Shiro 概述
Shiro 是一款 Apache 提供的權限校驗框架, Shiro 同時也是一個強大且易用的 Java 安全框架,執行身份驗證、授權、密碼學和會話管理。使用 Shiro 的易於理解的 API,您可以快速、輕鬆地獲得任何應用程式,從最小的行動應用程式到最大的網絡和企業應用程式,特別是今天對權限校驗和管理特別嚴格,大家有必要對shiro 有一個基本的認識和學習。
Shiro 的三大核心組件
1、Subject :當前用戶的操作
2、SecurityManager:用於管理所有的 Subject 3、Realms:用於進行權限信息的驗證
如下圖:各組件之間的調用關係:
Subject:翻譯為主角,當前參與應用安全部分的主角。可以是用戶,可以試第三方服務,可以是 cron 任務,或者任何東西。主要指一個正在與當前軟體交互的東西。所有 Subject 都需要 SecurityManager,當你與 Subject 進行交互,這些交互行為實際上被轉換為與 SecurityManager 的交互
SecurityManager:安全管理員,Shiro 架構的核心,它就像 Shiro 內部所有原件的保護傘。然而一旦配置了 SecurityManager,SecurityManager 就用到的比較少,開發者大部分時間都花在 Subject 上面請記得,當你與 Subject 進行
交互的時候,實際上是 SecurityManager 在背後幫你舉起 Subject 來做一些安全操作。
Realms:Realms 作為 Shiro 和你的應用的連接橋,當需要與安全數據交互的時候,像用戶帳戶,或者訪問控制,Shiro 就從一個或多個 Realms 中查找。Shiro 提供了一些可以直接使用的 Realms,如果默認的 Realms 不能滿足你的需求,你也可以定製自己的 Realms.
Shiro 的十大功能特點:
功能特點
Shiro 包含 10 個內容,如下圖:
Authentication:身份認證/登錄,驗證用戶是不是擁有相應的身份。Authorization:授權,即權限驗證,驗證某個已認證的用戶是否擁有某個權限; 即判斷用戶是否能做事情,常見的如:驗證某個用戶是否擁有某個角色。或者細粒度的驗證某個用戶對某個資源是否具有某個權限。Session Manager:會話管理,即用戶登錄後就是一次會話,在沒有退出之前,它的所有信息都在會話中;會話可以是普通 JavaSE 環境的,也可以是如 Web 環境的。Cryptography:加密,保護數據的安全性,如密碼加密存儲到資料庫,而不是明文存儲。Web Support:Web 支持,可以非常容易的集成到 web 環境。Caching:緩存,比如用戶登錄後,其用戶信息、擁有的角色/權限不必每次去查, 這樣可以提高效率。Concurrency:shiro 支持多線程應用的並發驗證,即如在一個線程中開啟另一個線程,能把權限自動傳播過去。Testing:提供測試支持。Run As:允許一個用戶假裝為另一個用戶(如果他們允許)的身份進行訪問。Remember Me:記住我,這個是非常常見的功能,即一次登錄後,下次再來的話不用登錄了。Shiro 的運行原理
Subject:主體,可以看到主體可以是任何與應用交互的「用戶」。
SecurityManager:相當於 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher。它是 Shiro 的核心,所有具體的交互都通過
SecurityManager 進行控制。它管理著所有 Subject、且負責進行認證和授權、及會話、緩存的管理。
Authenticator:認證器,負責主體認證的,這是一個擴展點,如果用戶覺得Shiro 默認的不好,我們可以自定義實現。其需要認證策略(Authentication Strategy),即什麼情況下算用戶認證通過了。
Authrizer:授權器,或者訪問控制器。它用來決定主體是否有權限進行相應的操作,即控制著用戶能訪問應用中的哪些功能。
Realm:可以有 1 個或多個 Realm,可以認為是安全實體數據源,即用於獲取安全實體的。它可以是 JDBC 實現,也可以是 LDAP 實現,或者內存實現等。
SessionManager:如果寫過 Servlet 就應該知道 Session 的概念,Session 需要有人去管理它的生命周期,這個組件就是 SessionManager。而 Shiro 並不僅僅可以用在 Web 環境,也可以用在如普通的 JavaSE 環境。
SessionDAO:DAO 大家都用過,數據訪問對象,用於會話的 CRUD。我們可以自定義 SessionDAO 的實現,控制 session 存儲的位置。如通過 JDBC 寫到資料庫或通過jedis 寫入 redis 中。另外 SessionDAO 中可以使用 Cache 進行緩存,以提高性能。
CacheManager:緩存管理器。它來管理如用戶、角色、權限等的緩存的。因為這些數據基本上很少去改變,放到緩存中後可以提高訪問的性能。
Cryptography:密碼模塊,Shiro 提高了一些常見的加密組件用於如密碼加密/解密的。
Shiro 的基本入門
今天我們演示 Shiro 的入門,沒有整合任何框架,只是單純的演示 Shiro 運行原理,所以無需創建經典的五張表
使用 Idea 創建一個 Maven 項目
在 pom.xml 中添加如下依賴:
<!—配置 shiro 依賴-->
<dependencies>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-simple</artifactId>
<version>1.6.1</version>
</dependency>
</dependencies>
任意創建一個包,在裡面創建一個測試的 Demo 類:
package me.aihe;import org.slf4j.Logger; import org.slf4j.LoggerFactory;
public class Demo{
private static final transient Logger log = LoggerFactory.getLogger(Tutorial.class); public static void main(String[] args) {
log.info("My First Apache Shiro Application"); System.exit(0);
}
