shiro 安全框架 详解

---恢复内容开始---

Shiro 简介

简介
• Apache Shiro 是 Java 的一个安全（权限）框架。
• Shiro 能够很是容易的开发出足够好的应用，其不只能够用在JavaSE 环境，也能够用在 JavaEE 环境。
• Shiro 能够完成：认证、受权、加密、会话管理、与Web 集成、缓存等。
• 下载：http://shiro.apache.org/

功能简介

• 基本功能点以下图所示：

功能简介
• Authentication：身份认证/登陆，验证用户是否是拥有相应的身份；
• Authorization：受权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能进行什么操做，如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具备某个权限；
• Session Manager：会话管理，即用户登陆后就是一次会话，在没有退出以前，它的全部信息都在会话中；会话能够是普通 JavaSE 环境，也能够是 Web 环境的；
• Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；
• Web Support：Web 支持，能够很是容易的集成到Web 环境；
• Caching：缓存，好比用户登陆后，其用户信息、拥有的角色/权限没必要每次去查，这样能够提升效率；
• Concurrency：Shiro 支持多线程应用的并发验证，即如在一个线程中开启另外一个线程，能
• 把权限自动传播过去；
• Testing：提供测试支持；
• Run As：容许一个用户伪装为另外一个用户（若是他们容许）的身份进行访问；
• Remember Me：记住我，这个是很是常见的功能，即一次登陆后，下次再来的话不用登陆了

Shiro 架构 (Shiro外部来看)

• 从外部来看Shiro ，即从应用程序角度的来观察如何使用 Shiro 完成工做：

Shiro 架构

• Subject：应用代码直接交互的对象是 Subject，也就是说 Shiro 的对外API 核心就是 Subject。Subject 表明了当前“用户”， 这个用户不必定是一个具体的人，与当前应用交互的任何东西都是 Subject，如网络爬虫，机器人等；与 Subject 的全部交互都会委托给 SecurityManager；Subject 实际上是一个门面，SecurityManager 才是实际的执行者；
• SecurityManager：安全管理器；即全部与安全有关的操做都会与SecurityManager 交互；且其管理着全部 Subject；能够看出它是 Shiro的核心，它负责与 Shiro 的其余组件进行交互，它至关于 SpringMVC 中DispatcherServlet 的角色
• Realm：Shiro 从 Realm 获取安全数据（如用户、角色、权限），就是说SecurityManager 要验证用户身份，那么它须要从 Realm 获取相应的用户进行比较以肯定用户身份是否合法；也须要从 Realm 获得用户相应的角色/权限进行验证用户是否能进行操做；能够把 Realm 当作 DataSource

Shiro 架构 (Shiro内部来看)

Shiro 架构
• Subject：任何能够与应用交互的“用户”；
• SecurityManager ：至关于SpringMVC 中的 DispatcherServlet；是 Shiro 的心脏；全部具体的交互都经过 SecurityManager 进行控制；它管理着全部 Subject、且负责进行认证、受权、会话及缓存的管理。
• Authenticator：负责 Subject 认证，是一个扩展点，能够自定义实现；可使用认证策略（Authentication Strategy），即什么状况下算用户认证经过了；
• Authorizer：受权器、即访问控制器，用来决定主体是否有权限进行相应的操做；即控制着用户能访问应用中的哪些功能；
• Realm：能够有 1 个或多个 Realm，能够认为是安全实体数据源，即用于获取安全实体的；能够是JDBC 实现，也能够是内存实现等等；由用户提供；因此通常在应用中都须要实现本身的 Realm；
• SessionManager：管理 Session 生命周期的组件；而 Shiro 并不只仅能够用在 Web环境，也能够用在如普通的 JavaSE 环境
• CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的；由于这些数据基本上不多改变，放到缓存中后能够提升访问的性能
• Cryptography：密码模块，Shiro 提升了一些常见的加密组件用于如密码加密/解密。

搭建开发环境

• 加入以下 jar 包：
– shiro-all-1.3.2.jar
– log4j-1.2.15.jar
– slf4j-api-1.6.1.jar
– slf4j-log4j12-1.6.1.jar
• 加入 Spring 和 Shiro 的 jar 包
• 配置 Spring 及 SpringMVC
 

与Web 集成

• Shiro 提供了与 Web 集成的支持，其经过一个ShiroFilter 入口来拦截须要安全控制的URL，而后进行相应的控制
• ShiroFilter 相似于如 Strut2/SpringMVC 这种web 框架的前端控制器，是安全控制的入口点，其负责读取配置（如ini 配置文件），而后判断URL是否须要登陆/权限等工做。

ShiroFilter 的工做原理

ShiroFilter
DelegatingFilterProxy 做用是自动到 Spring 容器查找名字为 shiroFilter（filter-name）的 bean 并把全部 Filter的操做委托给它。

 

部分细节
• [urls] 部分的配置，其格式是： “url=拦截器[参数]，拦截器[参数]”；
• 若是当前请求的 url 匹配 [urls] 部分的某个url 模式，将会执行其配置的拦截器。
• anon（anonymous） 拦截器表示匿名访问（即不须要登陆便可访问）
• authc （authentication）拦截器表示须要身份认证经过后才能访问shiro中默认的过滤器

shiro中默认的过滤器

 

 

