身份认证，认证通过后用户具有该资源的访问权限方可访问。

身份认证,就是判断一个用户是否为合法用户的处理过程.醉常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确.对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡.

上边的流程图中需要理解以下关键对象：

Subject：主体

访问系统的用户，主体可以是用户、程序等，进行认证的都称为主体;

Principal：身份信息(username)

是主体(subject)进行身份认证的标识，标识必须具有唯一性，如用户名、手机号、邮箱地址等，一个主体可以有多个身份，但是必须有一个主身份(Primary Principal)。

credential：凭证信息(password)

是只有主体自己知道的安全信息，如密码、证书等。

授权，即访问控制，控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源，对于某些资源没有权限是无法访问的。

2>Apache Shiro

Apache Shiro是Java的一个安全框架。目前，使用Apache Shiro的人越来越多，因为它相当简单，对比Spring Security，可能没有Spring Security做的功能强大，但是在实际工作时可能并不需要那么复杂的东西，所以使用小而简单的Shiro就足够了。对于它俩到底哪个好，这个不必纠结，能更简单的解决项目问题就好了。

Shiro可以非常容易的开发出足够好的应用，其不仅可以用在JavaSE环境，也可以用在JavaEE环境。Shiro可以帮助我们完成：认证、授权、加密、会话管理、与Web集成、缓存等。

Authentication：身份认证/登录，验证用户是不是拥有相应的身份;

Authorization：授权，即权限验证，验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;

Session Manager：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中;会话可以是普通JavaSE环境的，也可以是如Web环境的;

Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储;

Web Support：Web支持，可以非常容易的集成到Web环境;

Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率;

Concurrency：shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去;

Testing：提供测试支持;

Run As：允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;

Remember Me：记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了。

Shiro架构有三个主要概念 - Subject，SecurityManager，Realms。

Subject

在考虑应用安全时，你最常问的问题可能是“当前用户是谁?”或“当前用户允许做X吗?”。当我们写代码或设计用户界面时，问自己这些问题很平常：应用通常都是基于用户故事构建的，并且你希望功能描述(和安全)是基于每个用户的。所以，对于我们而言，考虑应用安全的最自然方式就是基于当前用户。Shiro的API用它的Subject概念从根本上体现了这种思考方式。

Subject一词是一个安全术语，其基本意思是“当前的操作用户”。称之为“用户”并不准确，因为“用户”一词通常跟人相关。在安全领域，术语“Subject”可以是人，也可以是第三方进程或其他类似事物，如爬虫，机器人等。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途，你可以把它认为是Shiro的“用户”概念。在代码的任何地方，你都能轻易的获得Shiro Subject。

Subject currentUser = SecurityUtils.getSubject();

一旦获得Subject，你就可以立即获得你希望用Shiro为当前用户做的90%的事情，如登录、登出、访问会话、执行授权检查等 - 稍后还会看到更多。这里的关键点是Shiro的API非常直观，因为它反映了开发者以‘每个用户’思考安全控制的自然趋势。同时，在代码的任何地方都能很轻松地访问Subject，允许在任何需要的地方进行安全操作。

SecurityManager

Subject的“幕后”推手是SecurityManager。Subject代表了当前用户的安全操作，SecurityManager则管理所有用户的安全操作。它是Shiro框架的核心，充当“保护伞”，引用了多个内部嵌套安全组件，它们形成了对象图。但是，一旦SecurityManager及其内部对象图配置好，它就会退居幕后，应用开发人员几乎把他们的所有时间都花在Subject API调用上。

那么，如何设置SecurityManager呢?嗯，这要看应用的环境。例如，Web应用通常会在Web.xml中指定一个Shiro Servlet Filter，这会创建SecurityManager实例，如果你运行的是一个独立应用，你需要用其他配置方式，但有很多配置选项。

一个应用几乎总是只有一个SecurityManager实例。它实际是应用的Singleton。跟Shiro里几乎所有组件一样，SecurityManager的缺省实现是POJO，而且可用POJO兼容的任何配置机制进行配置 - 普通的Java代码、Spring XML、YAML、.properties和.ini文件等。基本来讲，能够实例化类和调用JavaBean兼容方法的任何配置形式都可使用。

