简介

• Shiro安全框架是Apache提供的一个强大灵活的安全框架
• Shiro安全框架提供了认证、授权、企业会话管理、加密、缓存管理相关的功能，使用Shiro可以非常方便的完成项目的权限管理模块开发

Shiro的整体架构

1、Subject
​ Subject即主体（可以把当前用户理解为主体），外部应用与Subject进行交互，Subject记录了当前操作用户，将用户的概念理解为当前操作的主体，可能是一个通过浏览器请求的用户，也可能是一个运行的程序。Subject在Shiro中是一个接口，接口中定义了很多认证授权相关的方法，外部程序通过Subject进行认证授，而Subject是通过SecurityManager安全管理器进行认证授权

2、Security Manager
​ SecurityManager即安全管理器，对全部的Subject进行安全管理，它是Shiro的核心，负责对所有的Subject进行安全管理。通过SecurityManager可以完成Subject的认证、授权等，实质上SecurityManager是通过Authenticator进行认证，通过Authorizer进行授权，通过SessionManager进行会话管理等。

3、Cryptography
​ Cryptography即密码管理，Shiro提供了一套加密/解密的组件，方便开发。比如提供常用的散列、加/解密等功能。

4、Authenticator
​ Authenticator即认证器，对用户身份进行认证，Authenticator是一个接口，Shiro提供ModularRealmAuthenticator实现类，通过ModularRealmAuthenticator基本上可以满足大多数需求，也可以自定义认证器。

5、Authorizer
​ Authorizer即授权器，用户通过认证器认证通过，在访问功能时需要通过授权器判断用户是否有此功能的操作权限。

6、realm
​ Realm即领域，相当于datasource数据源，securityManager进行安全认证需要通过Realm获取用户权限数据，比如：如果用户身份数据在数据库，那么realm就需要从数据库获取用户身份信息。

7、sessionManager
​ sessionManager即会话管理，Shiro框架定义了一套会话管理，它不依赖web容器的session，所以Shiro可以使用在非web应用上，也可以将分布式应用的会话集中在一点管理，此特性可使它实现单点登录。

8、SessionDAO
​ SessionDAO即会话dao，是对session会话操作的一套接口，比如要将session存储到数据库，可以通过jdbc将会话存储到数据库。