URL 匹配模式
• url 模式使用 Ant 风格模式
• Ant 路径通配符支持 ?、*、**，注意通配符匹配不包括目录分隔符“/”：
– ?：匹配一个字符，如 /admin? 将匹配 /admin1，但不匹配 /admin 或 /admin/；
– *：匹配零个或多个字符串，如 /admin 将匹配 /admin、admin123，但不匹配 /admin/1；
– **：匹配路径中的零个或多个路径，如 /admin/** 将匹配 /admin/a 或 /admin/a/b

URL 匹配顺序
•  URL  权限采起第一次匹配优先的 方式，即从头开始使用第一个匹配的 url 模式对应的拦截器链。
• 如：
– /bb/**=filter1
– /bb/aa=filter2
– /**=filter3
– 若是请求的url是“/bb/aa”，由于按照声明顺序进行匹配，那么将使用 filter1 进行拦截。
 

Shiro 架构 (Shiro外部来看)

• 从外部来看Shiro ，即从应用程序角度的来观察如何使用 Shiro 完成工做：身份验证
• 身份验证：通常须要提供如身份 ID 等一些标识信息来代表登陆者的身份，如提供 email，用户名/密码来证实。
• 在 shiro 中，用户须要提供 principals （身份）和 credentials（证实）给 shiro，从而应用能验证用户身份：
• principals：身份，即主体的标识属性，能够是任何属性，如用户名、邮箱等，惟一便可。一个主体能够有多个 principals，但只有一个Primary principals，通常是用户名/邮箱/手机号。
• credentials：证实/凭证，即只有主体知道的安全值，如密码/数字证书等。
• 最多见的 principals 和 credentials 组合就是用户名/密码了

身份验证基本流程

• 一、收集用户身份/凭证，即如用户名/密码
• 二、调用 Subject.login 进行登陆，若是失败将获得相应的 AuthenticationException 异常，根据异常提示用户错误信息；不然登陆成功
• 三、建立自定义的 Realm 类，继承org.apache.shiro.realm.AuthorizingRealm 类，实现doGetAuthenticationInfo() 方法

 

身份验证示例

AuthenticationException

• 若是身份验证失败请捕获 AuthenticationException 或其子类
• 最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”，防止一些恶意用户非法扫描账号库；

 

认证流程

 

身份认证流程

• 一、首先调用 Subject.login(token) 进行登陆，其会自动委托给SecurityManager
• 二、SecurityManager 负责真正的身份验证逻辑；它会委托给Authenticator 进行身份验证；
• 三、Authenticator 才是真正的身份验证者，Shiro API 中核心的身份认证入口点，此处能够自定义插入本身的实现；
• 四、Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证，默认 ModularRealmAuthenticator 会调用
AuthenticationStrategy 进行多 Realm 身份验证；
• 五、Authenticator 会把相应的 token 传入 Realm，从 Realm 获取身份验证信息，若是没有返回/抛出异常表示身份验证失败了。此处能够配置多个Realm，将按照相应的顺序及策略进行访问。

Realm

• Realm：Shiro 从 Realm 获取安全数据（如用户、角色、权限），即 SecurityManager 要验证用户身份，那么它须要从 Realm 获取相应的用户进行比较以肯定用户身份是否合法；也须要从Realm获得用户相应的角色/权限进行验证用户是否能进行操做
• Realm接口以下：

Realm

• 通常继承 AuthorizingRealm（受权）便可；其继承了AuthenticatingRealm（即身份验证），并且也间接继承了CachingRealm（带有缓存实现）。
• Realm 的继承关系：

Authenticator

• Authenticator 的职责是验证用户账号，是 Shiro API 中身份验证核心的入口点：若是验证成功，将返回AuthenticationInfo 验
证信息；此信息中包含了身份及凭证；若是验证失败将抛出相应的 AuthenticationException 异常
• SecurityManager 接口继承了 Authenticator，另外还有一个ModularRealmAuthenticator实现，其委托给多个Realm 进行
验证，验证规则经过 AuthenticationStrategy 接口指定

AuthenticationStrategy

• AuthenticationStrategy 接口的默认实现：
• FirstSuccessfulStrategy：只要有一个 Realm 验证成功便可，只返回第一个 Realm 身份验证成功的认证信息，其余的忽略；
• AtLeastOneSuccessfulStrategy：只要有一个Realm验证成功便可，和FirstSuccessfulStrategy 不一样，将返回全部Realm身份验证成功的认证信息；
• AllSuccessfulStrategy：全部Realm验证成功才算成功，且返回全部Realm身份验证成功的认证信息，若是有一个失败就失败了。
• ModularRealmAuthenticator 默认是 AtLeastOneSuccessfulStrategy

受权

• 受权，也叫访问控制，即在应用中控制谁访问哪些资源（如访问页面/编辑数据/页面操做等）。在受权中需了解的几个关键对象：主体（Subject）、资源（Resource）、权限（Permission）、角色（Role）。
• 主体(Subject)：访问应用的用户，在 Shiro 中使用 Subject 表明该用户。用户只有受权后才容许访问相应的资源。
• 资源(Resource)：在应用中用户能够访问的 URL，好比访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要受权后才能访问。
• 权限(Permission)：安全策略中的原子受权单位，经过权限咱们能够表示在应用中用户有没有操做某个资源的权力。即权限表示在应用中用户能不能访问某个资源，如：访问用户列表页面查看/新增/修改/删除用户数据（即不少时候都是CRUD（增查改删）式权限控制）等。权限表明了用户有没有操做某个资源的权利，即反映在某个资源上的操做允不容许。
• Shiro 支持粗粒度权限（如用户模块的全部权限）和细粒度权限（操做某个用户的权限，即实例级别的）
• 角色(Role)：权限的集合，通常状况下会赋予用户角色而不是权限，即这样用户能够拥有一组权限，赋予权限时比较方便。典型的如：项目经理、技术总监、CTO、开发工程师等都是角色，不一样的角色拥有一组不一样的权限。

