Shiro框架原理及應用分析

shiro 介紹

ounter(line

Shiro是apache旗下一個開源框架，它將軟件系統的安全認證相關的功能抽取出來，實現用戶身份認證，權限授權、加密、會話管理等功能，組成了一個通用的安全認證框架。

學習shiro原因

既然shiro將安全認證相關的功能抽取出來組成一個框架，使用shiro就可以非常快速的完成認證、授權等功能的開發，降低系統成本。
shiro使用廣泛，shiro可以運行在web應用，非web應用，集羣分佈式應用中越來越多的用戶開始使用shiro。
java領域中spring security(原名Acegi)也是一個開源的權限管理框架，但是spring security依賴spring運行，而shiro就相對獨立，最主要是因爲shiro使用簡單、靈活，所以現在越來越多的用戶選擇shiro。

Shiro架構

概念解釋

Subject

Subject即主體，外部應用與subject進行交互，subject記錄了當前操作用戶，將用戶的概念理解爲當前操作的主體，可能是一個通過瀏覽器請求的用戶，也可能是一個運行的程序。
Subject在shiro中是一個接口，接口中定義了很多認證授相關的方法，外部程序通過subject進行認證授，而subject是通過SecurityManager安全管理器進行認證授權

SecurityManager

SecurityManager即安全管理器，對全部的subject進行安全管理，它是shiro的核心，負責對所有的subject進行安全管理。
通過SecurityManager可以完成subject的認證、授權等，實質上SecurityManager是通過Authenticator進行認證，通過Authorizer進行授權，通過SessionManager進行會話管理等。
SecurityManager是一個接口，繼承了Authenticator, Authorizer, SessionManager這三個接口。

Authenticator

Authenticator即認證器，對用戶身份進行認證
Authenticator是一個接口，shiro提供ModularRealmAuthenticator實現類，通過ModularRealmAuthenticator基本上可以滿足大多數需求，也可以自定義認證器

Authorizer

Authorizer即授權器，用戶通過認證器認證通過，在訪問功能時需要通過授權器判斷用戶是否有此功能的操作權限。

realm

Realm即領域，相當於datasource數據源，securityManager進行安全認證需要通過Realm獲取用戶權限數據，比如：如果用戶身份數據在數據庫那麼realm就需要從數據庫獲取用戶身份信息。

注意：不要把realm理解成只是從數據源取數據，在realm中還有認證授權校驗的相關的代碼。

sessionManager

sessionManager即會話管理，shiro框架定義了一套會話管理，它不依賴web容器的session，所以shiro可以使用在非web應用上，也可以將分佈式應用的會話集中在一點管理，此特性可使它實現單點登錄。

SessionDAO

SessionDAO即會話dao，是對session會話操作的一套接口，比如要將session存儲到數據庫，可以通過jdbc將會話存儲到數據庫。

CacheManager

CacheManager即緩存管理，將用戶權限數據存儲在緩存，這樣可以提高性能。

Cryptography

Cryptography即密碼管理，shiro提供了一套加密/解密的組件，方便開發。比如提供常用的散列、加/解密等功能。

shiro包

shiro-core是核心包必須選用，還提供了與web整合的shiro-web、與spring整合的shiro-spring、與任務調度quartz整合的shiro-quartz等

<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-core</artifactId><version>1.2.3</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-web</artifactId><version>1.2.3</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring</artifactId><version>1.2.3</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-ehcache</artifactId><version>1.2.3</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-quartz</artifactId><version>1.2.3</version></dependency>

也可以通過引入shiro-all包括shiro所有的包：

ounter(line
ounter(line
ounter(line
ounter(line
ounter(line

<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-all</artifactId><version>1.2.3</version></dependency>

代碼刨析

刨析後臺管理經典框架Jeesite 使用Shiro的過程及原理分析
Jeesite框架源碼都可以下載得到 有springboot版本 也有springcloud版本
http://jeesite.com/
刨析原則：
1、先刨析代碼的每一個部分
2、再把所有的部分串聯起來 組成一整條鏈 進而對shiro原理理解的更加透徹