9、CacheManager
​ CacheManager即缓存管理，将用户权限数据存储在缓存，这样可以提高性能。

shiro 使用

1.、shiro的配置类

/*** shiro权限管理的配置*/
@Configuration
public class ShiroConfig {/*** 安全管理器*/@Beanpublic DefaultWebSecurityManager securityManager(ShiroDatabaseRealm shiroDatabaseRealm,RememberMeManager rememberMeManager,CacheManager cacheManager,SessionManager sessionManager) {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();securityManager.setRealm(shiroDatabaseRealm);securityManager.setCacheManager(cacheManager);securityManager.setRememberMeManager(rememberMeManager);securityManager.setSessionManager(sessionManager);return securityManager;}/*** 会话管理器*/@Beanpublic SessionManager sessionManager() {return new ServletContainerSessionManager();}/*** 缓存管理器*/@Beanpublic CacheManager getCacheShiroManager(EhCacheManagerFactoryBean ehcache) {EhCacheManager ehCacheManager = new EhCacheManager();ehCacheManager.setCacheManager(ehcache.getObject());return ehCacheManager;}/*** rememberMe管理器*/@Beanpublic CookieRememberMeManager rememberMeManager(SimpleCookie rememberMeCookie) {CookieRememberMeManager manager = new CookieRememberMeManager();manager.setCipherKey(Base64.decode("Z3VucwAAAAAAAAAAAAAAAA=="));manager.setCookie(rememberMeCookie);return manager;}/*** 记住密码Cookie*/@Beanpublic SimpleCookie rememberMeCookie() {SimpleCookie simpleCookie = new SimpleCookie("rememberMe");simpleCookie.setHttpOnly(true);simpleCookie.setMaxAge(7 * 24 * 60 * 60);//7天return simpleCookie;}/*** Shiro的过滤器链*/@Beanpublic ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager) {ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();shiroFilter.setSecurityManager(securityManager);/*** 默认的登陆访问url*/shiroFilter.setLoginUrl("/login");/*** 登陆成功后跳转的url*/shiroFilter.setSuccessUrl("/");/*** 没有权限跳转的url*/shiroFilter.setUnauthorizedUrl("/global/error");/*** 自定义过滤器*/HashMap<String, Filter> myFilters = new HashMap<>();myFilters.put("user", new ShiroUserFilter());shiroFilter.setFilters(myFilters);/*** 配置shiro拦截器链** anon  不需要认证* authc 需要认证* user  验证通过或RememberMe登录的都可以** 当应用开启了rememberMe时,用户下次访问时可以是一个user,但不会是authc,因为authc是需要重新认证的** 顺序从上到下,优先级依次降低** api开头的接口，走rest api鉴权，不走shiro鉴权**/Map<String, String> hashMap = new LinkedHashMap<>();//NONE_PERMISSION_RES是一个集合里边存储了所有不需要过滤的路径，包括登录路径，错误路径等，将里边所有路径标志为anon，即访问不需要权限。for (String nonePermissionRe : NONE_PERMISSION_RES) {hashMap.put(nonePermissionRe, "anon");}//  剩下的路径  走自定义过滤器hashMap.put("/**", "user");shiroFilter.setFilterChainDefinitionMap(hashMap);return shiroFilter;}/*** Shiro生命周期处理器:* 用于在实现了Initializable接口的Shiro bean初始化时调用Initializable接口回调(例如:UserRealm)* 在实现了Destroyable接口的Shiro bean销毁时调用 Destroyable接口回调(例如:DefaultSecurityManager)*/@Beanpublic LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {return new LifecycleBeanPostProcessor();}/*** 启用shrio授权注解拦截方式，AOP式方法级权限检查*/@Bean@DependsOn("lifecycleBeanPostProcessor")public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor =new AuthorizationAttributeSourceAdvisor();authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);return authorizationAttributeSourceAdvisor;}
}

2.在login controller中进行登录操作

在login controller中需要使用一个UsernamePasswordToken类型的token来存储用户名、密码、和remeberme ，token相当于一个令牌。
SecurityUtils.getSubject()得到subject， subject是一个非常重要的对象，包含了登录、注销、获取当前用户、检查角色、权限等操作的方法。
调用subject.login()方法将token作为参数会进入Shiro的安全管理器，并调用 Realm 中的 doGetAuthenticationInfo 方法。

 @RequestMapping(value = "/login", method = RequestMethod.POST)public String loginVali(String username, String password, String remember) {Subject subject = SecurityUtils.getSubject();// 1) TODO 准备 Token 数据UsernamePasswordToken token = new UsernamePasswordToken(username, password.toCharArray());// 2) TODO 开启“记住我”功能if(remember!=null&&remember.equals("on")){token.setRememberMe(true);}else {token.setRememberMe(false);}// 3) TODO 利用 subject 进行登录subject.login(token);// 4) TODO 记录登录日志 (暂时不做)return REDIRECT + "/";}

3.实现Realm类

需要实现Realmedia中的三个方法

• doGetAuthenticationInfo()方法 ，在该方法中需要完成认证信息的准备。
• setCredentialsMatcher()方法，需要在该方法中重新实现一个CredentialsMatcher()类中的接口用来提供验证密码的正确性，然后将新的CredentialsMatcher对象当作参数调用父类的setCredentialsMatcher()方法。
• doGetAuthorizationInfo()方法，该方法中需要进行授权信息准备，准备好用户的权限信息，将来使用AOP进行权限过滤时会用到。

下边是自己实现的ShiroDatabaseRealm类

• doGetAuthenticationInfo()方法中返回了一个SimpleAuthenticationInfo对象SimpleAuthenticationInfo 表示认证信息
  • principal 表示用户信息（一般就是一个用户对象，里面会包含角色信息）
  • credentail 表示密码信息（从数据库获取，一般是加密后的）
  • realmName表示当前的Realm的名字
• SimpleAuthenticationInfo第一个参数传递了一个ShiorUser对象而不是直接的User对象是因为在ShiorUser对象中多了一些存储权限路径等信息的属性。
• doGetAuthorizationInfo()方法返回一个SimpleAuthorizationInfo 对象，使用setRoles设置其角色集合，setStringPermissions设置权限集合（url访问列表）