受权方式

• Shiro 支持三种方式的受权：
– 编程式：经过写if/else 受权代码块完成
– 注解式：经过在执行的Java方法上放置相应的注解完成，没有权限将抛出相应的异常
– JSP/GSP 标签：在JSP/GSP 页面经过相应的标签完成

默认拦截器

• Shiro 内置了不少默认的拦截器，好比身份验证、受权等相关的。默认拦截器能够参考org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举
拦截器：

身份验证相关的

受权相关的

其余

Permissions

• 规则： 资源 标识符：操做：对象实例 例  ID 即对哪一个资源的哪一个实例能够进行什么操做. 其 默认支持通配符权限字符串，:  表
示 资源/ / 操做/ / 实例的分割；,  表示 操做的 分割，*  表示 任意资源/ / 操做/ / 实例。
•  多层次管理：
– 例如：user:query、user:edit
–  冒号 是一个特殊字符，它用来分隔权限字符串的下一 部件：第一部分是权限被操做的领域（打印机），第二部分是被执行的操做。
– 多个值： 每一个 部件可以保护多个值。所以，除了授予用户 user:query和 user:edit 权限外，也 能够 简单地授予他们一 个： user: query , edit
– 还能够用 用 *  号 代替全部的值，如：user:* ， 也能够写：*:query，表示某个用户在全部的领域都有 query 的权限

Shiro 的 Permissions

•  实例 级访问控制
– 这种状况一般会使用三个部件： 域、操做、被付诸实施的实例。如：user:edit:manager
– 也 可使用通配符来定义，如：user:edit:*、user:*:*、user:*:manager
–  部分 省略 通配符：缺乏的部件意味着用户能够访问全部与之匹配的值，好比：user:edit 等价于 user:edit :*、user 等价于 user:*:*
– 注意： 通配符只能 从字符串的结尾处省略部件，也就是说 user:edit 并不等价于 user:*:edit

受权流程

• 流程以下：
• 一、首先调用 Subject.isPermitted*/hasRole* 接口，其会委托给SecurityManager，而 SecurityManager 接着会委托给 Authorizer；
• 二、Authorizer是真正的受权者，若是调用如isPermitted(“user:view”)，其首先会经过
• PermissionResolver 把字符串转换成相应的 Permission 实例；
• 三、在进行受权以前，其会调用相应的 Realm 获取 Subject 相应的角色/权限用于匹配传入的角色/权限；
• 四、Authorizer 会判断 Realm 的角色/权限是否和传入的匹配，若是有多个Realm，会委托给 ModularRealmAuthorizer 进行循环判断，若是匹配如 isPermitted*/hasRole* 会返回true，不然返回false表示受权失败。

ModularRealmAuthorizer

• ModularRealmAuthorizer 进行多 Realm 匹配流程：
– 一、首先检查相应的 Realm 是否实现了实现了Authorizer；
– 二、若是实现了 Authorizer，那么接着调用其相应的isPermitted*/hasRole* 接口进行匹配；
– 三、若是有一个Realm匹配那么将返回 true，不然返回 false。

Shiro 标签

• Shiro 提供了 JSTL 标签用于在 JSP 页面进行权限控制，如根据登陆用户显示相应的页面按钮。
• guest 标签：用户没有身份验证时显示相应信息，即游客访问信息：

• user 标签：用户已经通过认证/记住我登陆后显示相应的信息。

Shiro 标签

• authenticated 标签：用户已经身份验证经过，即Subject.login登陆成功，不是记住我登陆的

• notAuthenticated 标签：用户未进行身份验证，即没有调用Subject.login进行登陆，包括记住我自动登陆的也属于
未进行身份验证。

• pincipal 标签：显示用户身份信息，默认调用Subject.getPrincipal() 获取，即 Primary Principal。

• hasRole 标签：若是当前 Subject 有角色将显示 body 体内容：

• hasAnyRoles 标签：若是当前Subject有任意一个角色（或的关系）将显示body体内容。

• lacksRole：若是当前 Subject 没有角色将显示 body 体内容

• hasPermission：若是当前 Subject 有权限将显示 body 体内容

• lacksPermission：若是当前Subject没有权限将显示body体内容。

 

权限注解

• @RequiresAuthentication：表示当前Subject已经经过login进行了身份验证；即 Subject. isAuthenticated() 返回 true
• @RequiresUser：表示当前 Subject 已经身份验证或者经过记住我登陆的。
• @RequiresGuest：表示当前Subject没有身份验证或经过记住我登陆过，便是游客身份。
• @RequiresRoles(value={“admin”, “user”}, logical=Logical.AND)：表示当前 Subject 须要角色 admin 和user
• @RequiresPermissions (value={“user:a”, “user:b”},logical= Logical.OR)：表示当前 Subject 须要权限 user:a 或user:b。

自定义拦截器

• 经过自定义拦截器能够扩展功能，例如：动态url-角色/权限访问控制的实现、根据 Subject 身份信息获取用户信息绑定到 Request（即设置通用数据）、验证码验证、在线用户信息的保存等

