一、簡介

Apache Shiro 是Java 的一個安全框架。Shiro 可以非常容易的開發出足夠好的應用，其不僅可以用在JavaSE 環境，也可以用在JavaEE 環境。Shiro 可以幫助我們完成：認證、授權、加密、會話管理、與Web 集成、緩存等。

官網地址：http://shiro.apache.org/

官網頁面如下圖：

?

二、為什么要學Shiro

? ? ? ?既然Shiro將安全認證相關的功能抽取出來組成一個框架，使用Shiro就可以非常快速的完成認證、授權等功能的開發，降低系統成本。

? ? ? ? ?Shiro使用廣泛，Shiro可以運行在web應用，非web應用，集群分布式應用中越來越多的用戶開始使用Shiro。

? ? ? ? ?Java領域中spring security(原名Acegi)也是一個開源的權限管理框架，但是spring security依賴spring運行，而Shiro就相對獨立，最主要是因為Shiro使用簡單、靈活，所以現在越來越多的用戶選擇Shiro。

?

三、基本功能

從整體來看：

?

3.1、Authentication

?身份認證/登錄，驗證用戶是不是擁有相應的身份

3.2、?Authorization

授權，即權限驗證，驗證某個已認證的用戶是否擁有某個權限；即判斷用戶是否能做事情，常見的如：驗證某個用戶是否擁有某個角色,或者細粒度的驗證某個用戶對某個資源是否具有某個權限。

3.3、Session Manager

會話管理，即用戶登錄后就是一次會話，在沒有退出之前，它的所有信息都在會話中；會話可以是普通JavaSE環境的，也可以是如Web環境的。

3.4、Cryptography

加密，保護數據的安全性，如密碼加密存儲到數據庫，而不是明文存儲。

3.5 Web Support?

Web 支持，可以非常容易的集成到Web 環境

3.6 、Caching?

緩存，比如用戶登錄后，其用戶信息、擁有的角色/權限不必每次去查，這樣可以提高效率。

3.7 、Concurrency

shiro 支持多線程應用的并發驗證，即如在一個線程中開啟另一個線程，能把權限自動傳播過去。

3.8、Testing

提供Test測試支持。

3.9、Run As

允許一個用戶假裝為另一個用戶（如果他們允許）的身份進行訪問。

4.0 Remenber Me:

記住我，這個是非常常見的功能，即一次登錄后，下次再來的話不用登錄

?

Shiro 不會去維護用戶、維護權限；這些需要我們自己去設計/提供；然后通過

相應的接口注入給Shiro即可。

?

四、Shiro架構

接下來我們分別從外部和內部來看看Shiro的架構，對于一個好的框架，從外部來看應該具有非常簡單易于使用的API，且API契約明確；內部來看的話，其應該有一個可擴展的架構，即非常容易插入用戶自定義實現，因為任何框架都不能滿足所有需求。
(一)、我們從外部來看Shiro吧，即從應用程序角度的來觀察如何使用Shiro完成工作。

如下圖：

可以看到：應用代碼直接交互的對象是Subject，也就是說Shiro的對外API核心就是Subject；其每個API的含義：

Subject：主體，代表了當前“用戶”，這個用戶不一定是一個具體的人，與當前應用交互的任何東西都是Subject，如網絡爬蟲，機器人等；即一個抽象概念；所有Subject都綁定到SecurityManager，與Subject的所有交互都會委托給SecurityManager；可以把Subject認為是一個門面,SecurityManager才是實際的執行者。

SecurityManager：安全管理器；即所有與安全有關的操作都與SecurityManager交互；且它管理著所有Subject；可以看出它Shiro的核心，它負責與后邊介紹的其他組件進行交互，如果學習過SpringMVC，你可以把它看成DispatcherServlet前端控制器。

Realm：域，Shiro從Realm獲取安全數據（如用戶、角色、權限），就是說SecurityManager要驗證用戶身份，那么它需要從Realm獲取相應的用戶進行比較以確定用戶身份是否合法。

也需要從Realm得到用戶相應的角色/權限進行驗證用戶是否能進行操作；可以把Realm看成DataSource，即安全數據源。
也就是說對于我們而言，最簡單的一個Shiro應用：
1、應用代碼通過Subject來進行認證和授權，而Subject又委托給SecurityManager；
2、我們需要給Shiro的SecurityManager注入Realm，從而讓SecurityManager能得到合法的用戶及其權限進行判斷。
從以上也可以看出，Shiro不提供維護用戶/權限，而是通過Realm讓開發人員自己注入。

?

(二)、從內部看架構

1、Subject：主體，可以看到主體可以是任何可以與應用交互的“用戶”。

2、SecurityManager：即安全管理器，對全部的subject進行安全管理，它是shiro的核心，負責對所有的subject進行安全管理。通過SecurityManager可以完成subject的認證、授權等，實質上SecurityManager是通過Authenticator進行認證，通過Authorizer進行授權，通過SessionManager進行會話管理等。

?SecurityManager是一個接口，繼承了Authenticator, Authorizer, SessionManager這三個接口

3、Authentication:認證器，負責主體認證的，這是一個擴展點，如果用戶覺得 Shiro 默認的不好，可以自定義實現；其需要認證策略（Authentication Strategy），即什么情況下算用戶認證通過了。

4、Authorizer:授權，用來決定主體是否有權限進行相應的操作；即控制著用戶能訪問應用中的哪些功能。

5、Realm:Realm即領域，相當于datasource數據源，securityManager進行安全認證需要通過Realm獲取用戶權限數據，比如：如果用戶身份數據在數據庫那么realm就需要從數據庫獲取用戶身份信息。

注意：不要把realm理解成只是從數據源取數據，在realm中還有認證授權校驗的相關的代碼。

6、SessionManager: 如果寫過 Servlet 就應該知道 Session 的概念，Session 呢需要有人去管理它的生命周期，這個組件就是 SessionManager；而 Shiro 并不僅僅可以用在 Web 環境，也可以用在如普通的 JavaSE 環境、EJB 等環境；所以呢，Shiro 就抽象了一個自己的 Session來管理主體與應用之間交互的數據；這樣的話，比如我們在 Web 環境用，剛開始是一臺Web 服務器；接著又上了臺 EJB 服務器；這時想把兩臺服務器的會話數據放到一個地方，這個時候就可以實現自己的分布式會話（如把數據放到 Memcached 服務器）。

7、SessionDao:SessionDAO即會話dao，是對session會話操作的一套接口，比如要將session存儲到數據庫，可以通過jdbc將會話存儲到數據庫。

8、CacheManager：緩存控制器，來管理如用戶、角色、權限等的緩存的；因為這些數據基本上很少去改變，放到緩存中后可以提高訪問的性能。

9、Cryptography：即密碼管理，shiro提供了一套加密/解密的組件，方便開發。比如提供常用的散列、加/解密等功能。

至此Shiro介紹完畢，文中部分引用張開濤老師《跟我學Shiro》一文語句。

總結

以上是生活随笔為你收集整理的【Shiro权限管理】一、简介的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。