Shiro架構原理及應用分析

shiro 介紹

• ounter(line

Shiro是apache旗下一個開源架構，它将軟體系統的安全認證相關的功能抽取出來，實作使用者身份認證，權限授權、加密、會話管理等功能，組成了一個通用的安全認證架構。
           

學習shiro原因

• 既然shiro将安全認證相關的功能抽取出來組成一個架構，使用shiro就可以非常快速的完成認證、授權等功能的開發，降低系統成本。
• shiro使用廣泛，shiro可以運作在web應用，非web應用，叢集分布式應用中越來越多的使用者開始使用shiro。
• java領域中spring security(原名Acegi)也是一個開源的權限管理架構，但是spring security依賴spring運作，而shiro就相對獨立，最主要是因為shiro使用簡單、靈活，是以現在越來越多的使用者選擇shiro。

Shiro架構

概念解釋

Subject

• Subject即主體，外部應用與subject進行互動，subject記錄了目前操作使用者，将使用者的概念了解為目前操作的主體，可能是一個通過浏覽器請求的使用者，也可能是一個運作的程式。
• Subject在shiro中是一個接口，接口中定義了很多認證授相關的方法，外部程式通過subject進行認證授，而subject是通過SecurityManager安全管理器進行認證授權

SecurityManager

• SecurityManager即安全管理器，對全部的subject進行安全管理，它是shiro的核心，負責對所有的subject進行安全管理。
• 通過SecurityManager可以完成subject的認證、授權等，實質上SecurityManager是通過Authenticator進行認證，通過Authorizer進行授權，通過SessionManager進行會話管理等。
• SecurityManager是一個接口，繼承了Authenticator, Authorizer, SessionManager這三個接口。

Authenticator

• Authenticator即認證器，對使用者身份進行認證
• Authenticator是一個接口，shiro提供ModularRealmAuthenticator實作類，通過ModularRealmAuthenticator基本上可以滿足大多數需求，也可以自定義認證器

Authorizer

Authorizer即授權器，使用者通過認證器認證通過，在通路功能時需要通過授權器判斷使用者是否有此功能的操作權限。

realm

Realm即領域，相當于datasource資料源，securityManager進行安全認證需要通過Realm擷取使用者權限資料，比如：如果使用者身份資料在資料庫那麼realm就需要從資料庫擷取使用者身份資訊。

注意：不要把realm了解成隻是從資料源取資料，在realm中還有認證授權校驗的相關的代碼。

sessionManager

sessionManager即會話管理，shiro架構定義了一套會話管理，它不依賴web容器的session，是以shiro可以使用在非web應用上，也可以将分布式應用的會話集中在一點管理，此特性可使它實作單點登入。

SessionDAO

SessionDAO即會話dao，是對session會話操作的一套接口，比如要将session存儲到資料庫，可以通過jdbc将會話存儲到資料庫。

CacheManager

CacheManager即緩存管理，将使用者權限資料存儲在緩存，這樣可以提高性能。

Cryptography

Cryptography即密碼管理，shiro提供了一套加密/解密的元件，友善開發。比如提供常用的散列、加/解密等功能。

shiro包

shiro-core是核心包必須選用，還提供了與web整合的shiro-web、與spring整合的shiro-spring、與任務排程quartz整合的shiro-quartz等

<dependency>              <groupId>org.apache.shiro</groupId>              <artifactId>shiro-core</artifactId>              <version>1.2.3</version>              </dependency>              <dependency>              <groupId>org.apache.shiro</groupId>              <artifactId>shiro-web</artifactId>              <version>1.2.3</version>              </dependency>              <dependency>              <groupId>org.apache.shiro</groupId>              <artifactId>shiro-spring</artifactId>              <version>1.2.3</version>              </dependency>              <dependency>              <groupId>org.apache.shiro</groupId>              <artifactId>shiro-ehcache</artifactId>              <version>1.2.3</version>              </dependency>              <dependency>              <groupId>org.apache.shiro</groupId>              <artifactId>shiro-quartz</artifactId>              <version>1.2.3</version>              </dependency>
           

也可以通過引入shiro-all包括shiro所有的包：

• ounter(line
• ounter(line
• ounter(line
• ounter(line
• ounter(line

<dependency>              <groupId>org.apache.shiro</groupId>              <artifactId>shiro-all</artifactId>              <version>1.2.3</version>              </dependency>
           

