Shiro01 功能点框图、架构图、身份认证逻辑、身份认证代码实现

基本功能点

功能点框图

功能点说明

一、Authentication：身份认证/登陆，验证用户是否是拥有相应的身份；
二、Authorization：受权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能作事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用 户对某个资源是否具备某个权限；
三、SessionManager：会话管理，即用户登陆后就是一次会话，在没有退出以前，它的全部信 息都在会话中；会话能够是普通 JavaSE 环境的，也能够是如 Web 环境的；
四、Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；
五、Web Support：Web 支持，能够很是容易的集成到 Web 环境；
六、Caching：缓存，好比用户登陆后，其用户信息、拥有的角色/权限没必要每次去查，这样能够提升效率；
七、Concurrency：shiro支持多线程应用的并发验证，即如在一个线程中开启另外一个线程，能 把权限自动传播过去；
八、Testing：提供测试支持；
九、Run As：容许一个用户伪装为另外一个用户（若是他们容许）的身份进行访问；
十、RememberMe：记住我，这个是很是常见的功能，即一次登陆后，下次再来的话不用登陆了。
十一、注意：Shiro 不会去维护用户、维护权限；这些须要咱们本身去设计/提供；而后经过 相应的接口注入给 Shiro 便可。

外部架构图

一、架构图

二、架构说明
2.一、应用代码直接交互的对象是Subject， 也就是说Shiro的对外API核心就是Subject；
2.二、应用代码经过 Subject 来进行认证和受权，而 Subject 又委托给 SecurityManager；
2.三、咱们须要给 Shiro 的 SecurityManager 注入 Realm，从而让 SecurityManager 能获得合法 的用户及其权限进行判断。
三、API说明
3.一、Subject：主体，表明了当前“用户”，这个用户不必定是一个具体的人，与当前应用交互 的任何东西都是 Subject，如网络爬虫，机器人等；即一个抽象概念；全部 Subject 都绑定 到 SecurityManager，与 Subject 的全部交互都会委托给 SecurityManager；能够把 Subject 认 为是一个门面；SecurityManager 才是实际的执行者；
3.二、SecurityManager：安全管理器；即全部与安全有关的操做都会与 SecurityManager 交互； 且它管理着全部 Subject；能够看出它是 Shiro 的核心，它负责与后边介绍的其余组件进行 交互，若是学习过 SpringMVC，你能够把它当作 DispatcherServlet 前端控制器；
3.三、Realm：域，Shiro 从从 Realm 获取安全数据（如用户、角色、权限），就是说 SecurityManager 要验证用户身份，那么它须要从 Realm 获取相应的用户进行比较以肯定用户身份是否合法；也须要从 Realm 获得用户相应的角色/权限进行验证用户是否能进行操做；能够把 Realm 看 成 DataSource，即安全数据源。
4 注意：Shiro 不提供维护用户/权限，而是经过 Realm 让开发人员本身注入。

内部架构图

一、架构图

二、模块说明
2.一、Subject：主体，能够看到主体能够是任何能够与应用交互的“用户”；
2.二、SecurityManager ： 至关于 SpringMVC 中 的 DispatcherServlet 或者 Struts2 中 的 FilterDispatcher；是 Shiro 的心脏；全部具体的交互都经过 SecurityManager 进行控制；它管 理着全部 Subject、且负责进行认证和受权、及会话、缓存的管理。
2.三、Authenticator：认证器，负责主体认证的，这是一个扩展点，若是用户以为 Shiro 默认的 很差，能够自定义实现；其须要认证策略（Authentication Strategy），即什么状况下算用户 认证经过了；
2.四、Authrizer：受权器，或者访问控制器，用来决定主体是否有权限进行相应的操做；即控制 着用户能访问应用中的哪些功能；
2.五、Realm：能够有1个或多个Realm，能够认为是安全实体数据源，即用于获取安全实体的；能够是JDBC实现，也能够是LDAP实现，或者内存实现等等；由用户提供；注意：Shiro不知道你的用户权限存储在哪及以何种格式存储；因此咱们通常在应用中都须要实现本身的Realm；
2.六、SessionManager：若是写过 Servlet 就应该知道 Session 的概念，Session 呢须要有人去管理 它的生命周期，这个组件就是 SessionManager；而ShiroWeb环境，也 能够用在如普通的 JavaSE环境、EJB等环境；全部呢Shiro就抽象了一个本身的Session来管理主体与应用之间交互的数据；这样的话，好比咱们在 Web 环境用，刚开始是一台 Web 服务器；接着又上了台EJB服务器；这时想把两台服务器的会话数据放到一个地方， 这个时候就能够实现本身的分布式会话（如把数据放到 Memcached 服务器）；
2.七、SessionDAO：DAO 你们都用过，数据访问对象，用 于 会话的 CRUD，好比咱们想把 Session保存到数据库，那么能够实现本身的SessionDAO，经过如JDBC写到数据库；好比想把 Session 放到 Memcached中，能够实现本身的MemcachedSessionDAO；另外SessionDAO 中可使用 Cache 进行缓存，以提升性能；
2.八、CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的；由于这些数据基本 上不多去改变，放到缓存中后能够提升访问的性能；
2.九、Cryptography：密码模块，Shiro 提升了一些常见的加密组件用于如密码加密/解密的。

