[[377360]]

 本文轉載自微信公眾號「程序新視界」，作者丑胖俠二師兄。轉載本文請聯系程序新視界公眾號。  

在實踐中，發現很多朋友雖然在使用Shiro，但貌似對其并不了解，甚至有的項目還在使用filter來實現權限管理，而網絡上相關教程又比較古老。因此，決定為大家更新這么一個關于Shiro的系列教程，最后會整理成冊，分享給大家。

如果你也想深入學習一下Shiro框架，那么關注一下公眾號“程序新視界”，可及時獲取最新的文章，等本系列更新完畢會也會第一時間整理成電子版文檔分享給大家。第一篇，給大家科普一些基礎概念，下面開始正文。

前言

權限管理是每個系統不可缺少的，它隸屬于系統安全的范疇，實現對用戶訪問系統的控制，按照指定的安全策略控制用戶對資源的訪問。

權限管理通常包括用戶身份認證和授權兩部分，簡稱認證授權。對于需要訪問控制的資源，需先進行用戶身份認證，認證通過后用戶具有該資源的訪問權限便可進行訪問。

針對權限管理，在Java體系中，常見的權限框架有Shiro和Spring Security，當然在一些簡單或古老的系統中可能還在用手寫的filter來進行權限的管理和控制。本文先從Shiro的功能、組件、架構等方面來帶大家了解一下Shiro框架。

Shiro簡介

Apache Shiro是一個強大且易用的Java安全框架，執行身份驗證、授權、密碼和會話管理。與之相對應的便是Spring Security，但在大多數項目中開發人員更愿意使用Shiro來管理權限。

主要原因是使用起來比較簡單，而Spring Security相對來說更重量級一些，學習曲線比較陡峭，而實際環境中也并不需要Spring Security那么多功能。所以，一般情況下，使用Shiro便足夠了。

Shiro可以快速、輕松的運用于任何應用程序中，從最小的移動應用程序到最大的網絡和企業應用程序。

Shiro能做什么

Shiro提供了以下功能：認證(Authentication)、授權(Authorization)、加密(Cryptography)、Session管理(Session Management)、Web集成(Web Support)、緩存(Caching)等。可用于保護任何應用程序：從命令行應用程序、移動應用程序到最大的Web和企業應用程序。

關于Shiro的核心功能，官方提供了下圖：

使用Shiro我們可以實現以下功能：

• 用戶認證;
• 用戶訪問控制：判斷用戶是否擁有特定的角色;判斷用戶是否可執行某個操作;
• 在任何環境下使用Session API，即使在Web或EJB容器之外的應用;
• 可在認證、訪問控制和會話期間，對事件做出響應;
• 匯總一個或多個用戶安全數據的數據源，并將其全部顯示為單個復合用戶“視圖”;
• 支持單點登錄(SSO)功能;
• 支持登錄時的“記住”功能;
• 其他應用程序;

Shiro特點

Shiro的目標是：在各類應用(從命令行到大型企業應用)中，做到不依賴其他三方框架、容器或應用程序本身的依賴，可以在任何環境中直接使用。同時它又具有以下特點：

• 易于理解的Java Security API;
• 簡單的身份認證(登錄)，支持多種數據源(LDAP，JDBC，Kerberos，ActiveDirectory 等);
• 對角色的簡單的簽權(訪問控制)，支持細粒度的簽權;
• 支持一級緩存，以提升應用程序的性能;
• 內置的基于POJO企業會話管理，適用于Web以及非Web的環境;
• 異構客戶端會話訪問;
• 非常簡單的加密 API;
• 不跟任何的框架或者容器捆綁，可以獨立運行;

Shiro各模塊功能

結合下圖，我們來細化一下Shiro各個模塊對應的功能：

Authentication：身份認證/登錄，驗證用戶是不是擁有相應的身份;

Authorization：授權，即權限驗證。驗證某個用戶是否有操作某個功能的權限。如：驗證用戶是否擁有某個角色、是否有操作某個資源的權限;

Session Management：Session管理，存儲用戶登錄信息于會話當中，支持Web環境和非Web環境;

Cryptography：加密數據，并保持易用性，比如密碼加密后存儲到數據庫;

