Shiro概念

最新推荐文章于 2022-04-12 16:12:48 发布

_ady

最新推荐文章于 2022-04-12 16:12:48 发布

阅读量362

点赞数

分类专栏： Shiro 文章标签： java

本文链接：https://blog.youkuaiyun.com/qq_41729148/article/details/123409252

版权

Shiro 专栏收录该内容

2 篇文章

订阅专栏

ShiroFilter的工作原理

	浏览器发送过来的请求。分为两种处理。
		1.ShiroFilterFactoryBean中设置的loginUrl，可以不经过认证直接访问。
		2.ShiroFilterFactoryBean中设置的filterChainDefinitions，通过它的配置，可以访问经过认证或者不被拦截的页面。

Shiro常用的过滤器

anon:无需认证就可以访问
authc:必须认证了才能访问
user:必须存在用户
perms:必须拥有对某个资源的权限才能访问
roles:必须拥有这个角色权限才能访问

Shiro中Url的匹配模式

Url权限采取第一次匹配优先的方式
Url模式使用Ant风格模式

Shiro中认证的基本流程（一个realm）

1.收集用户的账号和密码
2.调用Subject.login()进行登录。如果失败则抛出相应的异常。否则登录成功。
3.自定义Realm方法，完成数据的查询，返回给Shiro().
4.由Shiro完成密码的比对。

Shiro中认证的基本流程（多个realm）

	1.使用Subject.login(token)，进行登录。这会自动委托给SecurityManager。
	2.SecurityManager委托给Authenticator进行身份验证。
	3.Authenticator会使用相应的AuthenticationStrategy进行多Realm认证。==ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm认证。
	4.如果验证成功，返回AuthenticationInfo验证信息。否则，抛出异常。

Authenticator的作用

Authenticator的职责是验证用户帐号，是Shiro API 中身份验证核心的入口点;
	如果验证成功，将返回AuthenticationInfo 验证信息;此信息中包含了身份及凭证;
	如果验证失败将抛出相应的 AuthenticationException异常

AuthenticationStrategy的三种实现

FirstSuccessfulStrategy：只要有一个 Realm 验证成功即可，只返回第一个 Realm 身份验证成功的认证信息，其他的忽略；
AtLeastOneSuccessfulStrategy：只要有一个Realm验证成功即可，将返回所有Realm身份验证成功的认证信息；
AllSuccessfulStrategy：所有Realm验证成功才算成功，且返回所有Realm身份验证成功的认证信息，如果有一个失败就失败了。
ModularRealmAuthenticator 默认是AtLeastOneSuccessfulStrategy策略

如何理解权限和角色

权限：表示应用中用户能不能访问某个资源
角色：可以理解为权限的集合。不同的角色有着不同的权限集合。

授权方式

1.编程式
	通过写if/else 授权代码块完成
2.注解式
	通过在执行的Java方法上放置相应的注解完成，没有权限将抛出相应的异常
3.标签式
	在JSP/GSP 页面通过相应的标签完成

授权流程

1、首先调用 Subject.isPermitted*/hasRole* 接口，其会委托给SecurityManager，而SecurityManager 接着会委托给 Authorizer；
2、Authorizer是真正的授权者，如果调用如isPermitted(“user:view”)，其首先会通过PermissionResolver 把字符串转换成相应的Permission 实例；
3、在进行授权之前，其会调用相应的 Realm 获取 Subject 相应的角色/权限用于匹配传入的角色/权限；
4、Authorizer会判断 Realm 的角色/权限是否和传入的匹配，如果有多个Realm，会委托给 ModularRealmAuthorizer 进行循环判断，如果匹配 isPermitted*/hasRole* 会返回true，否则返回false表示授权失败。

ModularRealmAuthorizer 的执行过程

ModularRealmAuthorizer 进行多Realm 匹配流程：
1、首先检查相应的 Realm 是否实现了实现了Authorizer；
2、如果实现了Authorizer，那么接着调用其相应的isPermitted*/hasRole* 接口进行匹配；
3、如果有一个Realm匹配那么将返回 true，否则返回 false。

会话管理

常用的一些API：
Subject.getSession()：即可获取会话
session.getId()：获取当前会话的唯一标识
session.getHost()：获取当前Subject的主机地址
session.getTimeout() & session.setTimeout(毫秒)：获取/设置当前Session的过期时间
session.getStartTimestamp() & session.getLastAccessTime()：获取会话的启动时间及最后访问时间；
如果是 JavaSE 应用需要自己定期调用 session.touch() 去更新最后访问时间；如果是 Web 应用，每次进入 ShiroFilter 都会自动调用 session.touch() 来更新最后访问时间。
session.touch() & session.stop()：更新会话最后访问时间及销毁会话；
session.setAttribute(key, val) & session.getAttribute(key) & session.removeAttribute(key)：
设置/获取/删除会话属性；在整个会话范围内都可以对这些属性进行操作

SessionDao

AbstractSessionDAO 提供了 SessionDAO 的基础实现.
CachingSessionDAO 提供了对开发者透明的会话缓存的功能，需要设置相应的 CacheManager
MemorySessionDAO 直接在内存中进行会话维护
EnterpriseCacheSessionDAO 提供了缓存功能的会话维护，默认情况下使用 MapCache 实现，内部使用ConcurrentHashMap 保存缓存的会话。