手把手实现Java权限(1)-Shiro介绍

来源：互联网发布：集分宝淘宝购物怎么用编辑：程序博客网时间：2024/05/18 06:22

功能介绍

Authentication ：身份认证/登录，验证用户是不是拥有相应的身份；
Authorization ：授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用
户是否能做事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用
户对某个资源是否具有某个权限；
Session Manager ：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信
息都在会话中；会话可以是普通 JavaSE 环境的，也可以是如 Web 环境的；
Cryptography ：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；
Web Support ：Web 支持，可以非常容易的集成到 Web 环境；
Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以
提高效率；
Concurrency ：shiro 支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能
把权限自动传播过去；
Testing ：提供测试支持；
Run As ：允许一个用户假装为另一个用户（如果他们允许）的身份进行访问；
Remember Me ：记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录
了。

Subject ：主体，可以看到主体可以是任何可以与应用交互的“用户”；

SecurityManager ：：相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的
FilterDispatcher；是 Shiro 的心脏；所有具体的交互都通过 SecurityManager 进行控制；它管
理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。

Authenticator ：认证器，负责主体认证的，这是一个扩展点，如果用户觉得 Shiro 默认的
不好，可以自定义实现；其需要认证策略（Authentication Strategy），即什么情况下算用户
认证通过了；

Authrizer ：授权器，或者访问控制器，用来决定主体是否有权限进行相应的操作；即控制
着用户能访问应用中的哪些功能；

Realm ：可以有 1 个或多个 Realm，可以认为是安全实体数据源，即用于获取安全实体的；
可以是 JDBC 实现，也可以是 LDAP 实现，或者内存实现等等；由用户提供；注意：Shiro
不知道你的用户/权限存储在哪及以何种格式存储；所以我们一般在应用中都需要实现自己
的 Realm；

SessionManager ：如果写过 Servlet 就应该知道 Session 的概念，Session 呢需要有人去管理
它的生命周期，这个组件就是 SessionManager；而 Shiro 并不仅仅可以用在 Web 环境，也
可以用在如普通的 JavaSE 环境、EJB 等环境；所有呢，Shiro 就抽象了一个自己的 Session
来管理主体与应用之间交互的数据；这样的话，比如我们在 Web 环境用，刚开始是一台
Web 服务器；接着又上了台 EJB 服务器；这时想把两台服务器的会话数据放到一个地方，
这个时候就可以实现自己的分布式会话（如把数据放到 Memcached 服务器）；

SessionDAO：： DAO 大家都用过，数据访问对象，用于会话的 CRUD，比如我们想把 Session
保存到数据库，那么可以实现自己的 SessionDAO，通过如 JDBC 写到数据库；比如想把
Session 放到 Memcached 中，可以实现自己的 Memcached SessionDAO；另外 SessionDAO
中可以使用 Cache 进行缓存，以提高性能；

CacheManager ：缓存控制器，来管理如用户、角色、权限等的缓存的；因为这些数据基本
上很少去改变，放到缓存中后可以提高访问的性能

Cryptography ：密码模块，Shiro 提高了一些常见的加密组件用于如密码加密/解密的。
到此 Shiro 架构及其组件就认识完了，接下来挨着学习 Shiro 的组件吧。

基本表结构

资源：表示菜单元素、页面按钮元素等；菜单元素用来显示界面菜单的，页面按钮是每个

页面可进行的操作，如新增、修改、删除按钮；使用 type 来区分元素类型（如 menu 表示

菜单，button 代表按钮），priority 是元素的排序，如菜单显示顺序；permission 表示权限；

如用户菜单使用 user:*；也就是把菜单授权给用户后，用户就拥有了 user:*权限；如用户新

增按钮使用 user:create，也就是把用户新增按钮授权给用户后，用户就拥有了 user:create 权

限了；available 表示资源是否可用，如菜单显示/不显示。

角色：role 表示角色标识符，如 admin，用于后台判断使用；description 表示角色描述，如

超级管理员，用于前端显示给用户使用；resource_ids 表示该角色拥有的资源列表，即该角

色拥有的权限列表（显示角色），即角色是权限字符串集合；available 表示角色是否可用。

组织机构：name 表示组织机构名称，priority 是组织机构的排序，即显示顺序；available

表示组织机构是否可用。

用户：username 表示用户名；role_ids 表示用

户拥有的角色列表，可以通过角色再获取其权限字符串列表；locked 表示用户是否锁定。

Shiro系统架构

Subject ：主体，可以看到主体可以是任何可以与应用交互的“用户”；

Authrizer ：授权器，或者访问控制器，用来决定主体是否有权限进行相应的操作；即控制
着用户能访问应用中的哪些功能；

CacheManager ：缓存控制器，来管理如用户、角色、权限等的缓存的；因为这些数据基本
上很少去改变，放到缓存中后可以提高访问的性能

Cryptography ：密码模块，Shiro 提高了一些常见的加密组件用于如密码加密/解密的。

Shiro用户流程

Shiro 不会去维护用户、维护权限；这些需要我们自己去设计/ 提供；然后通过
相应的接口注入给给 Shiro 即可。

对于一个好的框架，从外部来看应该
具有非常简单易于使用的 API，且 API 契约明确；从内部来看的话，其应该有一个可扩展
的架构，即非常容易插入用户自定义实现，因为任何框架都不能满足所有需求。
首先，我们从外部来看 Shiro 吧，即从应用程序角度的来观察如何使用 Shiro 完成工作。如
下图：

可以看到：应用代码直接交互的对象是Subject，也就是说Shiro的对外API核心就是Subject；
其每个 API 的含义：
Subject ：主体，代表了当前“用户”，这个用户不一定是一个具体的人，与当前应用交互
的任何东西都是 Subject，如网络爬虫，机器人等；即一个抽象概念；所有 Subject 都绑定
到 SecurityManager，与 Subject 的所有交互都会委托给 SecurityManager；可以把 Subject 认
为是一个门面；SecurityManager 才是实际的执行者；

SecurityManager ：安全管理器；即所有与安全有关的操作都会与 SecurityManager 交互；
且它管理着所有 Subject；可以看出它是 Shiro 的核心，它负责与后边介绍的其他组件进行
交互，如果学习过 SpringMVC，你可以把它看成 DispatcherServlet 前端控制器；

Realm：：域， Shiro 从从 Realm 获取安全数据（如用户、角色、权限），就是说 SecurityManager
要验证用户身份，那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法；

也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作；可以把 Realm 看
成 DataSource，即安全数据源。

也就是说对于我们而言，最简单的一个 Shiro 应用：
1、应用代码通过 Subject 来进行认证和授权，而 Subject 又委托给 SecurityManager；
2、我们需要给 Shiro 的 SecurityManager 注入 Realm，从而让 SecurityManager 能得到合法
的用户及其权限进行判断。

点击打开链接

2 2