会话管理

概述
• Shiro 提供了完整的企业级会话管理功能，不依赖于底层容器（如web容器tomcat），无论 JavaSE 仍是 JavaEE 环境
均可以使用，提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过时支持、对Web 的透明支持、SSO 单点登陆的支持等特性。

会话相关的 API

• Subject.getSession()：便可获取会话；其等价于Subject.getSession(true)，即若是当前没有建立 Session 对象会建立
一个；Subject.getSession(false)，若是当前没有建立 Session 则返回null
• session.getId()：获取当前会话的惟一标识
• session.getHost()：获取当前Subject的主机地址
• session.getTimeout() & session.setTimeout(毫秒)：获取/设置当前Session的过时时间
• session.getStartTimestamp() & session.getLastAccessTime()：获取会话的启动时间及最后访问时间；若是是 JavaSE 应用须要本身按期调用 session.touch() 去更新最后访问时间；若是是Web 应用，每次进入 ShiroFilter 都会自动调用 session.touch() 来更新最后访问时间。
• session.touch() & session.stop()：更新会话最后访问时间及销毁会话；当Subject.logout()时会自动调用 stop 方法来销毁会话。若是在web中，调用 HttpSession. invalidate()也会自动调用Shiro Session.stop 方法进行销毁Shiro 的会话
• session.setAttribute(key, val) &session.getAttribute(key) &session.removeAttribute(key)：设置/获取/删除会话属性；在整个会话范围内均可以对这些属性进行操做

会话监听器

• 会话监听器用于监听会话建立、过时及中止事件

SessionDao

• AbstractSessionDAO 提供了 SessionDAO 的基础实现，如生成会话ID等
• CachingSessionDAO 提供了对开发者透明的会话缓存的功能，须要设置相应的 CacheManager
• MemorySessionDAO 直接在内存中进行会话维护
• EnterpriseCacheSessionDAO 提供了缓存功能的会话维护，默认状况下使用 MapCache 实现，内部使用ConcurrentHashMap 保存缓存的会话。
配置示例

配置示例

数据表
• create table sessions ( id varchar(200),session varchar(2000),constraint pk_sessions primary key(id)) charset=utf8 ENGINE=InnoDB;

Session Dao：

Session Dao：

SerializableUtils：

 

会话验证

• Shiro 提供了会话验证调度器，用于按期的验证会话是否已过时，若是过时将中止会话
• 出于性能考虑，通常状况下都是获取会话时来验证会话是否过时并中止会话的；可是如在 web 环境中，若是用户不主动退出是不知道会话是否过时的，所以须要按期的检测会话是否过时，Shiro 提供了会话验证调度器SessionValidationScheduler
• Shiro 也提供了使用Quartz会话验证调度器：QuartzSessionValidationScheduler

缓存

CacheManagerAware 接口

• Shiro 内部相应的组件（DefaultSecurityManager）会自动检测相应的对象（如Realm）是否实现了
CacheManagerAware 并自动注入相应的CacheManager。

Realm 缓存

• Shiro 提供了 CachingRealm，其实现了CacheManagerAware 接口，提供了缓存的一些基础实现；
• AuthenticatingRealm 及 AuthorizingRealm 也分别提供了对AuthenticationInfo 和 AuthorizationInfo 信息的缓存。

Session 缓存

• 如 SecurityManager 实现了 SessionSecurityManager，其会判断 SessionManager 是否实现了CacheManagerAware 接口，若是实现了会把CacheManager 设置给它。
• SessionManager 也会判断相应的 SessionDAO（如继承自CachingSessionDAO）是否实现了CacheManagerAware，若是实现了会把 CacheManager设置给它
• 设置了缓存的 SessionManager，查询时会先查缓存，若是找不到才查数据库。

RememberMe

概述
• Shiro 提供了记住我（RememberMe）的功能，好比访问如淘宝等一些网站时，关闭了浏览器，下次再打开时仍是能记住你是谁，下次访问时无需再登陆便可访问，基本流程以下：
• 一、首先在登陆页面选中 RememberMe 而后登陆成功；若是是浏览器登陆，通常会把 RememberMe 的Cookie 写到客户端并保存下来；
• 二、关闭浏览器再从新打开；会发现浏览器仍是记住你的；
• 三、访问通常的网页服务器端仍是知道你是谁，且能正常访问；
• 四、可是好比咱们访问淘宝时，若是要查看个人订单或进行支付时，此时仍是须要再进行身份认证的，以确保当前用户仍是你。认证和记住我
• subject.isAuthenticated() 表示用户进行了身份验证登陆的，即便有 Subject.login 进行了登陆；
• subject.isRemembered()：表示用户是经过记住我登陆的，此时可能并非真正的你（如你的朋友使用你的电脑，或者你的cookie 被窃取）在访问的
• 二者二选一，即 subject.isAuthenticated()==true，则subject.isRemembered()==false；反之同样。

建议

• 访问通常网页：如我的在主页之类的，咱们使用user 拦截器便可，user 拦截器只要用户登陆(isRemembered() || isAuthenticated())过便可访问成功；
• 访问特殊网页：如个人订单，提交订单页面，咱们使用authc 拦截器便可，authc 拦截器会判断用户是不是经过Subject.login（isAuthenticated()==true）登陆的，若是是才放行，不然会跳转到登陆页面叫你从新登陆。

身份验证相关的

实现

• 若是要本身作RememeberMe，须要在登陆以前这样建立Token：UsernamePasswordToken(用户名，密码，是否记住我)，且调用UsernamePasswordToken 的：token.setRememberMe(true); 方法

