shiro 介紹
- ounter(line
Shiro是apache旗下一個開源框架,它將軟件系統的安全認證相關的功能抽取出來,實現用戶身份認證,權限授權、加密、會話管理等功能,組成了一個通用的安全認證框架。
學習shiro原因
-
既然shiro將安全認證相關的功能抽取出來組成一個框架,使用shiro就可以非常快速的完成認證、授權等功能的開發,降低系統成本。
-
shiro使用廣泛,shiro可以運行在web應用,非web應用,集羣分佈式應用中越來越多的用戶開始使用shiro。
-
java領域中spring security(原名Acegi)也是一個開源的權限管理框架,但是spring security依賴spring運行,而shiro就相對獨立,最主要是因爲shiro使用簡單、靈活,所以現在越來越多的用戶選擇shiro。
Shiro架構
概念解釋
Subject
-
Subject即主體,外部應用與subject進行交互,subject記錄了當前操作用戶,將用戶的概念理解爲當前操作的主體,可能是一個通過瀏覽器請求的用戶,也可能是一個運行的程序。
-
Subject在shiro中是一個接口,接口中定義了很多認證授相關的方法,外部程序通過subject進行認證授,而subject是通過SecurityManager安全管理器進行認證授權
SecurityManager
-
SecurityManager即安全管理器,對全部的subject進行安全管理,它是shiro的核心,負責對所有的subject進行安全管理。
-
通過SecurityManager可以完成subject的認證、授權等,實質上SecurityManager是通過Authenticator進行認證,通過Authorizer進行授權,通過SessionManager進行會話管理等。
-
SecurityManager是一個接口,繼承了Authenticator, Authorizer, SessionManager這三個接口。
Authenticator
-
Authenticator即認證器,對用戶身份進行認證
-
Authenticator是一個接口,shiro提供ModularRealmAuthenticator實現類,通過ModularRealmAuthenticator基本上可以滿足大多數需求,也可以自定義認證器
Authorizer
Authorizer即授權器,用戶通過認證器認證通過,在訪問功能時需要通過授權器判斷用戶是否有此功能的操作權限。
realm
Realm即領域,相當於datasource數據源,securityManager進行安全認證需要通過Realm獲取用戶權限數據,比如:如果用戶身份數據在數據庫那麼realm就需要從數據庫獲取用戶身份信息。
注意:不要把realm理解成只是從數據源取數據,在realm中還有認證授權校驗的相關的代碼。
sessionManager
sessionManager即會話管理,shiro框架定義了一套會話管理,它不依賴web容器的session,所以shiro可以使用在非web應用上,也可以將分佈式應用的會話集中在一點管理,此特性可使它實現單點登錄。
SessionDAO
SessionDAO即會話dao,是對session會話操作的一套接口,比如要將session存儲到數據庫,可以通過jdbc將會話存儲到數據庫。
CacheManager
CacheManager即緩存管理,將用戶權限數據存儲在緩存,這樣可以提高性能。
Cryptography
Cryptography即密碼管理,shiro提供了一套加密/解密的組件,方便開發。比如提供常用的散列、加/解密等功能。
shiro包
shiro-core是核心包必須選用,還提供了與web整合的shiro-web、與spring整合的shiro-spring、與任務調度quartz整合的shiro-quartz等
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-ehcache</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-quartz</artifactId>
<version>1.2.3</version>
</dependency>
也可以通過引入shiro-all包括shiro所有的包:
- ounter(line
- ounter(line
- ounter(line
- ounter(line
- ounter(line
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.2.3</version>
</dependency>
代碼刨析
刨析後臺管理經典框架Jeesite 使用Shiro的過程及原理分析
Jeesite框架源碼都可以下載得到 有springboot版本 也有springcloud版本
http://jeesite.com/
刨析原則:
1、先刨析代碼的每一個部分
2、再把所有的部分串聯起來 組成一整條鏈 進而對shiro原理理解的更加透徹
ShiroConfig類
- ounter(lin
1、創建一個 FilterRegistrationBean<Filter> 對象 ,該對象相當於一個list<String>集合 裏面的每一個元素都是一道地鐵安檢門 門口又一個小姐姐 見到笑容滿面過來的你 說:來者何人?讓我來檢查下你是否安全,能否進入地鐵
2、從ShiroFilterFactoryBean工廠中獲取所有的shirofilter過濾器
3、規定對哪些”人“(url)進行“安檢” 途中是對所有的路徑都進行安檢
- ounter(line
這是定義了一個內部系統訪問過濾器 具體內部邏輯我們待會再看
- ounter(line
這是定義了一個cas過濾器 並將給該過濾器指定了一個安全認證實現類 具體內部邏輯我們待會再看
- ounter(line
這是一個表單登陸過濾器 並將指定了相應的安全認證實現類
- ounter(line
這是一個登出過濾器 並指定了安全認證實現類
- ounter(line
這是一個字符串權限過濾器
- ounter(line
角色權限過濾器
- ounter(line
用戶權限過濾器
這是一個 shiro過濾器工廠
1、給該過濾器工廠設置安全管理員
2、設置登陸路徑
3、設置登陸成功訪問路徑
4、把上面介紹的所有的過濾器都配置起來並設置過濾器標識
5、設置過濾鏈定義 在配置文件中配置的 具體看下
- ounter(line
- ounter(line
- ounter(line
- ounter(line
- ounter(line
- ounter(line
比如
/validCode = anon 表示 訪問validCode接口 不做校驗
${adminPath}/file/** = user 表示 訪問/file/** 的所有接口 走 user標識的過濾器
${adminPath}/cms/* = perms[cms:view] 這個表示 訪問 /cms/* 的所有接口 必須具備 cms:view 權限標示
- ounter(line
給安全認證實現類AuthorizingRealm 設置 sessionDao
- ounter(line
單點登陸時 退出時使用
- ounter(line
- ounter(line
- ounter(line
安全認證實現類 CasAuthorizingRealm
設置 sessionDao、cas登出處理類、cas服務地址、cas服務回調地址
- ounter(line
- ounter(line
- ounter(line
- ounter(line
- ounter(line
- ounter(line
- ounter(line
定義shiro安全管理配置
1、創建 WebSecurityManager 對象 並做以下配置
2、將2個安全認證類增加到realm集合中
3、定義自定義session監聽事件
4、配置sessionManager、cacheManager
5、設置支持cas的subject工廠
- ounter(line
shiro生命週期處理器 實現初始化和銷燬回調
- ounter(line
過濾器代理配置
- ounter(line
啓用註解方式aop攔截方法級權限檢查
將上面所有的類串聯起來
UserFilter 刨析
- ounter(line
繼承自shiro包中的UserFilter
權限字符串過濾器 PermissionsAuthorizationFilter 刨析
- ounter(line
繼承自shiro包中的PermissionsAuthorizationFilter
- ounter(line
知識點:Ajax默認是不支持重定向的,只局部刷新數據,不跳轉頁面
LogoutFilter 登出過濾器 源碼刨析
- ounter(line
繼承了 LogoutFilter
- ounter(line
獲取重定向路徑
InnerFilter 內部系統訪問過濾器
- ounter(line
繼承了 shiro的 AccessControlFilter
FormAuthenticationFilter 表單驗證 包含驗證碼 過濾器
- ounter(line
繼承 shiro包中的 FormAuthenticationFilter
CasAuthenticationFilter cas過濾器
- ounter(line
繼承 CasFilter
AuthorizingRealm 安全認證類
CasAuthorizingRealm cas安全認證類
‘