文章目錄

• • • shiro簡介以及功能描述
    • shiro實現(xiàn)原理理解
    • shiro的架構(gòu)理解
    • shiro認證功能（Authentication）流程
    • Realm
    • shiro 攔截器規(guī)則

shiro簡介以及功能描述

Shiro 是 Java 的一個安全框架。目前，使用 Apache Shiro 的人越來越多，因為它相 當簡單，對比 SpringSecurity，可能沒有 Spring Security 做的功能強大，但是在實際工作時 可能并不需要那么復雜的東西，所以使用小而簡單的Shiro 就足夠了。

Authentication：身份認證/登錄，驗證用戶是不是擁有相應(yīng)的身份；
Authorization：授權(quán)，即權(quán)限驗證，驗證某個已認證的用戶是否擁有某個權(quán)限；即判斷用
戶是否能做事情，常見的如：驗證某個用戶是否擁有某個角色?；蛘呒毩６鹊尿炞C某個用
戶對某個資源是否具有某個權(quán)限；
Session Manager：會話管理，即用戶登錄后就是一次會話，在沒有退出之前，它的所有信
息都在會話中；會話可以是普通 JavaSE 環(huán)境的，也可以是如 Web 環(huán)境的；
Cryptography：加密，保護數(shù)據(jù)的安全性，如密碼加密存儲到數(shù)據(jù)庫，而不是明文存儲；
Web Support：Web 支持，可以非常容易的集成到 Web 環(huán)境；
Caching：緩存，比如用戶登錄后，其用戶信息、擁有的角色/權(quán)限不必每次去查，這樣可以提高效率；
Concurrency：shiro 支持多線程應(yīng)用的并發(fā)驗證，即如在一個線程中開啟另一個線程，能
把權(quán)限自動傳播過去；
Testing：提供測試支持；
Run As：允許一個用戶假裝為另一個用戶（如果他們允許）的身份進行訪問；
Remember Me：記住我，這個是非常常見的功能，即一次登錄后，下次再來的話不用登錄
記住一點，Shiro 不會去維護用戶、維護權(quán)限；這些需要我們自己去設(shè)計/提供；然后通過
相應(yīng)的接口注入給 Shiro 即可。

shiro實現(xiàn)原理理解

也就是說對于我們而言，最簡單的一個 Shiro 應(yīng)用：
應(yīng)用代碼通過 Subject 來進行認證和授權(quán)，而 Subject 又委托給 SecurityManager； 我們需要給 Shiro 的 SecurityManager 注入 Realm，從而讓 SecurityManager 能得到合法
的用戶及其權(quán)限進行判斷。

shiro的架構(gòu)理解

Subject：主體，可以看到主體可以是任何可以與應(yīng)用交互的“用戶”；
SecurityManager ： 相 當 于 SpringMVC 中 的 DispatcherServlet 或 者 Struts2 中的
FilterDispatcher；是 Shiro 的心臟；所有具體的交互都通過 SecurityManager 進行控制；它管理著所有 Subject、且負責進行認證和授權(quán)、及會話、緩存的管理。
Authenticator：認證器，負責主體認證的，這是一個擴展點，如果用戶覺得 Shiro 默認的不好，可以自定義實現(xiàn)；其需要認證策略（Authentication Strategy），即什么情況下算用戶認證通過了；
Authrizer：授權(quán)器，或者訪問控制器，用來決定主體是否有權(quán)限進行相應(yīng)的操作；即控制著用戶能訪問應(yīng)用中的哪些功能；
Realm：可以有 1 個或多個 Realm，可以認為是安全實體數(shù)據(jù)源，即用于獲取安全實體的；可以是 JDBC 實現(xiàn)，也可以是 LDAP 實現(xiàn)，或者內(nèi)存實現(xiàn)等等；由用戶提供；注意：Shiro不知道你的用戶/權(quán)限存儲在哪及以何種格式存儲；所以我們一般在應(yīng)用中都需要實現(xiàn)自己的 Realm；
SessionManager：如果寫過 Servlet 就應(yīng)該知道 Session 的概念，Session 呢需要有人去管理它的生命周期，這個組件就是 SessionManager；而 Shiro 并不僅僅可以用在 Web 環(huán)境，也可以用在如普通的 JavaSE 環(huán)境、EJB 等環(huán)境；所有呢，Shiro 就抽象了一個自己的 Session來管理主體與應(yīng)用之間交互的數(shù)據(jù)；這樣的話，比如我們在 Web 環(huán)境用，剛開始是一臺Web 服務(wù)器；接著又上了臺 EJB 服務(wù)器；這時想把兩臺服務(wù)器的會話數(shù)據(jù)放到一個地方，
這個時候就可以實現(xiàn)自己的分布式會話（如把數(shù)據(jù)放到 Memcached 服務(wù)器）；
SessionDAO：DAO 大家都用過，數(shù)據(jù)訪問對象，用于會話的 CRUD，比如我們想把 Session保存到數(shù)據(jù)庫，那么可以實現(xiàn)自己的 SessionDAO，通過如 JDBC 寫到數(shù)據(jù)庫；比如想把Session 放到 Memcached 中，可以實現(xiàn)自己的 Memcached SessionDAO；另外 SessionDAO中可以使用 Cache 進行緩存，以提高性能；
CacheManager：緩存控制器，來管理如用戶、角色、權(quán)限等的緩存的；因為這些數(shù)據(jù)基本
上很少去改變，放到緩存中后可以提高訪問的性能
Cryptography：密碼模塊，Shiro 提高了一些常見的加密組件用于如密碼加密

shiro認證功能（Authentication）流程

流程圖：

1、UsernamePasswordToken 實現(xiàn)HostAuthenticationToken和RemeberAuthenticationToken，HostAuthenticationToken實現(xiàn)AuthenticationToken 2、首先調(diào)用 Subject.login(token)進行登錄，其會自動委托給 Security Manager，調(diào)用之前必 須通過 SecurityUtils. setSecurityManager()設(shè)置； 3、SecurityManager 負責真正的身份驗證邏輯；它會委托給 Authenticator 進行身份驗證；SecurityManager j接口繼承Authenticator、Authrizer、sessionManage接口 4、Authenticator 才是真正的身份驗證者，Shiro API 中核心的身份認證入口點，此處可以自 定義插入自己的實現(xiàn)； 5、Authenticator 可能會委托給相應(yīng)的 AuthenticationStrategy 進行多 Realm 身份驗證，默認 ModularRealmAuthenticator 會調(diào)用 AuthenticationStrategy 進行多 Realm 身份驗證； 6、Authenticator 會把相應(yīng)的 token 傳入 Realm，從 Realm 獲取身份驗證信息，如果沒有返 回/拋出異常表示身份驗證失敗了。此處可以配置多個 Realm，將按照相應(yīng)的順序及策略進 行訪問。

Realm

一般繼承 AuthorizingRealm（授權(quán)）即可；其繼承了 AuthenticatingRealm（即身份驗證），而且也間接繼承了 CachingRealm（帶有緩存實現(xiàn)），重寫里面AuthenticationInfo 認證和doGetAuthorizationInfo授權(quán)方法。

shiro 攔截器規(guī)則

總結(jié)

以上是生活随笔為你收集整理的SpringBoot 整合 Shiro thymeleaf _01_Shiro概念的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。