---恢复内容结束---

Shiro 简介

简介
• Apache Shiro 是 Java 的一个安全（权限）框架。
• Shiro 能够很是容易的开发出足够好的应用，其不只能够用在JavaSE 环境，也能够用在 JavaEE 环境。
• Shiro 能够完成：认证、受权、加密、会话管理、与Web 集成、缓存等。
• 下载：http://shiro.apache.org/

功能简介

• 基本功能点以下图所示：

功能简介
• Authentication：身份认证/登陆，验证用户是否是拥有相应的身份；
• Authorization：受权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能进行什么操做，如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具备某个权限；
• Session Manager：会话管理，即用户登陆后就是一次会话，在没有退出以前，它的全部信息都在会话中；会话能够是普通 JavaSE 环境，也能够是 Web 环境的；
• Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；
• Web Support：Web 支持，能够很是容易的集成到Web 环境；
• Caching：缓存，好比用户登陆后，其用户信息、拥有的角色/权限没必要每次去查，这样能够提升效率；
• Concurrency：Shiro 支持多线程应用的并发验证，即如在一个线程中开启另外一个线程，能
• 把权限自动传播过去；
• Testing：提供测试支持；
• Run As：容许一个用户伪装为另外一个用户（若是他们容许）的身份进行访问；
• Remember Me：记住我，这个是很是常见的功能，即一次登陆后，下次再来的话不用登陆了

Shiro 架构 (Shiro外部来看)

• 从外部来看Shiro ，即从应用程序角度的来观察如何使用 Shiro 完成工做：

Shiro 架构

• Subject：应用代码直接交互的对象是 Subject，也就是说 Shiro 的对外API 核心就是 Subject。Subject 表明了当前“用户”， 这个用户不必定是一个具体的人，与当前应用交互的任何东西都是 Subject，如网络爬虫，机器人等；与 Subject 的全部交互都会委托给 SecurityManager；Subject 实际上是一个门面，SecurityManager 才是实际的执行者；
• SecurityManager：安全管理器；即全部与安全有关的操做都会与SecurityManager 交互；且其管理着全部 Subject；能够看出它是 Shiro的核心，它负责与 Shiro 的其余组件进行交互，它至关于 SpringMVC 中DispatcherServlet 的角色
• Realm：Shiro 从 Realm 获取安全数据（如用户、角色、权限），就是说SecurityManager 要验证用户身份，那么它须要从 Realm 获取相应的用户进行比较以肯定用户身份是否合法；也须要从 Realm 获得用户相应的角色/权限进行验证用户是否能进行操做；能够把 Realm 当作 DataSource

Shiro 架构 (Shiro内部来看)

Shiro 架构
• Subject：任何能够与应用交互的“用户”；
• SecurityManager ：至关于SpringMVC 中的 DispatcherServlet；是 Shiro 的心脏；全部具体的交互都经过 SecurityManager 进行控制；它管理着全部 Subject、且负责进行认证、受权、会话及缓存的管理。
• Authenticator：负责 Subject 认证，是一个扩展点，能够自定义实现；可使用认证策略（Authentication Strategy），即什么状况下算用户认证经过了；
• Authorizer：受权器、即访问控制器，用来决定主体是否有权限进行相应的操做；即控制着用户能访问应用中的哪些功能；
• Realm：能够有 1 个或多个 Realm，能够认为是安全实体数据源，即用于获取安全实体的；能够是JDBC 实现，也能够是内存实现等等；由用户提供；因此通常在应用中都须要实现本身的 Realm；
• SessionManager：管理 Session 生命周期的组件；而 Shiro 并不只仅能够用在 Web环境，也能够用在如普通的 JavaSE 环境
• CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的；由于这些数据基本上不多改变，放到缓存中后能够提升访问的性能
• Cryptography：密码模块，Shiro 提升了一些常见的加密组件用于如密码加密/解密。

搭建开发环境

• 加入以下 jar 包：
– shiro-all-1.3.2.jar
– log4j-1.2.15.jar
– slf4j-api-1.6.1.jar
– slf4j-log4j12-1.6.1.jar
• 加入 Spring 和 Shiro 的 jar 包
• 配置 Spring 及 SpringMVC
 

与Web 集成

• Shiro 提供了与 Web 集成的支持，其经过一个ShiroFilter 入口来拦截须要安全控制的URL，而后进行相应的控制
• ShiroFilter 相似于如 Strut2/SpringMVC 这种web 框架的前端控制器，是安全控制的入口点，其负责读取配置（如ini 配置文件），而后判断URL是否须要登陆/权限等工做。

ShiroFilter 的工做原理

ShiroFilter
DelegatingFilterProxy 做用是自动到 Spring 容器查找名字为 shiroFilter（filter-name）的 bean 并把全部 Filter的操做委托给它。

 

部分细节
• [urls] 部分的配置，其格式是： “url=拦截器[参数]，拦截器[参数]”；
• 若是当前请求的 url 匹配 [urls] 部分的某个url 模式，将会执行其配置的拦截器。
• anon（anonymous） 拦截器表示匿名访问（即不须要登陆便可访问）
• authc （authentication）拦截器表示须要身份认证经过后才能访问shiro中默认的过滤器

shiro中默认的过滤器

 

 