@Component
@DependsOn({"userService", "deptService", "roleService"})
@Slf4j
public class ShiroDatabaseRealm extends AuthorizingRealm {@Autowiredprivate UserService userService;@Autowiredprivate DeptService deptService;@Autowiredprivate RoleService roleService;// TODO 1. 完成 认证信息 准备@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {// a. TODO 此 token 就是登录时封装的 token 对象UsernamePasswordToken token1=(UsernamePasswordToken)token;// b. TODO 可以利用 userService 中的方法获取 用户对象User user = userService.selectByAccount(token1.getUsername());// c. TODO 记得密码验证不需要在这里做，你要做的判断有两件事：// d. TODO 第一，判断 数据库中该用户是否存在，不存在，则抛出 shiro 的 UnknownAccountException 异常if(user==null) {throw new UnknownAccountException();}// e. TODO 第二，判断 该用户是否被冻结，如被冻结，则抛出 shiro 的 LockedAccountException 异常if(user.getStatus()=="FREEZE"){throw new LockedAccountException();}// f. TODO 将数据库用户信息 User 对象转换 为 ShiroUser 对象ShiroUser shiroUser=toShiroUser(user);// g. TODO 将认证信息：ShiroUser 对象、数据库密码、realm 名称（通过 getName() 得到) 封装至 SimpleAuthenticationInfo 并返回SimpleAuthenticationInfo root = new SimpleAuthenticationInfo(shiroUser, user.getPassword(), this.getName());/*注意* 验证密码的操作，是 shiro 框架完成的，不需要主动调用，只需要提供密码验证的 CredentialsMatcher 对象* 验证成功，进入 successUrl 验证失败进入 loginUrl* 成功后会将 SimpleAuthenticationInfo 中的 principal 信息存入 session， 以后可以通过 Subject 对象获得* 成功后还会做一些 RemeberMe cookie 的生成并返回操作，也无需我们干预*/return root;}/* ShiroUser 的作用1. 用来保存认证信息中的用户数据，即 principal，将来存入 session，以便在登录期间使用2. 其中除了用户数据，还包括了用户的角色信息，其属性都是根据需要自定义的3. 为什么不直接用 User ? 是因为认证过程中的很多属性（包括将来页面要显示的属性） User 对象中没有，因此用 ShiroUser 来保存更多的信息*/private ShiroUser toShiroUser(User user) {ShiroUser shiroUser = new ShiroUser();shiroUser.setId(user.getUserId());shiroUser.setAccount(user.getAccount());shiroUser.setDeptId(user.getDeptId());shiroUser.setDeptName(deptService.selectName(user.getDeptId()));shiroUser.setName(user.getName());shiroUser.setEmail(user.getEmail());shiroUser.setAvatar(user.getAvatar());String[] split = user.getRoleId().split(",");List<Long> roleIds = new ArrayList<>();List<String> roleNames = new ArrayList<>();for (String s : split) {Long roleId = Long.valueOf(s);roleIds.add(roleId);String roleName = roleService.selectName(roleId);roleNames.add(roleName);}shiroUser.setRoleList(roleIds);shiroUser.setRoleNames(roleNames);log.debug("==============> user {} roles: {}", user.getName(), shiroUser.getRoleNames());return shiroUser;}// TODO 2. 提供密码验证 CredentialsMatcher@Overridepublic void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {CredentialsMatcher matcher = new CredentialsMatcher() {@Overridepublic boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {// TODO token 是表单提交过来的数据， info 是在 doGetAuthenticationInfo 步骤返回的认证信息UsernamePasswordToken token1=(UsernamePasswordToken)token;char[] password = token1.getPassword();String pass_user = new String(password);String pass_databases = info.getCredentials().toString();// TODO 使用 BCrypt 算法验证密码的正确性，返回值即表示验证是否通过return  BCrypt.checkpw(pass_user, pass_databases);// 验证不通过会由框架抛出 IncorrectCredentialsException 异常}};super.setCredentialsMatcher(matcher);}// TODO 3. 完成 授权信息 准备// 当需要进行权限验证时，会调用 doGetAuthorizationInfo 获得当前用户（已认证）的权限信息，只会执行一次，放入缓存当中@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {ShiroUser shiroUser = (ShiroUser) principals.getPrimaryPrincipal();// a. TODO 获取用户的所有 url 访问权限，可以通过 roleService.selectPermissionURL 获取一个角色的 url 访问列表// 注意，一个用户可能会有多个角色LinkedHashSet<String> set = new LinkedHashSet<>();for (Long roleId : shiroUser.getRoleList()) {List<String> strings = roleService.selectPermissionURL(roleId);set.addAll(strings);}// b. TODO 准备一个 SimpleAuthorizationInfo 对象，应设置其角色集合，权限集合（url访问列表），并返回/* 注意，这些集合中都是字符串表示的角色和权限后续可以通过 Subject 对象中的相关方法来使用这里准备的数据，如：* subject.hasRole(角色名) 判断用户是否有某个角色* subject.isPermitted(权限名) 判断用户是否有某个权限* 更多方法，参考 shiro 的 Subject 接口说明*/LinkedHashSet<String> roleNames = new LinkedHashSet<>();roleNames.addAll(shiroUser.getRoleNames());SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();info.setRoles(roleNames);info.setStringPermissions(set);return info;}
}