代碼刨析

刨析背景管理經典架構Jeesite 使用Shiro的過程及原理分析              Jeesite架構源碼都可以下載下傳得到 有springboot版本 也有springcloud版本              http://jeesite.com/              刨析原則：              1、先刨析代碼的每一個部分              2、再把所有的部分串聯起來 組成一整條鍊 進而對shiro原理了解的更加透徹
           

ShiroConfig類

• ounter(lin

  1、建立一個 FilterRegistrationBean<Filter> 對象 ，該對象相當于一個list<String>集合 裡面的每一個元素都是一道地鐵安檢門 門口又一個小姐姐 見到笑容滿面過來的你 說：來者何人？讓我來檢查下你是否安全，能否進入地鐵

  2、從ShiroFilterFactoryBean工廠中擷取所有的shirofilter過濾器

  3、規定對哪些”人“（url）進行“安檢” 途中是對所有的路徑都進行安檢

• ounter(line

這是定義了一個内部系統通路過濾器 具體内部邏輯我們待會再看
           

• ounter(line

這是定義了一個cas過濾器 并将給該過濾器指定了一個安全認證實作類 具體内部邏輯我們待會再看
           

• ounter(line

這是一個表單登陸過濾器 并将指定了相應的安全認證實作類
           

• ounter(line

這是一個登出過濾器 并指定了安全認證實作類
           

• ounter(line

這是一個字元串權限過濾器 
           

• ounter(line

角色權限過濾器
           

• ounter(line

使用者權限過濾器
           

這是一個 shiro過濾器工廠              1、給該過濾器工廠設定安全管理者              2、設定登陸路徑              3、設定登陸成功通路路徑              4、把上面介紹的所有的過濾器都配置起來并設定過濾器辨別              5、設定過濾鍊定義 在配置檔案中配置的 具體看下           

• ounter(line
• ounter(line
• ounter(line
• ounter(line
• ounter(line
• ounter(line

比如               /validCode = anon 表示 通路validCode接口 不做校驗               ${adminPath}/file/** = user 表示 通路/file/** 的所有接口 走 user辨別的過濾器               ${adminPath}/cms/* = perms[cms:view] 這個表示 通路  /cms/* 的所有接口 必須具備 cms:view 權限标示
           

• ounter(line

給安全認證實作類AuthorizingRealm 設定 sessionDao
           

• ounter(line

單點登陸時 退出時使用
           

• ounter(line
• ounter(line
• ounter(line

安全認證實作類 CasAuthorizingRealm              設定 sessionDao、cas登出處理類、cas服務位址、cas服務回調位址
           

• ounter(line
• ounter(line
• ounter(line
• ounter(line
• ounter(line
• ounter(line
• ounter(line

定義shiro安全管理配置              1、建立 WebSecurityManager 對象 并做以下配置              2、将2個安全認證類增加到realm集合中               3、定義自定義session監聽事件              4、配置sessionManager、cacheManager              5、設定支援cas的subject工廠
           

• ounter(line

shiro生命周期處理器 實作初始化和銷毀回調
           

• ounter(line

過濾器代理配置
           

• ounter(line

啟用注解方式aop攔截方法級權限檢查
           

将上面所有的類串聯起來

UserFilter 刨析

• ounter(line

繼承自shiro包中的UserFilter
           

權限字元串過濾器 PermissionsAuthorizationFilter 刨析

• ounter(line

繼承自shiro包中的PermissionsAuthorizationFilter
           

• ounter(line

知識點：Ajax預設是不支援重定向的，隻局部重新整理資料，不跳轉頁面
           

LogoutFilter 登出過濾器 源碼刨析

• ounter(line

繼承了 LogoutFilter
           

• ounter(line

擷取重定向路徑
           

InnerFilter 内部系統通路過濾器

• ounter(line

繼承了 shiro的 AccessControlFilter
           

FormAuthenticationFilter 表單驗證 包含驗證碼 過濾器

• ounter(line

繼承 shiro包中的 FormAuthenticationFilter
           

CasAuthenticationFilter cas過濾器

• ounter(line

繼承 CasFilter
           

AuthorizingRealm 安全認證類

CasAuthorizingRealm cas安全認證類

‘

單點登陸