一、 Shiro 简介

1 概述

权限体系在现代软件应用中有着非常重要的地位。一个应用如果没有权限体系都会显着这个系统“特别不安全”，无论是传统的MIS系统还是互联网项目出于对业务数据和应用自身的安全，都会设置自己的安全策略。
目前市场上专门的Java权限框架有Apache Shiro 和 Spring Security。相较于Spring Security 来说 Shiro更加老牌，所以就先讲解Shiro，在后面的阶段中讲解Spring Security。学习好Shiro对于以后市场上在出现新型权限框架的学习能带来很大便利。因为权限的概念是不变的，变得是框架的实现方式。当然了，对于第一次学习权限框架的人来说，相较于权限框架的应用，更难的就是权限方面的概念。

2 Shiro官方解释

中文:Apache Shiro是一个强大的并且简单使用的java权限框架.主要应用认证(Authentication),授权(Authorization),cryptography(加密),和Session Manager.Shiro具有简单易懂的API,使用Shiro可以快速并且简单的应用到任何应用中,无论是从最小的移动app到最大的企业级web应用都可以使用.

3 核心功能

在Shiro官网首页上占用了很大的篇幅说明了Shiro的核心功能。
Authentication 认证。如用户的登录。
Authorization 授权。用户是否有权限访问指定URL等。
Cryptography 密码学。如密码的加密。
Session Management Session 管理。
Web Integration Web集成。Shiro不依赖于容器。

二、 Shiro 架构原理

必须会。Shiro学习的重中之重。

1 第一行

第一行中示例出了一些语言。无论是什么语言都需要包含Subject

2 Subject

主体。每个用户登录成功后都会对应一个Subject对象，所有用户信息都存放在Subject中。可以理解：Subject就是Shiro提供的用户实体类。

3 Security Manager

Shiro最大的容器，此容器中包含了Shiro的绝大多数功能。在非Spring Boot项目中，获取Security Manager 是编写代码的第一步。而在Spring Boot中已经帮助我们自动化配置了。

4 Authenticator

认证器。执行认证过程调用的组件。里面包含了认证策略。

5 Authorizer

授权器。执行授权时调用的组件。

6 Session Manager

Shiro被Web集成后，HttpSession对象会由Shiro的Session Manager进行管理。

7 Cache Manager

缓存管理。Shiro执行很多第三方缓存技术。例如：EHCache等。

8 Session DAO

操作Session内容的组件。

9 Realms

Shiro框架实现权限控制不依赖于数据库，通过内置数据也可以实现权限控制。但是目前绝大多数应用的数据都存储在数据库中，所以Shiro提供了Realms组件，此组件的作用就是访问数据库。Shiro内置的访问数据库的代码，通过简单配置就可以访问数据库，也可以自定义Realms实现访问数据库逻辑（绝大多数都这么做）

三、 INI文件介绍

INI英文名称(InitializationFile)
INI文件是Window系统配置文件的扩展名.
Shiro的全局配置文件就是.ini文件，ini中数据都是固定数据，后面会用数据库中数据替代下面users和roles（固定数据部分）
.ini文件内容的语法和.properties类似都是key=value,value格式.
INI文件中包含了四个部分：

1 [main] 主体部分.

这部分配置类对象,或设置属性等操作.
内置了根对象：securityManager，注意对象名大小写。

[main]
securityManager.属性=值
key=value
securityManager.对象属性=com.bjsxt.pojo.People  #后面值是字符串
peo=com.bjsxt.pojo.People
securityManager.对象属性=$peo        #出现$时才表示是引用对象

2 [users]

定义用户,密码及用户可以具有的角色.

[users]
用户名=密码,角色1,角色2     #角色部分可以省略.
zhangsan=zs
zhangsan=zs,role1,role2

3 [roles]

定于角色具有的权限

[roles]
角色名=权限名,权限名
role1=user:insert,user:update
role2=insert,update
role3=user:*

4 [urls]

定义哪个控制器被哪个过滤器过滤.Shiro内置很多过滤器。此部分主要在WEB应用中使用。
下图是官网上提供的Shiro内置Filter及名称。

anon：不认证也可以访问。例如：/admin/=anon
authc：必须认证。
authcBasic：没有参数时表示httpBasic认证(客户端认证方式)。
logout：退出。
noSessionCreation：新增Filter，表示没有Session创建。
perms：判断是有具有指定权限。例如：/admin/user/=perms[“per1”,”per2”]。必须同时具有给定权限才可以访问。如果只有一个权限可以省略双引号。
port：限制端口。例如：/admin/=port[8081]。只要请求不是8081端口就重新发送URL到8081端口。
rest：请求方式和权限的简便写法。例如：/admin/=rest[user]，相当于/admin/** = perms[user:方式]，方式是http请求的方式：post、get等。
roles：判断是否具有指定权限。/admin/**=roles[role1]
ssl：表示是安全的请求。协议为https
user：表示必须存在用户。

[urls]
控制器名称=过滤器名称
/login=authc
/**=anon

四、 Shiro环境搭建及认证实现

1 认证流程
获取主体,通过主体Subject对象的login方法进行登录
把Subject中内容传递给Security Manager
Security Manager内部组件Authenticator进行认证,
认证数据使用InI Realm,调用Ini文件中数据.

