Shiro

1、shiro简介

shiro是一个强大易用的java安全框架，可以帮助我们完成：身份认证、授权、加密、会话管理、与web集成、缓存等。

包括了三个核心组件：Subject、SecurityManage和Realm

• 外部架构

• 内部架构

authentication（认证）：/ɔːˌθentɪˈkeɪʃn/ 确定用户身份 用户密码验证

authorization（授权）： /ˌɔːθəraɪˈzeɪʃn/ 对用户访问系统的资源进行控制。后台接口的访问、前台页面元素的访问、敏感数据

2、shiro主要的组件？

（1）Subject：主体，主体可以是任何与应用交互的“用户”；

（2）SecurityManager：所有具体的交互都通过SecurityManager进行控制；它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。

（3）Realm：可以有1个或多个Realm，可以认为是安全实体数据源，即用于获取安全实体的；可以是JDBC实现，也可以是LDAP实现，或者内存实现等等；由用户提供；注意：Shiro不知道你的用户/权限存储在哪及以何种格式存储；所以我们一般在应用中都需要实现自己的Realm；

（4）Authenticator：认证器，负责对主体进行认证。用户可以自定义实现自己的Anthentication；其需要认证策略（Authentication Strategy），即什么情况下算用户认证通过了；

（5）Authorizer：授权器，或者访问控制器，对用户访问系统的资源进行控制。后台接口的访问、前台页面元素的访问、敏感数据。

（6）SessionManager：管理Session生命周期的组件；通过sessionManageShiro不仅仅可以用在web环境，也可以用在javaSE环境

（7）SessionDAO：DAO大家都用过，数据访问对象，用于会话的CRUD，比如我们想把Session保存到数据库，那么可以实现自己的SessionDAO，通过如JDBC写到数据库；比如想把Session放到Memcached中，可以实现自己的Memcached SessionDAO；另外SessionDAO中可以使用Cache进行缓存，以提高性能；

（8）CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的；因为这些数据基本上很少去改变，放到缓存中后可以提高访问的性能

（9）Cryptography：密码模块，Shiro提供了一些常见的加密组件用于如密码加密/解密的。

3、Shiro运行原理是什么？

（1）Application Code：应用程序代码，就是我们自己的编码，如果在程序中需要进行权限控制，需要调用Subject的API；

（2）Subject：主体代表了当前用户。

（3）Security Manage：所有具体的交互都通过SecurityManager进行控制；它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。

（4）Realm：域shiro是从Realm来获取安全数据（用户，角色，权限）。

就是说Security Manager。要验证用户身份，那么它需要从Realm获取相应的用户进行比较以确定用户身份是否 合法；也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作；可以 把Realm看成DataSource，即安全数据源。

4、Shiro的权限控制方式是什么？

url 级别权限控制（粗粒度） 、方法注解权限控制 （细粒度）、代码级别权限控制 、页面标签权限控制

5、什么是粗颗粒和细颗粒权限？

答：对资源类型的管理称为粗颗粒度权限控制，即只控制到菜单、按钮、方法。粗粒度的例子比如：用户具有用户管理的权限，具有导出订单明细的权限。

对资源实例的控制称为细颗粒度权限管理，即控制到数据级别的权限，比如：用户只允许修改本部门的员工信息，用户只允许导出自己创建的订单明细。

6、粗颗粒和细颗粒如何授权？

答：对于粗颗粒度的授权可以很容易做系统架构级别的功能，即系统功能操作使用统一的粗颗粒度的权限管理。对于细颗粒度的授权不建议做成系统架构级别的功能，因为对数据级别的控制是系统的业务需求，随着业务需求的变更业务功能变化的可能性很大，建议对数据级别的权限控制在业务层个性化开发，比如：用户只允许修改自己创建的商品信息可以在service接口添加校验实现，service接口需要传入当前操作人的标识，与商品信息创建人标识对比，不一致则不允许修改商品信息。

粗颗粒权限：可以使用过虑器统一拦截url。

细颗粒权限：在service中控制，在程序级别来控制，个性化编程。

7、shiro的优点都有什么？

答：简单的身份验证，支持多种数据源；对角色的简单授权，支持细粒度的授权；支持一级缓存，以提升应用程序的性能；适用于web及非web环境；非常简单的API加密；不跟任何框架绑定，可以独立运行。

8、如何配置在Spring中配置使用 Shiro？

@Configuration
public class ShiroConfig{//1、Realmpublic ShiroRealm getRealm(@Qualifier("hashedCredentialsMatcher") HashedCredentialsMatcher credentialsMatcher) {ShiroRealm realm = new ShiroRealm();}//2、SecurityManagerpublic DefaultWebSecurityManager getDefaultSecurityManager(@Qualifier("shiroRealm") ShiroRealm shiroRealm,@Qualifier("cache") EhCacheManager ehCacheManager,@Qualifier("sessionManager") SessionManager sessionManager){//关联RealmsecurityManager.setRealm(shiroRealm);//设置session管理器securityManager.setSessionManager(sessionManager);}//3、创建ShiroFilterFactoryBean 请求过滤器public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager){} 
}

9、比较 [Spring Security](https://www.wkcto.com/courses/security.html和Shiro？

答：相比Spring Security, Shiro 在保持强大功能的同时, 使用简单性和灵活性；Spring Security即使是一个一个简单的请求，最少得经过它的8个Filter；

Spring Security必须在Spring 的环境下使用。

10、Shiro认证流程

1、首先调用Subject.login(token)进行登录，其会自动委托给Security Manager，调用之前必须通过SecurityUtils. setSecurityManager()设置；
2、SecurityManager负责真正的身份验证逻辑；它会委托给Authenticator进行身份验证；
3、Authenticator才是真正的身份验证者，Shiro API中核心的身份认证入口点，此处可以自定义插入自己的实现；
4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证，默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证；
5、Authenticator会把相应的token传入Realm，从Realm获取身份验证信息，如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm，将按照相应的顺序及策略进行访问。

11、Shiro授权过程

1、如果Realm进行授权的话，应该继承AuthorizingRealm，其流程是：
（1）如果调用hasRole*，则直接获取AuthorizationInfo.getRoles()与传入的角色比较即可；
（2）首先如果调用如isPermitted(“user:view”)，首先通过PermissionResolver将权限字符串转换成相应的Permission实例
2、通过AuthorizationInfo.getObjectPermissions()得到Permission实例集合；通过AuthorizationInfo. getStringPermissions()得到字符串集合并通过PermissionResolver解析为Permission实例；然后获取用户的角色，并通过RolePermissionResolver解析角色对应的权限集合（默认没有实现，可以自己提供）；
3、接着调用Permission. implies(Permission p)逐个与传入的权限比较，如果有匹配的则返回true，否则false。

基本API（过程）

Subject currentUser = SecurityUtils.getSubject(); //获得当前用户
Session session = currentUser.getSession();        //获得session
UsernamePasswordToken token = new UsernamePasswordToken("username","password");
//认证
currentUser.login(token);                         //通过抛出的异常来判断用户的状态  用户是否存在  用户名密码是否正确  账号是否锁定  权限是否认证通过
currentUser.getPrincipal()                        //用户登录的用户名
//授权
currentUser.hashRole()                            //判断单个角色
currentUser.isPermitted()                         //判断用户权限
currentUser.logout();                             //退出