可以看出它是Shiro的核心，它负责与后边介绍的其他组件进行交互，如果学习过SpringMVC，你可以把它看成DispatcherServlet前端控制器。

Realms

Shiro的第三个也是最后一个概念是Realm。Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说，当切实与像用户帐户这类安全相关数据进行交互，执行认证(登录)和授权(访问控制)时，Shiro会从应用配置的Realm中查找很多内容。

从这个意义上讲，Realm实质上是一个安全相关的DAO：它封装了数据源的连接细节，并在需要时将相关数据提供给Shiro。当配置Shiro时，你必须至少指定一个Realm，用于认证和(或)授权。配置多个Realm是可以的，但是至少需要一个。

Realm 可以理解为读取用户信息、角色及权限的 DAO，就是说SecurityManager要验证用户身份与权限，那么它需要从Realm获取相应的信息进行比较以确定用户身份是否合法;可以把Realm看成DataSource，即安全数据源。

最简单的一个Shiro应用：

1、应用代码通过Subject来进行认证和授权，而Subject又委托给SecurityManager;

2、我们需要给Shiro的SecurityManager注入Realm，从而让SecurityManager能得到数据库中的用户及其权限进行判断;

Subject：主体，可以看到主体可以是任何可以与应用交互的“用户”;

SecurityManager：相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher;是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。

Authenticator：认证器，负责主体认证的，这是一个扩展点，如果用户觉得Shiro默认的不好，可以自定义实现;其需要认证策略(Authentication Strategy)，即什么情况下算用户认证通过了;

Authorizer：授权器，或者访问控制器，用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;

Realm：可以有1个或多个Realm，可以认为是安全实体数据源，即用于获取安全实体的;可以是JDBC实现，也可以是LDAP实现，或者内存实现等等;由用户提供;注意：Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm;

SessionManager：如果写过Servlet就应该知道Session的概念，Session呢需要有人去管理它的生命周期，这个组件就是SessionManager;而Shiro并不仅仅可以用在Web环境，也可以用在如普通的JavaSE环境、EJB等环境;所有呢，Shiro就抽象了一个自己的Session来管理主体与应用之间交互的数据;可以实现分布式的会话管理;

SessionDAO：DAO大家都用过，数据访问对象，用于会话的CRUD，比如我们想把Session保存到数据库，那么可以实现自己的SessionDAO，通过如JDBC写到数据库;比如想把Session放到redis中，可以实现自己的redis SessionDAO;另外SessionDAO中可以使用Cache进行缓存，以提高性能;

CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变，放到缓存中后可以提高访问的性能

Cryptography：密码模块，Shiro提高了一些常见的加密组件用于如密码加密/解密的。

3>使用ini完成认证

步骤1:创建shiro项目, 导入依赖

步骤2:配置shiro.ini文件, 模拟数据用户列表

#模拟数据查询用户列表信息: 账号=密码

[users]

zhangsan=666

lisi=888

步骤3:编写代码:8个步骤

4> 容易出现的异常,也记录了下来.

5>详细分析

1、调用subject.login方法进行登录，其会自动委托给securityManager.login方法进行登录;

2、securityManager通过Authenticator(认证器)进行认证;

3、Authenticator的实现ModularRealmAuthenticator调用realm从ini配置文件取用户真实的账号和密码，这里使用的是IniRealm(shiro自带,相当于数据源);

4、IniRealm先根据token中的账号去ini中找该账号，如果找不到则给ModularRealmAuthenticator返回null，如果找到则匹配密码，匹配密码成功则认证通过。

5、最后调用Subject.logout进行退出操作。

4>自定义Realm

步骤1:自定义一个realm: MyRealm extends AuthorizingRealm

重写3个方法: getName doGetAuthenticationInfo doGetAuthorizationInfo

步骤2:配置自定义shiro-realm.ini

#声明一个realm

myRealm=cn.xxxx.shiro.MyRealm

#指定securityManager的realms实现

securityManager.realms=$myRealm

步骤3:执行登录操作

5>散列加密

步骤1:自定义Realm: PasswordRealm, 操作根之前一样, 区别在密码使用密文

步骤2:配置加密的ini文件:shiro-cryptography.ini

[main]