URL 匹配模式
• url 模式使用 Ant 风格模式
• Ant 路径通配符支持 ?、*、**，注意通配符匹配不包括目录分隔符“/”：
– ?：匹配一个字符，如 /admin? 将匹配 /admin1，但不匹配 /admin 或 /admin/；
– *：匹配零个或多个字符串，如 /admin 将匹配 /admin、admin123，但不匹配 /admin/1；
– **：匹配路径中的零个或多个路径，如 /admin/** 将匹配 /admin/a 或 /admin/a/b

URL 匹配顺序
•  URL  权限采起第一次匹配优先的 方式，即从头开始使用第一个匹配的 url 模式对应的拦截器链。
• 如：
– /bb/**=filter1
– /bb/aa=filter2
– /**=filter3
– 若是请求的url是“/bb/aa”，由于按照声明顺序进行匹配，那么将使用 filter1 进行拦截。
 

Shiro 架构 (Shiro外部来看)

• 从外部来看Shiro ，即从应用程序角度的来观察如何使用 Shiro 完成工做：身份验证
• 身份验证：通常须要提供如身份 ID 等一些标识信息来代表登陆者的身份，如提供 email，用户名/密码来证实。
• 在 shiro 中，用户须要提供 principals （身份）和 credentials（证实）给 shiro，从而应用能验证用户身份：
• principals：身份，即主体的标识属性，能够是任何属性，如用户名、邮箱等，惟一便可。一个主体能够有多个 principals，但只有一个Primary principals，通常是用户名/邮箱/手机号。
• credentials：证实/凭证，即只有主体知道的安全值，如密码/数字证书等。
• 最多见的 principals 和 credentials 组合就是用户名/密码了

身份验证基本流程

• 一、收集用户身份/凭证，即如用户名/密码
• 二、调用 Subject.login 进行登陆，若是失败将获得相应的 AuthenticationException 异常，根据异常提示用户错误信息；不然登陆成功
• 三、建立自定义的 Realm 类，继承org.apache.shiro.realm.AuthorizingRealm 类，实现doGetAuthenticationInfo() 方法

 

身份验证示例

AuthenticationException

• 若是身份验证失败请捕获 AuthenticationException 或其子类
• 最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”，防止一些恶意用户非法扫描账号库；

 

认证流程

 

身份认证流程

• 一、首先调用 Subject.login(token) 进行登陆，其会自动委托给SecurityManager
• 二、SecurityManager 负责真正的身份验证逻辑；它会委托给Authenticator 进行身份验证；
• 三、Authenticator 才是真正的身份验证者，Shiro API 中核心的身份认证入口点，此处能够自定义插入本身的实现；
• 四、Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证，默认 ModularRealmAuthenticator 会调用
AuthenticationStrategy 进行多 Realm 身份验证；
• 五、Authenticator 会把相应的 token 传入 Realm，从 Realm 获取身份验证信息，若是没有返回/抛出异常表示身份验证失败了。此处能够配置多个Realm，将按照相应的顺序及策略进行访问。

Realm

• Realm：Shiro 从 Realm 获取安全数据（如用户、角色、权限），即 SecurityManager 要验证用户身份，那么它须要从 Realm 获取相应的用户进行比较以肯定用户身份是否合法；也须要从Realm获得用户相应的角色/权限进行验证用户是否能进行操做
• Realm接口以下：

Realm

• 通常继承 AuthorizingRealm（受权）便可；其继承了AuthenticatingRealm（即身份验证），并且也间接继承了CachingRealm（带有缓存实现）。
• Realm 的继承关系：

Authenticator

• Authenticator 的职责是验证用户账号，是 Shiro API 中身份验证核心的入口点：若是验证成功，将返回AuthenticationInfo 验
证信息；此信息中包含了身份及凭证；若是验证失败将抛出相应的 AuthenticationException 异常
• SecurityManager 接口继承了 Authenticator，另外还有一个ModularRealmAuthenticator实现，其委托给多个Realm 进行
验证，验证规则经过 AuthenticationStrategy 接口指定

AuthenticationStrategy

• AuthenticationStrategy 接口的默认实现：
• FirstSuccessfulStrategy：只要有一个 Realm 验证成功便可，只返回第一个 Realm 身份验证成功的认证信息，其余的忽略；
• AtLeastOneSuccessfulStrategy：只要有一个Realm验证成功便可，和FirstSuccessfulStrategy 不一样，将返回全部Realm身份验证成功的认证信息；
• AllSuccessfulStrategy：全部Realm验证成功才算成功，且返回全部Realm身份验证成功的认证信息，若是有一个失败就失败了。
• ModularRealmAuthenticator 默认是 AtLeastOneSuccessfulStrategy

受权

• 受权，也叫访问控制，即在应用中控制谁访问哪些资源（如访问页面/编辑数据/页面操做等）。在受权中需了解的几个关键对象：主体（Subject）、资源（Resource）、权限（Permission）、角色（Role）。
• 主体(Subject)：访问应用的用户，在 Shiro 中使用 Subject 表明该用户。用户只有受权后才容许访问相应的资源。
• 资源(Resource)：在应用中用户能够访问的 URL，好比访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要受权后才能访问。
• 权限(Permission)：安全策略中的原子受权单位，经过权限咱们能够表示在应用中用户有没有操做某个资源的权力。即权限表示在应用中用户能不能访问某个资源，如：访问用户列表页面查看/新增/修改/删除用户数据（即不少时候都是CRUD（增查改删）式权限控制）等。权限表明了用户有没有操做某个资源的权利，即反映在某个资源上的操做允不容许。
• Shiro 支持粗粒度权限（如用户模块的全部权限）和细粒度权限（操做某个用户的权限，即实例级别的）
• 角色(Role)：权限的集合，通常状况下会赋予用户角色而不是权限，即这样用户能够拥有一组权限，赋予权限时比较方便。典型的如：项目经理、技术总监、CTO、开发工程师等都是角色，不一样的角色拥有一组不一样的权限。