Web Support：Web支持，可以方便的集成到Web環境;

Caching：緩存，比如用戶登錄后，對用戶信息、角色/權限進行緩存;

Concurrency：Shiro支持多線程場景下的并發驗證，即如在一個線程中開啟另一個線程，能把權限自動傳播過去;

Testing：提供測試支持;

Run As：允許一個用戶假裝為另一個用戶(如果他們允許)進行訪問;

Remember Me：記住我，登錄之后，下次可直接進入系統。

看了上面的組件是不是突然覺得Shiro在實際應用中被小看了?雖然Shiro為我們提供了這么多功能，但它并不會幫我們實現具體的用戶、權限等體系，關于用戶、角色、權限等需要自行設計，然后在Shiro中進行處理即可。

核心組件

Shiro包括三大核心組件：Subject，SecurityManager和Realms。這三個組件的關系如下圖：

Subject：主體，即“當前操作用戶”。在Shiro中Subject并不僅僅指人，是一個抽象概念，也可以是第三方進程、后臺帳戶(Daemon Account)或其他類似事物(如爬蟲、機器人等)。也就是說它僅僅意味著“當前跟軟件交互的東西”。所有Subject都綁定到SecurityManager上，SecurityManager才是實際的執行者。

SecurityManager：它是Shiro框架的核心，典型的Facade模式，Shiro通過SecurityManager來管理內部組件實例(包括所有的Subject)，并通過它來提供安全管理的各種服務。類似SpringMVC中的DispatcherServlet的作用。

Realm：域，充當了Shiro與應用安全數據間的“橋梁”或者“連接器”。也就是說，當對用戶執行認證(登錄)和授權(訪問控制)驗證時，Shiro會從應用配置的Realm中查找用戶及其權限信息。從這個意義上講，Realm本質上是一個安全相關的DAO：它封裝了數據源的連接細節，在需要時將相關數據提供給Shiro。當配置Shiro時，至少指定一個Realm，用于認證和(或)授權。

Shiro內置了可以連接大量安全數據源(又名目錄)的Realm，如LDAP、關系數據庫(JDBC)、類似INI的文本配置資源以及屬性文件等。如果默認的Realm不能滿足需求，還可以自定義Realm實現。

Shiro架構概覽

分析了上述組件，我們梳理一下Shiro使用的簡單場景：應用程序通過Subject來進行認證和授權，而Subject是委托給SecurityManager管理的。SecurityManager進行認證和授權又需要Authenticator和Realm的支持，因此需將Realm注入給SecurityManager。

那么，Shiro內部的架構又是如何呢?

上圖中，Subject、SecurityManager、Realm我們在前面已經講到過了，這里再看看其他模塊：

Authenticator：認證器，負責Subject的認證，支持自定義實現;需要認證策略(Authentication Strategy)，即認證通過的條件。

Authrizer：授權器，或者訪問控制器，用來決定主體是否有權限進行相應的操作。

SessionManager：SessionManager用于管理Session的生命周期。Shiro可用在Web環境和非Web環境，所以Shiro就抽象出一個Session來管理主體與應用之間交互的數據，這樣就可以將不同應用的Session進行集中管理，從而實現分布式會話。

SessionDAO：如果想把Session存儲到數據庫或Memcached當中，則可實現對應的SessionDAO來實現會話的CRUD。SessionDAO中可以使用Cache進行緩存，來提高性能;

CacheManager：緩存控制器，用來管理用戶、角色、權限等緩存。

Cryptography：密碼模塊，提供了常見的加解密組件。

了解了上述組件的功能，再回想一下在實踐中的應用，是不是有點豁然開朗了?

小結

看到很多朋友在使用shiro時往往是在網上找到一段代碼，然后進行簡單的修改便運用起來了，而各個組件之間什么關系，實現這個功能的原理是什么等信息卻沒有進行深入探究。這樣即便實踐了很多項目，依舊無法提升自身的技能。本篇文章從shiro的功能、架構、組件等方面進行講解，經過本篇文章的學習，想必大家已經掌握了使用Shiro的基本原理和概念，這也是為后續深入學習和實踐做好準備了。