4. 在AOP中进行权限过滤

在需要进行权限过滤的controller方法上加@Permission注解。
若该方法必须某个角色才能访问则@Permission(“角色名”)；

• 得到subject
  Subject subject = SecurityUtils.getSubject();
• 判断是否含有所有角色
  subject.hasAllRoles()
• 判断是否含有URL
  subject.isPermitted()

/*** 权限检查的aop*/
// 0. TODO 打开 @Aspect 注解
@Aspect
@Component
@Order(200)
@Slf4j
public class ShiroPermissionAop {// 1. TODO 控制器内需要权限控制的方法上都加了 @Permission 自定义注解，添加合适的切点@Around("@annotation(cn.stylefeng.guns.core.common.annotion.Permission)")public Object doPermission(ProceedingJoinPoint pjp) throws Throwable {// a. 获取当前的请求路径（已实现）String requestURI = getRequestURI();// b. 获取当前的控制器方法对象（已实现）Method method = getMethod(pjp);// c. TODO 拿到方法的 Permission 注解，做进一步判断Permission annotation= method.getAnnotation(Permission.class);String[] roleNames = annotation.value();// d. TODO 分支1，如果 Permission 上有角色，调用 checkRoles 进一步判断if(annotation.value().length>0){boolean pass= checkRoles(roleNames);;if(!pass){throw new NoPermissionException("没有权限");}}// e. TODO 分支2，如果没有角色，那么进行所有路径匹配检查，调用 checkPermission 进一步判断else{boolean pass= checkPermission(requestURI);if(!pass){throw new NoPermissionException("没有权限");}}// f. TODO 以上分支，检查通过，使用 pjp 放行， 不通过抛出 NoPermissionException// 注意放行的话应该 将 pjp 执行目标方法的结果返回return pjp.proceed();}private Method getMethod(ProceedingJoinPoint point) {MethodSignature ms = (MethodSignature) point.getSignature();return ms.getMethod();}private String getRequestURI() {HttpServletRequest request = HttpContext.getRequest();String requestURI = request.getRequestURI().replaceFirst(ConfigListener.getConf().get("contextPath"), "");log.debug("===============> current uri: {}", requestURI);return requestURI;}public boolean checkRoles(Object[] permissions) {String[] roleNames = (String[]) permissions;Subject subject = SecurityUtils.getSubject();return subject.hasAllRoles(Arrays.asList(roleNames));}private boolean checkPermission(String requestURI) {Subject subject = SecurityUtils.getSubject();return  subject.isPermitted(requestURI);}
}