}創建一個 shiro.ini 配置文件
Shiro 提供了一個通用的方案通過 INI 進行配置 ,當然也可以通過 XML,YMAL,JSON 等進行配置。在 resource 目錄下面,創建一個 shiro.ini 的文件。內容如下:
# -------------------------------------------------------------------------
# Users and their (optional) assigned roles
# username = password, role1, role2, ..., roleN
# -------------------------------------------------------------------------
[users]
root = secret, admin guest = guest, guest
presidentskroob = 12345, president
darkhelmet = ludicrousspeed, darklord, schwartz aihe = aihe, goodguy, client
# -------------------------------------------------------------------------
# Roles with assigned permissions
# roleName = perm1, perm2, ..., permN
# -------------------------------------------------------------------------
[roles] admin = *
client = look:*
goodguy = winnebago:drive:eagle5
引用 Shiro.ini 配置進行測試
現在改變我們的 Demo 類文件,內容如下
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
public class Demo {
private static final transient Logger log = LoggerFactory.getLogger(Tutorial.class);
public static void main(String[] args) { log.info("My First Apache Shiro Application");
//1. 這裡的 SecurityManager 是 org.apache.shiro.mgt.SecurityManager,而不是
//java.lang.SecurityManager 加載配置文件
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//2.解析配置文件,並且返回一些 SecurityManger 實例
SecurityManager securityManager = factory.getInstance();
//3.設置 SecurityManager 到靜態內存區,單例模式
SecurityUtils.setSecurityManager(securityManager);
// 安全操作
Subject currentUser = SecurityUtils.getSubject();
// 在應用的當前會話中設置屬性
Session session = currentUser.getSession(); session.setAttribute("key","value");
//當前我們的用戶是匿名的用戶,我們嘗試進行登錄,
if(!currentUser.isAuthenticated()){
UsernamePasswordToken token = new UsernamePasswordToken("aihe", "aihe");
token.setRememberMe(true);
//嘗試進行登錄用戶,如果登錄失敗了,我們進行一些處理
try{ currentUser.login(token);
//當我們獲登錄用戶之後
log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");
// 查看用戶是否有指定的角色
if ( currentUser.hasRole( "client" ) ) {
log.info("Look is in your role" ); } else { log.info( ". " );
}
// 查看用戶是否有某個權限
if ( currentUser.isPermitted( "look:desk" ) ) {
log.info("You can look. Use it wisely.");
} else {
log.info("Sorry, you can't look.");
}
if ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {
log.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'. " + "Here are
the keys - have fun!");
} else {
log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}
//登出currentUser.logout();
} catch ( UnknownAccountException uae ) {
//帳戶不存在的操作
} catch ( IncorrectCredentialsException ice ) {
//密碼不正確
} catch ( LockedAccountException lae ) {
//用戶被鎖定了
} catch ( AuthenticationException ae ) {
//無法判斷的情形
}
}
System.exit(0); }
}
通過 shiro 演示,我們學到了什麼
這個相對來說是一個簡單的程序,但也證明了一些 shiro 的基本用法,我們可以通過shiro 進行認證,權限控制等。
本文對 Shiro 進行了一個基本介紹,Shiro 具體在開發中的實際應用,以及更多在開發中的應用,我們並沒有具體說太多,比如和其它框架的整合等等,如果想對 Shiro 有更多的了解,請前往官網查閱。