基于RBAC的权限管理框架Shiro（1）框架简介

Shiro是apache旗下一个开源框架，它将软件系统的安全认证相关的功能抽取出来，实现用户身份认证，权限授权、加密、会话管理等功能，组成了一个通用的安全认证框架。也是当下比较主流的轻量级权限管理框架。相较于spring security(原名Acegi)必须依赖spring ,shiro就显的非常独立。
Shiro 的核心：

• Subject 主体 用于记录当前的操作用户，Subject在shiro中是一个接口，接口中定义了很多认证授相关的方法，外部程序通过subject进行认证授权，而subject是通过SecurityManager安全管理器进行认证授权
• SecurityManager安全管理器，对Subject 进行管理，他是shiro的核心SecurityManager是一个接口，继承了Authenticator, Authorizer, SessionManager这三个接口。
• Authenticator认证器 对用户身份进行认证
• Authorizer 授权器 用户通过认证后，来判断时候拥有该权限
• realm 获取用户权限数据
• sessionManager 会话管理 shiro框架定义了一套会话管理，它不依赖web容器的session，所以shiro可以使用在非web应用上，也可以将分布式应用的会话集中在一点管理，此特性可使它实现单点登录。

• CacheManager 缓存管理器 将用户权限数据存储在缓存，这样可以提高性能。

  shiro 的认证过程：

• 1、 创建token令牌，token中有用户提交的认证信息即账号和密码
• 2、 执行subject.login(token)，最终由securityManager通过Authenticator进行认证
• 3、 Authenticator的实现ModularRealmAuthenticator调用realm从ini配置文件取用户真实的账号和密码，这里使用的是IniRealm（shiro自带）

• 4、 IniRealm先根据token中的账号去ini中找该账号，如果找不到则给ModularRealmAuthenticator返回null，如果找到则匹配密码，匹配密码成功则认证通过。

  shiro 的认证代码

// 用户登陆、用户退出    @Test    public void testLoginLogout() {        // 构建SecurityManager工厂，IniSecurityManagerFactory可以从ini文件中初始化SecurityManager环境        Factory<SecurityManager> factory = new IniSecurityManagerFactory(                "classpath:shiro.ini");        // 通过工厂创建SecurityManager        SecurityManager securityManager = factory.getInstance();        // 将securityManager设置到运行环境中        SecurityUtils.setSecurityManager(securityManager);        // 创建一个Subject实例，该实例认证要使用上边创建的securityManager进行        Subject subject = SecurityUtils.getSubject();        // 创建token令牌，记录用户认证的身份和凭证即账号和密码         UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");        try {            // 用户登陆            subject.login(token);        } catch (AuthenticationException e) {            // TODO Auto-generated catch block            e.printStackTrace();        }        // 用户认证状态        Boolean isAuthenticated = subject.isAuthenticated();        System.out.println("用户认证状态：" + isAuthenticated);        // 用户退出        subject.logout();        isAuthenticated = subject.isAuthenticated();        System.out.println("用户认证状态：" + isAuthenticated);    }

shiro 的自定义realm 上面一篇文章已经说过，这里就不做赘述了

shiro 的授权方式

1. 编程式 通过写if/else 授权代码块完成：
   Subject subject = SecurityUtils.getSubject();
   if(subject.hasRole(“admin”)) {
   //有权限
   } else {
   //无权限
   }
2. 注解式：通过在执行的Java方法上放置相应的注解完成：
   @RequiresRoles(“admin”)
   public void hello() {
   //有权限
   }
   3. JSP/GSP 标签：在JSP/GSP 页面通过相应的标签完成：