​ 前阵子看完了 张开涛 《的跟我学Shiro》,这本书，感觉对于安全框架稍稍有了那么一丢丢的理解，下面简单讲一下Shiro。

Shiro 简介

​ shiro是一个Java的安全框架，相对于 Spring Security，shiro更加轻量并且简单。

​ shiro不仅可以用于JavaEE，也可以用于JavaSe，主要可以帮我们提供一下功能：认证、授权、加密、会话管理、缓存等

image.png

<center>shiro特性</center>

​ 需要注意，shiro不提供维护用户/权限，而是通过Realm让开发者自行注入以及维护。

​ 从内部来看，shiro的架构如下：

image.png

<center>shiro架构</center>

​ 外部都通过Subject来与应用进行交互，再由Security Manager做处理分发到各个相应的模块(类似于springMVC的dispatchServlet)，处理模块在通过Realm获取所需要的数据，做校验或者CRUD。

Subject

​ 主体，与应用交互的“用户”，个人觉得可以理解为暴露在外的客户端(Client)，由此来访问应用，基本上所有身份验证、授权都是通过Subject完成。默认实现类为 DelegatingSubject

​ 一般通过 subject.login() 来做用户登录，subject.hasRole*/isPermitted* 查询是否存在角色/权限

subject.logout() 退出，具体可以查看Subject接口。

​ 一般我们绑定 SecurityManager 之后可以通过 SecurityUtils.getSubject() 获取subject

    // Subject由SecurityManager管理，因此需要先绑定
    SecurityUtils.setSecurityManager(securityManager);
    // 获取subject
    Subject subject = SecurityUtils.getSubject();

SecurityManager

​ Shiro真正的入口，控制所有与交互，并且管理所有Subject，是Shiro的核心。

​

Authenticator

​ 认证器，用来管登录的，经常会跟下面的Authrizer搞混用途。。。我现在还是根据 ca 还是za 来作区分

​ 认证器主要识别判断用户能不能进去应用，相当于看你对于应用是不是合法的。shiro提供了一个默认的验证方式(ModularRealmAuthenticator),如果需要自己自定义验证策略，可以实现自己的一个 AuthenticationStragy,并制定给ModularRealmAuthenticator，ModularRealmAuthenticator会再验证的时候调用。 默认策略是 AtLeastOneSuccessfulStrategy，功能如下

shiro框架中提供的AntuenticationStrategy实现：

• FirstSuccessfulStrategy：只要有一个Realm验证成功即可，只返回第一个Realm身份验证成功的验证信息，其他忽略；
• AtleastOneSuccessfulStrategy：只要有一个Realm验证成功即可，返回所有的Realm身份验证成功的信息，也就是说每个Realm都会验证
• allSuccessfulStrategy：所有Realm验证成功才算成功，返回所有Realm身份验证成功的信息

​ 自定义实现时一般继承 org.apache.shiro.authc.pam.AbstractAuthenticationStrategy 即可

AbstractAuthenticationStrategy 是一个接口，包含四个方法：

1. beforeAllAttempts: 所有验证之前
2. beforeAttempt: 每一个验证之前
3. afterAttempt: 每个验证之后
4. afterAllAttempts: 所有验证之后

​ 执行顺序：

1. subject.login()
2. securityManager
3. Authenticator
4. AntuenticationStrategy(AntuenticationStrategy是Authenticator的一个属性)

Authrizer

​ 授权器，用来管权限的。有两种权限概念，隐式角色(RBAC，基于角色)以及显示角色(RBAC新解、基于权限),两者区别在于粒度的不同， 显示角色更加细

RBAC所代表的是对角色进行控制，即只控制资源与角色之间的关系，并且一般来说这里的资源粒度只是细化到页面，但是对于一些要求更加细致的权限控制（控制到按钮）单纯的架构层面就无法满足，此时就需要程序员对页面进行处理，架构层面的需要后期处理就说明设计模式有所欠缺。

RBAC新解所代表的是粒度比RBAC对资源划分更加细化，它直接对访问资源的任何操作做权限控制

image.png

<center>授权器流程</center>

1. subject调用 isPermitted* 或者 hasRole 接口，委托给 SecurityManager， SecurityManager委托给对应的 Authorizer; （类似登录）
2. Authorizer是真正的授权者，根据调用方法验证授权
3. 在进行授权之前，会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限
4. Authorizer 会判断Realm的角色/权限是否和传入的匹配，如果有多个Realm，会委托给 ModularRealmAuthorizer 进行循环判断，匹配返回 true，不匹配返回 false

​ 在授权过程中，还需要两个解析器：PermissionResolver 和 RolePermissionResolver

​ PermissionResolver - 权限解析器，在authorizer中设置，自定义实现可以实现PermissionResolver，默认实现为 WildcardPermissionResolver

​ RolePermissionResolver - 角色解析器，在authorizer中设置,自定义实现可以实现RolePermissionResolver，shiro没有提供 默认实现

Realm

​ Realm，可以理解为Shiro的数据源，主要用于存放用户、角色、权限等信息，三者之间的关系为：用户-角色之间多对多，角色-权限之间多对多

image.png

<center>用户、角色、权限关系</center>

​ Realm可以是jdbc实现，也可以是LDAP实现或者内存实现，写死配置都可以，由用户自己提供，一般也是自己来实现需要的Realm。下面展示shiro提供的realm关系

image.png

<center>Realm继承关系</center>

由Realm的继承关系可以看出，Shiro的不同功能划分是通过java的继承关系来完成的(好像又有点像废话)。AuthenticatingRealm 类有缓存以及认证功能，AuthorizingRealm 类继承 AuthenticationgRealm ，拓展了授权功能，之后，再根据实际业务做区分，连数据库的jdbcRealm，读取配置的IniRealm等等

小结

​ 看这本书的时候，不止是学习到了Shiro，感觉还对框架的设计有了更加多的理解，引用梳理的一段话:"对于一个好的框架，从外部来看应该具有非常简单易于使用的 API，且 API 契约明确；从内部来看的话，其应该有一个可扩展的架构，即非常容易插入用户自定义实现，因为任何框架都不能满足所有需求"

​ Shiro虽然提供的功能并没有现在流行的Spring Security那么多，但是作为一个安全框架的入门，以及阅读源码的入门，都是一个挺不错的选择。轻量，但是不简单，还是有很多可以学习的地方。

本文由博客一文多发平台 OpenWrite 发布！