Shiro 基礎教程

原文地址：Shiro 基礎教程
博客地址：http://www.extlight.com

一、前言

Apache Shiro 是 Java 的一個安全框架。功能強大，使用簡單的Java安全框架，它為開發人員提供一個直觀而全面的認證，授權，加密及會話管理的解決方案。

二、介紹

2.1 功能特點

Shiro 包含 10 個內容，如下圖：

1. Authentication：身份認證/登錄，驗證用戶是不是擁有相應的身份。

2. Authorization：授權，即權限驗證，驗證某個已認證的用戶是否擁有某個權限；即判斷用戶是否能做事情，常見的如：驗證某個用戶是否擁有某個角色。或者細粒度的驗證某個用戶對某個資源是否具有某個權限。

3. Session Manager：會話管理，即用戶登錄后就是一次會話，在沒有退出之前，它的所有信息都在會話中；會話可以是普通 JavaSE 環境的，也可以是如 Web 環境的。

4. Cryptography：加密，保護數據的安全性，如密碼加密存儲到數據庫，而不是明文存儲。

5. Web Support：Web支持，可以非常容易的集成到 web 環境。

6. Caching：緩存，比如用戶登錄后，其用戶信息、擁有的角色/權限不必每次去查，這樣可以提高效率。

7. Concurrency：shiro 支持多線程應用的並發驗證，即如在一個線程中開啟另一個線程，能把權限自動傳播過去。

8. Testing：提供測試支持。

9. Run As：允許一個用戶假裝為另一個用戶（如果他們允許）的身份進行訪問。

10. Remember Me：記住我，這個是非常常見的功能，即一次登錄后，下次再來的話不用登錄了。

2.2 運行原理

Shiro 運行原理圖1（應用程序角度）如下：

1. Subject：主體，代表了當前“用戶”。這個用戶不一定是一個具體的人，與當前應用交互的任何東西都是 Subject，如網絡爬蟲，機器人等。所有 Subject 都綁定到 SecurityManager，與 Subject 的所有交互都會委托給 SecurityManager。我們可以把 Subject 認為是一個門面，SecurityManager 才是實際的執行者。

2. SecurityManager：安全管理器。即所有與安全有關的操作都會與 SecurityManager 交互，且它管理着所有 Subject。可以看出它是 Shiro 的核心，它負責與后邊介紹的其他組件進行交互，如果學習過 SpringMVC，我們可以把它看成 DispatcherServlet 前端控制器。

3. Realm：域。Shiro 從 Realm 獲取安全數據（如用戶、角色、權限），就是說 SecurityManager 要驗證用戶身份，那么它需要從 Realm 獲取相應的用戶進行比較以確定用戶身份是否合法，也需要從 Realm 得到用戶相應的角色/權限進行驗證用戶是否能進行操作。我們可以把 Realm 看成 DataSource，即安全數據源。

Shiro 運行原理圖2（Shiro 內部架構角度）如下：

1. Subject：主體，可以看到主體可以是任何與應用交互的“用戶”。

2. SecurityManager：相當於 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher。它是 Shiro 的核心，所有具體的交互都通過 SecurityManager 進行控制。它管理着所有 Subject、且負責進行認證和授權、及會話、緩存的管理。

3. Authenticator：認證器，負責主體認證的，這是一個擴展點，如果用戶覺得 Shiro 默認的不好，我們可以自定義實現。其需要認證策略（Authentication Strategy），即什么情況下算用戶認證通過了。

4. Authrizer：授權器，或者訪問控制器。它用來決定主體是否有權限進行相應的操作，即控制着用戶能訪問應用中的哪些功能。

5. Realm：可以有1個或多個 Realm，可以認為是安全實體數據源，即用於獲取安全實體的。它可以是 JDBC 實現，也可以是 LDAP 實現，或者內存實現等。

6. SessionManager：如果寫過 Servlet 就應該知道 Session 的概念，Session 需要有人去管理它的生命周期，這個組件就是 SessionManager。而 Shiro 並不僅僅可以用在 Web 環境，也可以用在如普通的 JavaSE 環境。

7. SessionDAO：DAO 大家都用過，數據訪問對象，用於會話的 CRUD。我們可以自定義 SessionDAO 的實現，控制 session 存儲的位置。如通過 JDBC 寫到數據庫或通過 jedis 寫入 redis 中。另外 SessionDAO 中可以使用 Cache 進行緩存，以提高性能。

8. CacheManager：緩存管理器。它來管理如用戶、角色、權限等的緩存的。因為這些數據基本上很少去改變，放到緩存中后可以提高訪問的性能。

9. Cryptography：密碼模塊，Shiro 提高了一些常見的加密組件用於如密碼加密/解密的。

2.3 過濾器

當 Shiro 被運用到 web 項目時，Shiro 會自動創建一些默認的過濾器對客戶端請求進行過濾。以下是 Shiro 提供的過濾器：

過濾器簡稱	對應的 Java 類
anon	org.apache.shiro.web.filter.authc.AnonymousFilter
authc	org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic	org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
perms	org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port	org.apache.shiro.web.filter.authz.PortFilter
rest	org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles	org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl	org.apache.shiro.web.filter.authz.SslFilter
user	org.apache.shiro.web.filter.authc.UserFilter
logout	org.apache.shiro.web.filter.authc.LogoutFilter
noSessionCreation	org.apache.shiro.web.filter.session.NoSessionCreationFilter