#定义凭证匹配器

credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher

#散列算法

credentialsMatcher.hashAlgorithmName=md5

#散列次数

credentialsMatcher.hashIterations=3

#将凭证匹配器设置到realm

myRealm=cn.xxxx.shiro.PasswordRealm

myRealm.credentialsMatcher=$credentialsMatcher

securityManager.realms=$myRealm

步骤3:执行登录操作

6>授权方式

授权方式一共分为3种.

方式1:

通过写if/else授权代码块完成

Subject subject = SecurityUtils.getSubject();

if(subject.hasRole(“admin”)) {

//有权限

} else {

//无权限

}

方式2:

通过在执行的Java方法上放置相应的注解完成

@RequiresRoles("admin")

public void hello() {

//有权限

}

方式3:

在JSP页面通过相应的标签完成
<shiro:hasRole name="admin">
<!— 有权限 —>
</shiro:hasRole>

7>使用ini完成授权

权限角色字符定义规则:

在ini文件中用户、角色、权限的配置规则是：“用户名=密码，角色1，角色2...” “角色=权限1，权限2...”，首先根据用户名找角色，再根据角色找权限，角色是权限集合。

权限字符串的规则是：“资源标识符：操作：资源实例标识符”，意思是对哪个资源的哪个实例具有什么操作，“:”是资源/操作/实例的分割符，权限字符串也可以使用*通配符。

例子：

用户创建权限：user:create，或user:create:*

用户修改实例001的权限：user:update:001

用户实例001的所有权限：user：*：001

超级管理员: *:*

步骤1:配置权限ini文件 : shiro-permission.ini

[users]

#用户zhang的密码是123，此用户具有role1和role2两个角色

zhangsan=666,role1,role2

lisi=888,role2

[roles]

#角色role1对资源user拥有create、update权限

role1=user:create,user:update

#角色role2对资源user拥有create、delete权限

role2=user:create,user:delete

#角色role3对资源user拥有create权限

role3=user:create

步骤2:测试代码: 注意必须先认证成功

9>自定义realm完成授权

步骤1:先自定义realm : PermissionRealm 重写3个方法, getName 跟doGetAuthenticationInfo 方法跟之前自定义认证realm一样,重写doGetAuthorizationInfo.

步骤2: 配置ini文件: shiro-permission-realm.ini

[main]

#声明一个realm

myReal=cn.xxxx.shiro.PermissionRealm

#指定securityManager的realms实现

securityManager.realms=$myReal

1、首先调用Subject.isPermitted*/hasRole*接口，其会委托给SecurityManager，而SecurityManager接着会委托给Authorizer

2、Authorizer是真正的授权者，如果我们调用如isPermitted(“user:view”)，其首先会通过PermissionResolver把字符串转换成相应的Permission实例;

3、在进行授权之前，其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;

4、Authorizer会判断Realm的角色/权限是否和传入的匹配，如果有多个Realm，会委托给ModularRealmAuthorizer进行循环判断，如果匹配如isPermitted*/hasRole*会返回true，否则返回false表示授权失败。

10>shiro过滤器

Shiro提供了与Web集成的支持，其通过一个ShiroFilter入口来拦截需要安全控制的URL，然后进行相应的控制，ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器，其是安全控制的入口点，其负责读取配置(如ini配置文件)，然后判断URL是否需要登录/权限等工作。

核心过滤器: shiroFilter

功能过滤器: 11个 :

过滤器简称对应的java类

anon org.apache.shiro.web.filter.authc.AnonymousFilter

authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

roles org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

perms org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

user org.apache.shiro.web.filter.authc.UserFilter

logout org.apache.shiro.web.filter.authc.LogoutFilter

port org.apache.shiro.web.filter.authz.PortFilter

rest org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter