Shiro 簡(jiǎn)介

簡(jiǎn)介

Apache Shiro 是 Java 的一個(gè)安全框架。目前，使用 Apache Shiro 的人越來(lái)越多，因?yàn)樗喈?dāng)簡(jiǎn)單，對(duì)比 Spring Security，可能沒(méi)有 Spring Security 做的功能強(qiáng)大，但是在實(shí)際工作時(shí)可能并不需要那么復(fù)雜的東西，所以使用小而簡(jiǎn)單的 Shiro 就足夠了。對(duì)于它倆到底哪個(gè)好，這個(gè)不必糾結(jié)，能更簡(jiǎn)單的解決項(xiàng)目問(wèn)題就好了。

本教程只介紹基本的 Shiro 使用，不會(huì)過(guò)多分析源碼等，重在使用。

Shiro 可以非常容易的開(kāi)發(fā)出足夠好的應(yīng)用，其不僅可以用在 JavaSE 環(huán)境，也可以用在 JavaEE 環(huán)境。Shiro 可以幫助我們完成：認(rèn)證、授權(quán)、加密、會(huì)話管理、與 Web 集成、緩存等。這不就是我們想要的嘛，而且 Shiro 的 API 也是非常簡(jiǎn)單；其基本功能點(diǎn)如下圖所示：

• Authentication：身份認(rèn)證 / 登錄，驗(yàn)證用戶是不是擁有相應(yīng)的身份；
• Authorization：授權(quán)，即權(quán)限驗(yàn)證，驗(yàn)證某個(gè)已認(rèn)證的用戶是否擁有某個(gè)權(quán)限；即判斷用戶是否能做事情，常見(jiàn)的如：驗(yàn)證某個(gè)用戶是否擁有某個(gè)角色?；蛘呒?xì)粒度的驗(yàn)證某個(gè)用戶對(duì)某個(gè)資源是否具有某個(gè)權(quán)限；
• Session Management：會(huì)話管理，即用戶登錄后就是一次會(huì)話，在沒(méi)有退出之前，它的所有信息都在會(huì)話中；會(huì)話可以是普通 JavaSE 環(huán)境的，也可以是如 Web 環(huán)境的；
• Cryptography：加密，保護(hù)數(shù)據(jù)的安全性，如密碼加密存儲(chǔ)到數(shù)據(jù)庫(kù)，而不是明文存儲(chǔ)；
• Web Support：Web 支持，可以非常容易的集成到 Web 環(huán)境；
• Caching：緩存，比如用戶登錄后，其用戶信息、擁有的角色 / 權(quán)限不必每次去查，這樣可以提高效率；
• Concurrency：shiro 支持多線程應(yīng)用的并發(fā)驗(yàn)證，即如在一個(gè)線程中開(kāi)啟另一個(gè)線程，能把權(quán)限自動(dòng)傳播過(guò)去；
• Testing：提供測(cè)試支持；
• Run As：允許一個(gè)用戶假裝為另一個(gè)用戶（如果他們?cè)试S）的身份進(jìn)行訪問(wèn)；
• Remember Me：記住我，這個(gè)是非常常見(jiàn)的功能，即一次登錄后，下次再來(lái)的話不用登錄了。

記住一點(diǎn)，Shiro 不會(huì)去維護(hù)用戶、維護(hù)權(quán)限；這些需要我們自己去設(shè)計(jì) / 提供；然后通過(guò)相應(yīng)的接口注入給 Shiro 即可。

接下來(lái)我們分別從外部和內(nèi)部來(lái)看看 Shiro 的架構(gòu)，對(duì)于一個(gè)好的框架，從外部來(lái)看應(yīng)該具有非常簡(jiǎn)單易于使用的 API，且 API 契約明確；從內(nèi)部來(lái)看的話，其應(yīng)該有一個(gè)可擴(kuò)展的架構(gòu)，即非常容易插入用戶自定義實(shí)現(xiàn)，因?yàn)槿魏慰蚣芏疾荒軡M足所有需求。

首先，我們從外部來(lái)看 Shiro 吧，即從應(yīng)用程序角度的來(lái)觀察如何使用 Shiro 完成工作。如下圖：

可以看到：應(yīng)用代碼直接交互的對(duì)象是 Subject，也就是說(shuō) Shiro 的對(duì)外 API 核心就是 Subject；其每個(gè) API 的含義：

Subject：主體，代表了當(dāng)前 “用戶”，這個(gè)用戶不一定是一個(gè)具體的人，與當(dāng)前應(yīng)用交互的任何東西都是 Subject，如網(wǎng)絡(luò)爬蟲(chóng)，機(jī)器人等；即一個(gè)抽象概念；所有 Subject 都綁定到 SecurityManager，與 Subject 的所有交互都會(huì)委托給 SecurityManager；可以把 Subject 認(rèn)為是一個(gè)門(mén)面；SecurityManager 才是實(shí)際的執(zhí)行者；

SecurityManager：安全管理器；即所有與安全有關(guān)的操作都會(huì)與 SecurityManager 交互；且它管理著所有 Subject；可以看出它是 Shiro 的核心，它負(fù)責(zé)與后邊介紹的其他組件進(jìn)行交互，如果學(xué)習(xí)過(guò) SpringMVC，你可以把它看成 DispatcherServlet 前端控制器；

Realm：域，Shiro 從 Realm 獲取安全數(shù)據(jù)（如用戶、角色、權(quán)限），就是說(shuō) SecurityManager 要驗(yàn)證用戶身份，那么它需要從 Realm 獲取相應(yīng)的用戶進(jìn)行比較以確定用戶身份是否合法；也需要從 Realm 得到用戶相應(yīng)的角色 / 權(quán)限進(jìn)行驗(yàn)證用戶是否能進(jìn)行操作；可以把 Realm 看成 DataSource，即安全數(shù)據(jù)源。

也就是說(shuō)對(duì)于我們而言，最簡(jiǎn)單的一個(gè) Shiro 應(yīng)用：

1. 應(yīng)用代碼通過(guò) Subject 來(lái)進(jìn)行認(rèn)證和授權(quán)，而 Subject 又委托給 SecurityManager；

2. 我們需要給 Shiro 的 SecurityManager 注入 Realm，從而讓 SecurityManager 能得到合法的用戶及其權(quán)限進(jìn)行判斷。

從以上也可以看出，Shiro 不提供維護(hù)用戶 / 權(quán)限，而是通過(guò) Realm 讓開(kāi)發(fā)人員自己注入。

接下來(lái)我們來(lái)從 Shiro 內(nèi)部來(lái)看下 Shiro 的架構(gòu)，如下圖所示：

• Subject：主體，可以看到主體可以是任何可以與應(yīng)用交互的 “用戶”；
• SecurityManager：相當(dāng)于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher；是 Shiro 的心臟；所有具體的交互都通過(guò) SecurityManager 進(jìn)行控制；它管理著所有 Subject、且負(fù)責(zé)進(jìn)行認(rèn)證和授權(quán)、及會(huì)話、緩存的管理。
• Authenticator：認(rèn)證器，負(fù)責(zé)主體認(rèn)證的，這是一個(gè)擴(kuò)展點(diǎn)，如果用戶覺(jué)得 Shiro 默認(rèn)的不好，可以自定義實(shí)現(xiàn)；其需要認(rèn)證策略（Authentication Strategy），即什么情況下算用戶認(rèn)證通過(guò)了；
• Authorizer：授權(quán)器，或者訪問(wèn)控制器，用來(lái)決定主體是否有權(quán)限進(jìn)行相應(yīng)的操作；即控制著用戶能訪問(wèn)應(yīng)用中的哪些功能；
• Realm：可以有 1 個(gè)或多個(gè) Realm，可以認(rèn)為是安全實(shí)體數(shù)據(jù)源，即用于獲取安全實(shí)體的；可以是 JDBC 實(shí)現(xiàn)，也可以是 LDAP 實(shí)現(xiàn)，或者內(nèi)存實(shí)現(xiàn)等等；由用戶提供；注意：Shiro 不知道你的用戶 / 權(quán)限存儲(chǔ)在哪及以何種格式存儲(chǔ)；所以我們一般在應(yīng)用中都需要實(shí)現(xiàn)自己的 Realm；
• SessionManager：如果寫(xiě)過(guò) Servlet 就應(yīng)該知道 Session 的概念，Session 呢需要有人去管理它的生命周期，這個(gè)組件就是 SessionManager；而 Shiro 并不僅僅可以用在 Web 環(huán)境，也可以用在如普通的 JavaSE 環(huán)境、EJB 等環(huán)境；所以呢，Shiro 就抽象了一個(gè)自己的 Session 來(lái)管理主體與應(yīng)用之間交互的數(shù)據(jù)；這樣的話，比如我們?cè)?Web 環(huán)境用，剛開(kāi)始是一臺(tái) Web 服務(wù)器；接著又上了臺(tái) EJB 服務(wù)器；這時(shí)想把兩臺(tái)服務(wù)器的會(huì)話數(shù)據(jù)放到一個(gè)地方，這個(gè)時(shí)候就可以實(shí)現(xiàn)自己的分布式會(huì)話（如把數(shù)據(jù)放到 Memcached 服務(wù)器）；
• SessionDAO：DAO 大家都用過(guò)，數(shù)據(jù)訪問(wèn)對(duì)象，用于會(huì)話的 CRUD，比如我們想把 Session 保存到數(shù)據(jù)庫(kù)，那么可以實(shí)現(xiàn)自己的 SessionDAO，通過(guò)如 JDBC 寫(xiě)到數(shù)據(jù)庫(kù)；比如想把 Session 放到 Memcached 中，可以實(shí)現(xiàn)自己的 Memcached SessionDAO；另外 SessionDAO 中可以使用 Cache 進(jìn)行緩存，以提高性能；
• CacheManager：緩存控制器，來(lái)管理如用戶、角色、權(quán)限等的緩存的；因?yàn)檫@些數(shù)據(jù)基本上很少去改變，放到緩存中后可以提高訪問(wèn)的性能
• Cryptography：密碼模塊，Shiro 提供了一些常見(jiàn)的加密組件用于如密碼加密 / 解密的。

到此 Shiro 架構(gòu)及其組件就認(rèn)識(shí)完了，接下來(lái)挨著學(xué)習(xí) Shiro 的組件吧。