解釋：

/admins/**=anon               # 表示該 uri 可以匿名訪問
/admins/**=auth               # 表示該 uri 需要認證才能訪問
/admins/**=authcBasic         # 表示該 uri 需要 httpBasic 認證
/admins/**=perms[user:add:*]  # 表示該 uri 需要認證用戶擁有 user:add:* 權限才能訪問
/admins/**=port[8081]         # 表示該 uri 需要使用 8081 端口
/admins/**=rest[user]         # 相當於 /admins/**=perms[user:method]，其中，method 表示  get、post、delete 等
/admins/**=roles[admin]       # 表示該 uri 需要認證用戶擁有 admin 角色才能訪問
/admins/**=ssl                # 表示該 uri 需要使用 https 協議
/admins/**=user               # 表示該 uri 需要認證或通過記住我認證才能訪問
/logout=logout                # 表示注銷,可以當作固定配置

注意：

anon，authcBasic，auchc，user 是認證過濾器。

perms，roles，ssl，rest，port 是授權過濾器。

三、基礎入門

3.1 添加依賴

<dependency>
    <groupId>commons-logging</groupId>
    <artifactId>commons-logging</artifactId>
    <version>1.1.3</version>
</dependency>

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.4.0</version>
</dependency>

3.2 配置文件

在 src/main/resources 目錄下創建名為 shiro.ini 的配置文件，內容如下：

[users]
# admin=admin 分別表示賬號和密碼，administrator 表示逗號前邊的賬號擁有 administrator 這個角色。
admin=admin,administrator
zhangsan=zhangsan,manager
lisi=lisi,guest

[roles]
# administrator 表示角色名稱，* 表示這個角色擁有所有權限
administrator=*
manager=user:*,department:*
guest=user:query,department:query

其中，每個用戶可以擁有多個角色，通過逗號分隔。每個角色可以擁有多個權限，同樣通過逗號分隔。

3.3 編碼

public class ShiroTest {

    @Test
    public void test() {

        // 讀取 shiro.ini 文件內容
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

        Subject currentUser = SecurityUtils.getSubject();

        Session session = currentUser.getSession();
        session.setAttribute("someKey", "aValue");
        String value = (String) session.getAttribute("someKey");
        if (value.equals("aValue")) {
            System.out.println("someKey 的值：" + value);
        }

        // 登陸
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "zhangsan");
        token.setRememberMe(true);
        try {
            currentUser.login(token);
        } catch (UnknownAccountException uae) {
            System.out.println("用戶名不存在:" + token.getPrincipal());
        } catch (IncorrectCredentialsException ice) {
            System.out.println("賬戶密碼 " + token.getPrincipal()  + " 不正確!");
        } catch (LockedAccountException lae) {
            System.out.println("用戶名 " + token.getPrincipal() + " 被鎖定 !");
        }
        
        // 認證成功后
        if (currentUser.isAuthenticated()) {
            
            System.out.println("用戶 " + currentUser.getPrincipal() + " 登陸成功！");
            
            //測試角色
            System.out.println("是否擁有 manager 角色：" + currentUser.hasRole("manager"));
            
            //測試權限
            System.out.println("是否擁有 user:create 權限" + currentUser.isPermitted("user:create"));
            
            //退出
            currentUser.logout();
        }

    }
}

打印結果：

someKey 的值：aValue
用戶 zhangsan 登陸成功！
是否擁有 manager 角色：true
是否擁有 user:create 權限true

在項目的后端代碼中，我們可以通過 Subject 對象檢測出當前登錄用戶的認證狀態和授權信息，以下是 Subject 對象認證和授權相關的方法列表：

如果開發者不想使用代碼進行用戶進行授權校驗等操作，那么可以使用注解代替。

在使用 Shiro 的注解之前，請確保項目中已經添加支持 AOP 功能的相關 jar 包。常用注解如下：

@RequiresRoles( "manager" )      # 角色校驗
public String save() {
    //...
}
@RequiresPermissions("user:manage")  # 權限檢驗
public String delete() {
    //...
}

當客戶端發送請求后，系統會使用 AOP 生成請求目標的代理類來解析注解，然后判斷當前請求的用戶是否擁有權限訪問。

在項目的前端代碼中，如果使用的是 JSP 模板，我們就可以使用 Shiro 提供的標簽對頁面元素的展示進行控制。

例如：

<%@ taglib prefix="shiro" uri=http://shiro.apache.org/tags %>
<html>
<body>
    <shiro:hasPermission name="user:manage">
        <a href="manageUsers.jsp">
            點擊進入管理界面
        </a>
    </shiro:hasPermission>
    <shiro:lacksPermission name="user:manage">
        沒有管理權限
    </shiro:lacksPermission>
</body>
</html>