身份认证

特殊名词

一、身份验证：即在应用中谁能证实他就是他本人。通常提供如他们的身份 ID 一些标识信息来 代表他就是他本人，如提供身份证，用户名/密码来证实。 在 shiro 中，用户须要提供 principals （身份）和 credentials（证实）给 shiro，从而应用能 验证用户身份：
二、principals：身份，即主体的标识属性，能够是任何东西，如用户名、邮箱等，惟一便可。 一个主体能够有多个 principals，但只有一个 Primary principals，通常是用户名/密码/手机号。
三、credentials：证实/凭证，即只有主体知道的安全值，如密码/数字证书等。 最多见的 principals 和 credentials 组合就是用户名/密码了。接下来先进行一个基本的身份认 证。
四、另外两个相关的概念是以前提到的Subject及Realm，分别是主体及验证主体的数据源。

认证逻辑（使用IniRealm）

一、经过一个ini文件来建立Realm
二、接着获取 SecurityManager 并将Realm绑定到SecurityManager；
三、将SecurityManager绑定到 SecurityUtils，这是一个全局设置，设置一次便可；
四、经过 SecurityUtils 获得 Subject，其会自动绑定到当前线程；若是在 web 环境在请求结 束时须要解除绑定；而后获取身份验证的 Token，如用户名/密码；
五、调用 subject.login 方法进行登陆，其会自动委托给 SecurityManager.login 方法进行登陆；
六、若是身份验证失败请捕获 AuthenticationException 或 其 子类，常见的如： DisabledAccountException（禁用的账号）、LockedAccountException（锁定的账号）、 UnknownAccountException（错误的账号）、ExcessiveAttemptsException（登陆失败次数过 多）、IncorrectCredentialsException（错误的凭证）、ExpiredCredentialsException（过时的凭证）等，具体请查看其继承关系；对于页面的错误消息展现，最好使用如“用户名/密码 错误”而不是“用户名错误”/“密码错误”，防止一些恶意用户非法扫描账号库；
七、最后能够调用 subject.logout 退出，其会自动委托给 SecurityManager.logout 方法退出。

代码实现

一、建立一个Maven工程，不一样的maven工程便可，不须要时web工程
二、引入junit、shiro依赖

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.0</version>
        </dependency>

        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.12</version>
        </dependency>

三、在resources目录下建立一个shiro.ini文件
3.一、项目目录结构

3.二、shiro.ini内容

[users]
fury=111111
zeus=222222

4 测试类

package com.xunyji.shirotest.kaitao;

import jdk.nashorn.internal.parser.Token;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Test;

/**
 * @author AltEnter
 * @create 2019-01-17 14:58
 * @desc 认证
 **/
public class TestDemo01 {

    @Test
    public void testDemo01() {
//        01 建立Realm
        IniRealm iniRealm = new IniRealm("classpath:shiro.ini");
//        02 建立SecurityManager并将Realm设置到SecurityManager中
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(iniRealm);

//        03 将SecurityManager设置到SecurityUtils中
        SecurityUtils.setSecurityManager(defaultSecurityManager);
//        04 从SecurityUtils中获取Subject
        Subject subject = SecurityUtils.getSubject();
//        05 将用户名和用户密码封装成一个Token
        UsernamePasswordToken token = new UsernamePasswordToken("fury", "111111");
//        06 经过Subject进行登陆认证
        subject.login(token);
//        07 经过Subject判断登陆认证结果
        System.out.println(String.format("用户名fury和密码111111的用户的认证结果为：%s", subject.isAuthenticated()));
    } 

}

认证总结

一、认证步骤
1.一、收集用户身份/凭证，即如用户名/密码；
1.二、调用 Subject.login 进行登陆，若是失败将获得相应的 AuthenticationException 异常，根 据异常提示用户错误信息；不然登陆成功；
1.三、最后调用 Subject.logout 进行退出操做。
二、改进方案
2.一、用户名和密码硬编码在ini配置文件，之后须要改为如数据库存储，且密码须要加密存储；
2.二、用户身份Token可能不只仅是用户名和密码，也可能还有其余的，如登陆时容许用户名/ 邮箱/手机号同时登陆。
三、认证流程
3.一、流程图
认证外部流程图：

认证内部流程图：

3.二、首先调用 Subject.login(token)进行登陆，其会自动委托给 Security Manager，调用以前必 须经过 SecurityUtils. setSecurityManager()设置； 还须要为SecurityManager设置Realm；
3.三、SecurityManager 负责真正的身份验证逻辑；它会委托给 Authenticator 进行身份验证；
3.四、Authenticator才是真正的身份验证者，ShiroAPI中核心的身份认证入口点，此处能够自 定义插入本身的实现；
3.五、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证，默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证；
3.六、Authenticator会把相应的token传入Realm，从Realm获取身份验证信息，若是没有返 回和抛出异常表示身份验证失败了。此处能够配置多个Realm，将按照相应的顺序及策略进 行访问。
四、技巧：从subject.login(token)往下查看源码就能够清楚地知道整个登陆认证流程