2 名词解释

Principal: 身份。用户名,邮箱,手机等能够唯一确认身份的信息.
Credential: 凭证，代表密码等。
AuthenticationInfo：认证时存储认证信息。

五、 第一个Shiro演示

Shiro是不依赖于容器的，所以建立一个普通的Maven项目就可以。
1 添加依赖

<dependencies><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-core</artifactId><version>1.4.2</version></dependency><dependency><groupId>commons-logging</groupId><artifactId>commons-logging</artifactId><version>1.2</version></dependency>
</dependencies>

2 新建配置文件
在resources下新建shiro.ini，文件名称任意，扩展名必须是ini。

[users]
zhangsan=zs
lisi=ls

3 新建测试类
新建com.bjsxt.ShiroRun。

public class ShiroRun {public static void main(String[] args) {Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");SecurityManager securityManager = factory.getInstance();SecurityUtils.setSecurityManager(securityManager);Subject subject = SecurityUtils.getSubject();//web项目时，用户名和密码是客户端表单传递过来的用户名和密码。AuthenticationToken token = new UsernamePasswordToken("admin", "pwd");try {//login()方法没有返回值，只能通过是否有异常判断是否登录成功。subject.login(token);System.out.println("登录成功");} catch (UnknownAccountException e) {System.out.println("账号不存在");} catch (IncorrectCredentialsException e) {System.out.println("密码错误");} catch (AuthenticationException e) {e.printStackTrace();}}
}

六、 授权

1 判断角色

1.1 修改配置文件
直接在密码后面添加用户包含的角色名即可。

[users]
zhangsan=zs,role1,role2
lisi=ls

1.2 添加代码

hasRole()通过返回值判断用户是否具有指定角色。

boolean hasRoleResult = SecurityUtils.getSubject().hasRole("role1");
System.out.println("result:"+hasRoleResult);

2 判断权限

2.1 修改配置文件

[users]
zhangsan=zs,role1,role2
lisi=ls
[roles]
role1=permission1,permission2

2.2 添加测试代码
通过是否出现AuthenticationException异常控制是否有指定权限。

SecurityUtils.getSubject().checkPermission("permission");

七、 加密及凭证匹配器

在实际开发中数据库中一些敏感信息经常会被加密存储。如：用户密码等。
Shiro框架内嵌了很多加密算法。如MD5等。使用Shiro框架时可以很方便的实现加密功能。

String password = "smallming";
//md5加密
Md5Hash md5Hash = new Md5Hash(password);
System.out.println(md5Hash.toHex());
//带盐的MD5加密。盐就是在原有字符串后面拼接盐形成新的字符串，然后加密。
Md5Hash md5Hash2 = new Md5Hash(password, "bjsxt");
System.out.println(md5Hash2);
//无论是否加盐都可以很容易的被破解，可以多次迭代加密保证数据安全性。
//第三个参数表示迭代加密次数
Md5Hash md5Hash3 = new Md5Hash(password, "bjsxt", 2);
System.out.println(md5Hash3);//使用Md5的父类也也实现
SimpleHash simpleHash = new SimpleHash("md5",password,"bjsxt",2);
System.out.println(simpleHash);

八、 自定义Realm

ShiroRun 代码不需要做任何变化。

1 自定义Realm类

在项目中新建com.bjsxt.realm.MyRealm

public class MyRealm extends AuthenticatingRealm {@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {System.out.println("执行认证");//用户名String username = token.getPrincipal().toString();//密码String pwd = new String((char[])token.getCredentials());System.out.println(username+"  "+pwd);//先从数据库查询select * from user where username=? 查看用户名是否存在if(username.equals("admin")){//假设用户名为admin时能从数据库中查询出来//根据之前查询出来的用户信息获取密码。假设查询出来的密码是pwdString password= "pwd";//此处需要注意，第二个参数是从数据库查询出来的密码，而不是传递过来的密码。//第三个参数自定义。但是尽量不重复了。常直接使用用户名当做realname名字。AuthenticationInfo info = new SimpleAuthenticationInfo(token.getPrincipal(),password,"realmname");//shiro会判断从数据库查询出来的密码和客户端传递过来的密码是否一致。return info;}//返回null说明用户名不存在。return null;}
}

2 修改配置文件

在配置文件中添加下面内容

[main]
myrealm=com.bjsxt.realm.MyRealm
securityManager.realms=$myrealm

3 测试结果

在ShiroRun中修改用户名和密码，当用户名和密码为admin、pwd时可以正常登录。
此时无论shiro.ini是否配置了[users]，都按照Realm中配置的逻辑进行比较用户名和密码。

九、 凭证匹配器

在实际应用中数据库密码都是加密的。Shiro内置了凭证匹配器，通过简单配置就可以实现明文数据和数据库中加密数据匹配的效果。

1 修改自定义Realm

AuthenticationInfo 的构造方法由三个参数变成四个参数的。新增第三个参数表示加盐。
一般都是拿用户数据的id作为盐。

//密码必须是MD5加密后的密码
String password= "7614fd642608ca0755b78d2b2c352e19";
//假设id是从数据库中取出的id
Long id = 123L;
//第三个参数是加密的盐
AuthenticationInfo info = new SimpleAuthenticationInfo(token.getPrincipal(), password, ByteSource.Util.bytes(id+"") ,token.getPrincipal().toString());

2 修改配置文件
在配置文件中配置凭证匹配器配置。

[main]
md5CredentialsMatcher=org.apache.shiro.authc.credential.Md5CredentialsMatcher
md5CredentialsMatcher.hashIterations=2myrealm=com.bjsxt.shiro.MyRealm
myrealm.credentialsMatcher=$md5CredentialsMatcher
securityManager.realms=$myrealm