其中，user:manage 對應 shiro.ini 文件中[roles]下邊的設置。

四、自定義 Realm

上邊的程序使用的是 Shiro 自帶的 IniRealm，而 IniRealm 從 ini 配置文件中讀取用戶的信息，大部分情況下需要從系統的數據庫中讀取用戶信息，所以需要自定義 realm。

Shiro 為我們提供了如下 Realm:

其中，最基礎的是 Realm 接口，CachingRealm 負責緩存處理，AuthenticationRealm 負責認證，AuthorizingRealm負責授權，通常自定義的 realm 繼承 AuthorizingRealm。

自定義 Realm：

public class CustomRealm extends AuthorizingRealm {

    /**
     * 認證
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 從 token 中獲取用戶身份信息
        String username = (String) token.getPrincipal();
        // 通過 username 從數據庫中查詢
    
        // 如果查詢不到則返回 null
        if(!username.equals("zhangsan")){//這里模擬查詢不到
            return null;
        }
        
        //獲取從數據庫查詢出來的用戶密碼 
        String dbPassword = "zhangsan";//這里使用靜態數據模擬
        
        //返回認證信息由父類 AuthenticatingRealm 進行認證
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, dbPassword, getName());

        return simpleAuthenticationInfo;
    }
    
    /**
     * 授權
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // 獲取身份信息
        String username = (String) principals.getPrimaryPrincipal();
        // 根據身份信息從數據庫中查詢權限數據
        // 這里使用靜態數據模擬
        List<String> permissions = new ArrayList<String>();
        permissions.add("user:*");
        permissions.add("department:*");
        
        // 將權限信息封閉為AuthorizationInfo
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        // 模擬數據，添加 manager 角色
        simpleAuthorizationInfo.addRole("manager");
        
        for(String permission:permissions){
            simpleAuthorizationInfo.addStringPermission(permission);
        }
        
        return simpleAuthorizationInfo;
    }

}

在 src/main/resources 目錄下創建 shiro-realm.ini 文件，內容如下：

[main]
#自定義 realm
customRealm=com.light.shiroTest.realm.CustomRealm
#將realm設置到securityManager
securityManager.realms=$customRealm

將測試類中，shiro.ini 改成 shiro-realm.ini 后執行，結果如下：

someKey 的值：aValue
用戶 zhangsan 登陸成功！
是否擁有 manager 角色：true
是否擁有 user:create 權限true

五、與 Spring 整合

由於項目設計思路不同，整合 Shiro 框架時的設置也會有所不同，因此下邊只列出部分通用的代碼。

5.1 添加依賴

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.4.0</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>

5.2 配置文件

web.xml ：

<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>

<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

application-shiro.xml：

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <!-- 必須設置 -->
    <property name="securityManager" ref="securityManager"/>
    <!-- 3 個 url 屬性為可選設置 -->
    <property name="loginUrl" value="/login.jsp"/>
    <property name="successUrl" value="/home.jsp"/>
    <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
    <property name="filterChainDefinitions">
        <value>
            <!-- 對靜態資源設置匿名訪問 -->
            /resources/** = anon
            /login = anon
            <!-- /** = authc 所有url都必須認證通過才可以訪問-->
            /** = authc
        </value>
    </property>
</bean>

<!-- 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="customRealm" />
</bean>

<!-- 自定義 realm -->
<bean id="customRealm" class="com.light.ac.web.realm.CustomRealm"></bean>

<!-- 保證實現了Shiro內部lifecycle函數的bean執行 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

其中，application-shiro.xml 中的 shiroFilter 名字和 web.xml 文件中的 shiroFilter是對應的，必須一致。

anon 和 authc 對應上文提到的過濾器。

CustomRealm 類：

public class CustomRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;
    
    @Autowired
    private PermissionService permissionService;
    
    /**
     * 認證
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 獲取用戶名
        String userName = (String) token.getPrincipal();
        // 通過用戶名獲取用戶對象
        User user = this.userService.findUserByUserName(userName);
        
        if (user == null) {
            return null;
        }
        
        // 通過 userId 獲取該用戶擁有的所有權限，返回值根據自己需求編寫，並非固定值。
        Map<String,List<Permission>> permissionMap = this.permissionService.getPermissionMapByUserId(user.getId());
        
        // （目錄+菜單，分層級，用於前端 jsp 遍歷）
        user.setMenuList(permissionMap.get("menuList"));
        // （目錄+菜單+按鈕，用於后端權限判斷）
        user.setPermissionList(permissionMap.get("permissionList"));
        
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
        
        return info;
    }
    
    /**
     * 授權
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        User user = (User) principals.getPrimaryPrincipal();
        
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        
        // （目錄+菜單+按鈕，用於后端權限判斷）
        List<Permission> permissionList = user.getPermissionList();
        
        for (Permission permission : permissionList) {
            if (StringUtil.isNotEmpty(permission.getCode())) {
                info.addStringPermission(permission.getCode());
            }
        }
        
        return info;
    }
}

具體代碼可以根據下文提供的源碼地址進行下載查看。

六、源碼下載

authority-control-shiro

七、參考資料

• http://shiro.apache.org/documentation.html 官方文檔