ShiroConfig類

ounter(lin1、創建一個 FilterRegistrationBean<Filter> 對象，該對象相當於一個list<String>集合裏面的每一個元素都是一道地鐵安檢門門口又一個小姐姐見到笑容滿面過來的你說：來者何人？讓我來檢查下你是否安全，能否進入地鐵 2、從ShiroFilterFactoryBean工廠中獲取所有的shirofilter過濾器 3、規定對哪些”人“（url）進行“安檢” 途中是對所有的路徑都進行安檢

ounter(line

這是定義了一個內部系統訪問過濾器 具體內部邏輯我們待會再看

ounter(line

這是定義了一個cas過濾器 並將給該過濾器指定了一個安全認證實現類 具體內部邏輯我們待會再看

ounter(line

這是一個表單登陸過濾器 並將指定了相應的安全認證實現類

ounter(line

這是一個登出過濾器 並指定了安全認證實現類

ounter(line

這是一個字符串權限過濾器

ounter(line

角色權限過濾器

ounter(line

用戶權限過濾器

這是一個 shiro過濾器工廠
1、給該過濾器工廠設置安全管理員2、設置登陸路徑3、設置登陸成功訪問路徑4、把上面介紹的所有的過濾器都配置起來並設置過濾器標識5、設置過濾鏈定義 在配置文件中配置的 具體看下

ounter(line
ounter(line
ounter(line
ounter(line
ounter(line
ounter(line

比如 /validCode = anon 表示 訪問validCode接口 不做校驗 
${adminPath}/file/** = user 表示 訪問/file/** 的所有接口 走 user標識的過濾器 
${adminPath}/cms/* = perms[cms:view] 這個表示 訪問  /cms/* 的所有接口 必須具備 cms:view 權限標示

ounter(line

給安全認證實現類AuthorizingRealm 設置 sessionDao

ounter(line

單點登陸時 退出時使用

ounter(line
ounter(line
ounter(line

安全認證實現類 CasAuthorizingRealm
設置 sessionDao、cas登出處理類、cas服務地址、cas服務回調地址

ounter(line
ounter(line
ounter(line
ounter(line
ounter(line
ounter(line
ounter(line

定義shiro安全管理配置
1、創建 WebSecurityManager 對象 並做以下配置2、將2個安全認證類增加到realm集合中 3、定義自定義session監聽事件4、配置sessionManager、cacheManager5、設置支持cas的subject工廠

ounter(line

shiro生命週期處理器 實現初始化和銷燬回調

ounter(line

過濾器代理配置

ounter(line

啓用註解方式aop攔截方法級權限檢查

將上面所有的類串聯起來

UserFilter 刨析

ounter(line

繼承自shiro包中的UserFilter

權限字符串過濾器 PermissionsAuthorizationFilter 刨析

ounter(line

繼承自shiro包中的PermissionsAuthorizationFilter

ounter(line

知識點：Ajax默認是不支持重定向的，只局部刷新數據，不跳轉頁面

LogoutFilter 登出過濾器源碼刨析

ounter(line

繼承了 LogoutFilter

ounter(line

獲取重定向路徑

InnerFilter 內部系統訪問過濾器

ounter(line

繼承了 shiro的 AccessControlFilter

FormAuthenticationFilter 表單驗證包含驗證碼過濾器

ounter(line

  繼承 shiro包中的 FormAuthenticationFilter

CasAuthenticationFilter cas過濾器

ounter(line

繼承 CasFilter

AuthorizingRealm 安全認證類

CasAuthorizingRealm cas安全認證類

‘

Shiro框架原理及應用分析

shiro 介紹

學習shiro原因

Shiro架構

概念解釋

shiro包

代碼刨析

將上面所有的類串聯起來

UserFilter 刨析

權限字符串過濾器 PermissionsAuthorizationFilter 刨析

LogoutFilter 登出過濾器源碼刨析

InnerFilter 內部系統訪問過濾器

FormAuthenticationFilter 表單驗證包含驗證碼過濾器

CasAuthenticationFilter cas過濾器

AuthorizingRealm 安全認證類

CasAuthorizingRealm cas安全認證類

單點登陸

認知提升的方法

螞蟻面試：Springcloud核心組件的底層原理，你知道多少？

C#開源的兩款功能強大的錄屏神器

Jenkins環境搭建和部署項目的過程

Semaphore 原理簡介和使用

同步工具類CyclicBarrier原理及使用

【教你如何放大招】程序猿是如何一點點的喫下一個產品的

AQS原理簡介

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結

Shiro框架原理及應用分析

shiro 介紹

學習shiro原因

Shiro架構

概念解釋

shiro包

代碼刨析

將上面所有的類串聯起來

UserFilter 刨析

權限字符串過濾器 PermissionsAuthorizationFilter 刨析

LogoutFilter 登出過濾器 源碼刨析

InnerFilter 內部系統訪問過濾器

FormAuthenticationFilter 表單驗證 包含驗證碼 過濾器

CasAuthenticationFilter cas過濾器

AuthorizingRealm 安全認證類

CasAuthorizingRealm cas安全認證類

單點登陸

LogoutFilter 登出過濾器源碼刨析

FormAuthenticationFilter 表單驗證包含驗證碼過濾器