Shiro框架原理解析

1.什么是shiro

shiro是apache公司下一款优秀的Java安全认证框架，它强大且容易使用，它支持身份验证、授权、密码和会话管理功能，与shiro有着同样功能的框架是Spring Security，对比Spring Security来看，shiro用起来简单且可以脱离Spring使用，但是Spring Security不能够脱离Spring去使用，shiro属于一种轻量级的框架，所以许多公司都在使用shiro。

2.框架原理图及名词解释

名词解释

subject：主体，可以是用户也可以是程序，主体要访问系统，系统需要对主体进行认证、授权。

securityManager：安全管理器，主体进行认证和授权都是通过securityManager进行。它包含下面的认证器和授权器。

authenticator：认证器，主体进行认证最终通过authenticator进行的。

authorizer：授权器，主体进行授权最终通过authorizer进行的。

sessionManager：web应用中一般是用web容器对session进行管理，shiro也提供一套session管理的方式。可以实现单点登录。

SessionDao：通过SessionDao管理session数据，针对个性化的session数据存储需要使用sessionDao。

cache Manager：缓存管理器，主要对session和授权数据进行缓存，比如将授权数据通过cacheManager进行缓存管理，和ehcache整合对缓存数据进行管理。

realm：域，领域，相当于数据源，通过realm存取认证、授权相关数据。（它的主要目的是与数据库打交道，查询数据库中的认证的信息（比如用户名和密码），查询授权的信息（比如权限的code等，所以这里可以理解为调用数据库查询一系列的信息，一般情况下在项目中采用自定义的realm，因为不同的业务需求不一样））

注意：在realm中存储授权和认证的逻辑。

cryptography：密码管理，提供了一套加密/解密的组件，方便开发。比如提供常用的散列、加/解密等功能，比如md5散列算法。

认证原理图

认证流程

subject(主体)请求认证，调用subject.login(token)

SecurityManager(安全管理器)执行认证

SecurityManager通过ModularRealmAuthenticator进行认证。

ModularRealmAuthenticator将token传给realm，realm根据token中用户信息从数据库查询用户信息（包括身份和凭证），realm如果查询不到用户给ModularRealmAuthenticator返回null，ModularRealmAuthenticator抛出异常（用户不存在），realm如果查询到用户给ModularRealmAuthenticator返回AuthenticationInfo(认证信息)，ModularRealmAuthenticator拿着AuthenticationInfo(认证信息)去进行凭证（密码）比对。如果一致则认证通过，如果不致抛出异常（凭证错误）。

授权原理图

授权流程

对subject进行授权，调用方法isPermitted("")或者hasRole("")

SecurityManager执行授权，通过ModularRealmAuthorizer执行授权

ModularRealmAuthorizer执行realm（自定义的CustomRealm）从数据库查询权限数据调用realm的授权方法：doGetAuthorizationInfo

realm从数据库查询权限数据，返回ModularRealmAuthorizer

ModularRealmAuthorizer调用PermissionResolver进行权限串比对

如果比对后，isPermitted中"permission串"在realm查询到权限数据中，说明用户访问permission串有权限，否则没有权限，抛出异常。

Shiro过滤器标签配置列表及权限可访问对比

/admins/**=anon               # 表示该 uri 可以匿名访问/admins/**=auth               # 表示该 uri 需要认证才能访问/admins/**=authcBasic         # 表示该 uri 需要 httpBasic 认证/admins/**=perms[user:add:*]  # 表示该 uri 需要认证用户拥有 user:add:* 权限才能访问/admins/**=port[8081]         # 表示该 uri 需要使用 8081 端口/admins/**=rest[user]         # 相当于 /admins/**=perms[user:method]，其中，method 表示  get、post、delete 等/admins/**=roles[admin]       # 表示该 uri 需要认证用户拥有 admin 角色才能访问/admins/**=ssl                # 表示该 uri 需要使用 https 协议/admins/**=user               # 表示该 uri 需要认证或通过记住我认证才能访问/logout=logout                # 表示注销,可以当作固定配置

以上就是赢咖4小编介绍的"Shiro框架原理解析"，希望对大家有帮助，想了解更多可查看Shiro视频教程。赢咖4在线学习教程，针对没有任何Java基础的读者学习,让你从入门到精通,主要介绍了一些Java基础的核心知识，让同学们更好更方便的学习和了解Java编程，感兴趣的同学可以关注一下。