受权方式

• Shiro 支持三种方式的受权：
– 编程式：经过写if/else 受权代码块完成
– 注解式：经过在执行的Java方法上放置相应的注解完成，没有权限将抛出相应的异常
– JSP/GSP 标签：在JSP/GSP 页面经过相应的标签完成

默认拦截器

• Shiro 内置了不少默认的拦截器，好比身份验证、受权等相关的。默认拦截器能够参考org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举
拦截器：

身份验证相关的

受权相关的

其余

Permissions

• 规则： 资源 标识符：操做：对象实例 例  ID 即对哪一个资源的哪一个实例能够进行什么操做. 其 默认支持通配符权限字符串，:  表
示 资源/ / 操做/ / 实例的分割；,  表示 操做的 分割，*  表示 任意资源/ / 操做/ / 实例。
•  多层次管理：
– 例如：user:query、user:edit
–  冒号 是一个特殊字符，它用来分隔权限字符串的下一 部件：第一部分是权限被操做的领域（打印机），第二部分是被执行的操做。
– 多个值： 每一个 部件可以保护多个值。所以，除了授予用户 user:query和 user:edit 权限外，也 能够 简单地授予他们一 个： user: query , edit
– 还能够用 用 *  号 代替全部的值，如：user:* ， 也能够写：*:query，表示某个用户在全部的领域都有 query 的权限

Shiro 的 Permissions

•  实例 级访问控制
– 这种状况一般会使用三个部件： 域、操做、被付诸实施的实例。如：user:edit:manager
– 也 可使用通配符来定义，如：user:edit:*、user:*:*、user:*:manager
–  部分 省略 通配符：缺乏的部件意味着用户能够访问全部与之匹配的值，好比：user:edit 等价于 user:edit :*、user 等价于 user:*:*
– 注意： 通配符只能 从字符串的结尾处省略部件，也就是说 user:edit 并不等价于 user:*:edit

受权流程

• 流程以下：
• 一、首先调用 Subject.isPermitted*/hasRole* 接口，其会委托给SecurityManager，而 SecurityManager 接着会委托给 Authorizer；
• 二、Authorizer是真正的受权者，若是调用如isPermitted(“user:view”)，其首先会经过
• PermissionResolver 把字符串转换成相应的 Permission 实例；
• 三、在进行受权以前，其会调用相应的 Realm 获取 Subject 相应的角色/权限用于匹配传入的角色/权限；
• 四、Authorizer 会判断 Realm 的角色/权限是否和传入的匹配，若是有多个Realm，会委托给 ModularRealmAuthorizer 进行循环判断，若是匹配如 isPermitted*/hasRole* 会返回true，不然返回false表示受权失败。

ModularRealmAuthorizer

• ModularRealmAuthorizer 进行多 Realm 匹配流程：
– 一、首先检查相应的 Realm 是否实现了实现了Authorizer；
– 二、若是实现了 Authorizer，那么接着调用其相应的isPermitted*/hasRole* 接口进行匹配；
– 三、若是有一个Realm匹配那么将返回 true，不然返回 false。

Shiro 标签

• Shiro 提供了 JSTL 标签用于在 JSP 页面进行权限控制，如根据登陆用户显示相应的页面按钮。
• guest 标签：用户没有身份验证时显示相应信息，即游客访问信息：

• user 标签：用户已经通过认证/记住我登陆后显示相应的信息。

Shiro 标签

• authenticated 标签：用户已经身份验证经过，即Subject.login登陆成功，不是记住我登陆的

• notAuthenticated 标签：用户未进行身份验证，即没有调用Subject.login进行登陆，包括记住我自动登陆的也属于
未进行身份验证。

• pincipal 标签：显示用户身份信息，默认调用Subject.getPrincipal() 获取，即 Primary Principal。

• hasRole 标签：若是当前 Subject 有角色将显示 body 体内容：

• hasAnyRoles 标签：若是当前Subject有任意一个角色（或的关系）将显示body体内容。

• lacksRole：若是当前 Subject 没有角色将显示 body 体内容

• hasPermission：若是当前 Subject 有权限将显示 body 体内容

• lacksPermission：若是当前Subject没有权限将显示body体内容。

 

权限注解

• @RequiresAuthentication：表示当前Subject已经经过login进行了身份验证；即 Subject. isAuthenticated() 返回 true
• @RequiresUser：表示当前 Subject 已经身份验证或者经过记住我登陆的。
• @RequiresGuest：表示当前Subject没有身份验证或经过记住我登陆过，便是游客身份。
• @RequiresRoles(value={“admin”, “user”}, logical=Logical.AND)：表示当前 Subject 须要角色 admin 和user
• @RequiresPermissions (value={“user:a”, “user:b”},logical= Logical.OR)：表示当前 Subject 须要权限 user:a 或user:b。

自定义拦截器

• 经过自定义拦截器能够扩展功能，例如：动态url-角色/权限访问控制的实现、根据 Subject 身份信息获取用户信息绑定到 Request（即设置通用数据）、验证码验证、在线用户信息的保存等

