首页 课程 师资 教程 报名

Shiro框架原理解析

  • 2021-07-29 17:01:22
  • 644次 动力节点

1.什么是shiro

shiro是apache公司下一款优秀的Java安全认证框架,它强大且容易使用,它支持身份验证、授权、密码和会话管理功能,与shiro有着同样功能的框架是Spring Security,对比Spring Security来看,shiro用起来简单且可以脱离Spring使用,但是Spring Security不能够脱离Spring去使用,shiro属于一种轻量级的框架,所以许多公司都在使用shiro。

2.框架原理图及名词解释

shiro框架原理

名词解释

subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。

securityManager:安全管理器,主体进行认证和授权都是通过securityManager进行。它包含下面的认证器和授权器。

authenticator:认证器,主体进行认证最终通过authenticator进行的。

authorizer:授权器,主体进行授权最终通过authorizer进行的。

sessionManager:web应用中一般是用web容器对session进行管理,shiro也提供一套session管理的方式。可以实现单点登录。

SessionDao:通过SessionDao管理session数据,针对个性化的session数据存储需要使用sessionDao。

cache Manager:缓存管理器,主要对session和授权数据进行缓存,比如将授权数据通过cacheManager进行缓存管理,和ehcache整合对缓存数据进行管理。

realm:域,领域,相当于数据源,通过realm存取认证、授权相关数据。(它的主要目的是与数据库打交道,查询数据库中的认证的信息(比如用户名和密码),查询授权的信息(比如权限的code等,所以这里可以理解为调用数据库查询一系列的信息,一般情况下在项目中采用自定义的realm,因为不同的业务需求不一样))

注意:在realm中存储授权和认证的逻辑。

cryptography:密码管理,提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能,比如md5散列算法。

认证原理图

shiro框架原理

认证流程

subject(主体)请求认证,调用subject.login(token)

SecurityManager(安全管理器)执行认证

SecurityManager通过ModularRealmAuthenticator进行认证。

ModularRealmAuthenticator将token传给realm,realm根据token中用户信息从数据库查询用户信息(包括身份和凭证),realm如果查询不到用户给ModularRealmAuthenticator返回null,ModularRealmAuthenticator抛出异常(用户不存在),realm如果查询到用户给ModularRealmAuthenticator返回AuthenticationInfo(认证信息),ModularRealmAuthenticator拿着AuthenticationInfo(认证信息)去进行凭证(密码)比对。如果一致则认证通过,如果不致抛出异常(凭证错误)。

授权原理图

shiro框架原理

授权流程

对subject进行授权,调用方法isPermitted("")或者hasRole("")

SecurityManager执行授权,通过ModularRealmAuthorizer执行授权

ModularRealmAuthorizer执行realm(自定义的CustomRealm)从数据库查询权限数据调用realm的授权方法:doGetAuthorizationInfo

realm从数据库查询权限数据,返回ModularRealmAuthorizer

ModularRealmAuthorizer调用PermissionResolver进行权限串比对

如果比对后,isPermitted中"permission串"在realm查询到权限数据中,说明用户访问permission串有权限,否则没有权限,抛出异常。

Shiro过滤器标签配置列表及权限可访问对比

/admins/**=anon               # 表示该 uri 可以匿名访问/admins/**=auth               # 表示该 uri 需要认证才能访问/admins/**=authcBasic         # 表示该 uri 需要 httpBasic 认证/admins/**=perms[user:add:*]  # 表示该 uri 需要认证用户拥有 user:add:* 权限才能访问/admins/**=port[8081]         # 表示该 uri 需要使用 8081 端口/admins/**=rest[user]         # 相当于 /admins/**=perms[user:method],其中,method 表示  get、post、delete 等/admins/**=roles[admin]       # 表示该 uri 需要认证用户拥有 admin 角色才能访问/admins/**=ssl                # 表示该 uri 需要使用 https 协议/admins/**=user               # 表示该 uri 需要认证或通过记住我认证才能访问/logout=logout                # 表示注销,可以当作固定配置

以上就是动力节点小编介绍的"Shiro框架原理解析",希望对大家有帮助,想了解更多可查看Shiro视频教程。动力节点在线学习教程,针对没有任何Java基础的读者学习,让你从入门到精通,主要介绍了一些Java基础的核心知识,让同学们更好更方便的学习和了解Java编程,感兴趣的同学可以关注一下。

选你想看

你适合学Java吗?4大专业测评方法

代码逻辑 吸收能力 技术学习能力 综合素质

先测评确定适合在学习

在线申请免费测试名额
价值1998元实验班免费学
姓名
手机
提交