会话管理

概述
• Shiro 提供了完整的企业级会话管理功能，不依赖于底层容器（如web容器tomcat），无论 JavaSE 仍是 JavaEE 环境
均可以使用，提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过时支持、对Web 的透明支持、SSO 单点登陆的支持等特性。

会话相关的 API

• Subject.getSession()：便可获取会话；其等价于Subject.getSession(true)，即若是当前没有建立 Session 对象会建立
一个；Subject.getSession(false)，若是当前没有建立 Session 则返回null
• session.getId()：获取当前会话的惟一标识
• session.getHost()：获取当前Subject的主机地址
• session.getTimeout() & session.setTimeout(毫秒)：获取/设置当前Session的过时时间
• session.getStartTimestamp() & session.getLastAccessTime()：获取会话的启动时间及最后访问时间；若是是 JavaSE 应用须要本身按期调用 session.touch() 去更新最后访问时间；若是是Web 应用，每次进入 ShiroFilter 都会自动调用 session.touch() 来更新最后访问时间。
• session.touch() & session.stop()：更新会话最后访问时间及销毁会话；当Subject.logout()时会自动调用 stop 方法来销毁会话。若是在web中，调用 HttpSession. invalidate()也会自动调用Shiro Session.stop 方法进行销毁Shiro 的会话
• session.setAttribute(key, val) &session.getAttribute(key) &session.removeAttribute(key)：设置/获取/删除会话属性；在整个会话范围内均可以对这些属性进行操做

会话监听器

• 会话监听器用于监听会话建立、过时及中止事件

SessionDao

• AbstractSessionDAO 提供了 SessionDAO 的基础实现，如生成会话ID等
• CachingSessionDAO 提供了对开发者透明的会话缓存的功能，须要设置相应的 CacheManager
• MemorySessionDAO 直接在内存中进行会话维护
• EnterpriseCacheSessionDAO 提供了缓存功能的会话维护，默认状况下使用 MapCache 实现，内部使用ConcurrentHashMap 保存缓存的会话。
配置示例

配置示例

数据表
• create table sessions ( id varchar(200),session varchar(2000),constraint pk_sessions primary key(id)) charset=utf8 ENGINE=InnoDB;

Session Dao：

Session Dao：

SerializableUtils：

 

会话验证

• Shiro 提供了会话验证调度器，用于按期的验证会话是否已过时，若是过时将中止会话
• 出于性能考虑，通常状况下都是获取会话时来验证会话是否过时并中止会话的；可是如在 web 环境中，若是用户不主动退出是不知道会话是否过时的，所以须要按期的检测会话是否过时，Shiro 提供了会话验证调度器SessionValidationScheduler
• Shiro 也提供了使用Quartz会话验证调度器：QuartzSessionValidationScheduler

缓存

CacheManagerAware 接口

• Shiro 内部相应的组件（DefaultSecurityManager）会自动检测相应的对象（如Realm）是否实现了
CacheManagerAware 并自动注入相应的CacheManager。

Realm 缓存

• Shiro 提供了 CachingRealm，其实现了CacheManagerAware 接口，提供了缓存的一些基础实现；
• AuthenticatingRealm 及 AuthorizingRealm 也分别提供了对AuthenticationInfo 和 AuthorizationInfo 信息的缓存。

Session 缓存

• 如 SecurityManager 实现了 SessionSecurityManager，其会判断 SessionManager 是否实现了CacheManagerAware 接口，若是实现了会把CacheManager 设置给它。
• SessionManager 也会判断相应的 SessionDAO（如继承自CachingSessionDAO）是否实现了CacheManagerAware，若是实现了会把 CacheManager设置给它
• 设置了缓存的 SessionManager，查询时会先查缓存，若是找不到才查数据库。

RememberMe

概述
• Shiro 提供了记住我（RememberMe）的功能，好比访问如淘宝等一些网站时，关闭了浏览器，下次再打开时仍是能记住你是谁，下次访问时无需再登陆便可访问，基本流程以下：
• 一、首先在登陆页面选中 RememberMe 而后登陆成功；若是是浏览器登陆，通常会把 RememberMe 的Cookie 写到客户端并保存下来；
• 二、关闭浏览器再从新打开；会发现浏览器仍是记住你的；
• 三、访问通常的网页服务器端仍是知道你是谁，且能正常访问；
• 四、可是好比咱们访问淘宝时，若是要查看个人订单或进行支付时，此时仍是须要再进行身份认证的，以确保当前用户仍是你。认证和记住我
• subject.isAuthenticated() 表示用户进行了身份验证登陆的，即便有 Subject.login 进行了登陆；
• subject.isRemembered()：表示用户是经过记住我登陆的，此时可能并非真正的你（如你的朋友使用你的电脑，或者你的cookie 被窃取）在访问的
• 二者二选一，即 subject.isAuthenticated()==true，则subject.isRemembered()==false；反之同样。

建议

• 访问通常网页：如我的在主页之类的，咱们使用user 拦截器便可，user 拦截器只要用户登陆(isRemembered() || isAuthenticated())过便可访问成功；
• 访问特殊网页：如个人订单，提交订单页面，咱们使用authc 拦截器便可，authc 拦截器会判断用户是不是经过Subject.login（isAuthenticated()==true）登陆的，若是是才放行，不然会跳转到登陆页面叫你从新登陆。

身份验证相关的

实现

• 若是要本身作RememeberMe，须要在登陆以前这样建立Token：UsernamePasswordToken(用户名，密码，是否记住我)，且调用UsernamePasswordToken 的：token.setRememberMe(true); 方法