目錄

一、導語

二、shiro功能介紹

三、shiro詳解

四、shiro實戰(zhàn)案例分享

五、系統(tǒng)配置

六、其他

一、導語

今天推薦給大家一個非常簡單，實用的開源權限框架：Shiro，這也是Java官方推薦的權限框架。

盡管網(wǎng)上有很多類似的文章，但是都不夠完善，尤其是涉及到 freemaker，springboot，shiro，redis 整合的文章非常少，并且更多的是理論，缺失完整的可運行的源代碼。

本文提供的源碼，你可以將代碼直接拷貝到自己項目使用，參數(shù)可配置，提供完整的文檔。

源代碼實現(xiàn)的功能：

• 提供可視化后臺界面；

• 管理員后臺添加用戶、系統(tǒng)功能、角色，關聯(lián)系統(tǒng)功能和角色,分配用戶角色；

• 登錄/身份認證；

• 權限驗證；

• 會話管理（redis實現(xiàn)分布式集群管理）；

• 緩存（redis實現(xiàn)分布式集群管理）；

• 登錄失敗次數(shù)限制（redis實現(xiàn)分布式集群管理）；

二、shiro介紹

首先，讓我們先了解一下Shiro到底是什么？

Shiro是一個強大且簡單易用的Java安全框架，主要用來做認證，授權，加密，會話管理。相比于具備類似功能的

Spring Security來說，Shiro要簡單的多，并且滿足絕大部分企業(yè)級系統(tǒng)應用。

Shiro具體有哪些功能呢，下面簡單列舉一些：

• 登錄/身份認證；

• 驗證權限，即，驗證某個人是否有做某件事的權限；

• 會話管理，管理用戶特定的會話（支持分布式session管理），支持web,非web,ejb；

• 加密，保證數(shù)據(jù)安全；

• Caching：緩存（支持分布式cache管理）；

• 登錄失敗次數(shù)限制；
  

• Remember Me：即記住登錄狀態(tài)，一次登錄，下次再來的話不用重復登錄；

• Run As：允許一個用戶假裝為另一個用戶（如果他們允許）的身份進行訪問；

• Shiro可以很友好的與Spring集成，支持jsp標簽（官方不支持freemaker標簽，本文源碼實現(xiàn)一套freemaker標簽）；

三、shiro詳解

本小節(jié)重點講解 Shiro的體系結構，以及一些相關的術語。

通過認證和權限控制流程的講解，使讀者基本掌握shiro的運行原理。

1、系統(tǒng)架構

Shiro有三個關鍵概念：

• Subject

• SecurityManager

• Realms

三者的關系如下圖所示：

• Subject：

  本質上就是當前訪問用戶的抽象描述。Shiro對外主要提供了以Subject為核心的一些列API，各種用戶驗證與權限控制的接口都是圍繞著Subject來設計的。

  但是所有Subject都需要SecurityManager，當你與Subject進行交互，這些交互行為實際上被轉換為與SecurityManager的交互。

• SecurityManager：

  Shiro架構中最核心的組件，通過它可以協(xié)調其他組件完成用戶認證和授權。

  SecurityManager就是Shiro框架的控制器，執(zhí)行安全相關的操作并管理該應用的所有用戶的狀態(tài)。

  這些操作和狀態(tài)包括：

1. 用戶認證；

2. 權限控制；

3. 回話管理；

4. 緩存管理；

5. Realm的協(xié)調調度；

6. 事件傳播；

7. “Remember Me”服務；

8. 創(chuàng)建Subject；

9. 退出登錄；

• Realms：

  定義了訪問數(shù)據(jù)的方式，用來連接不同的數(shù)據(jù)源，如：LDAP，關系數(shù)據(jù)庫，配置文件等等當需要與安全數(shù)據(jù)交互的時候，像用戶賬戶，或者訪問控制，Shiro就從一個或多個Realms中查找。Shiro提供了一些可以直接使用的Realms，如果默認的Realms不能滿足需求，也可以自定義Realms（本文自定義Realms，數(shù)據(jù)來源mysql，提供完整的數(shù)據(jù)庫表結構和演示數(shù)據(jù)）。

2、系統(tǒng)詳細架構

• Authenticator（用戶認證管理器）

  這個組件主要用于處理用戶登錄邏輯，他通過調用Realm的接口來判斷當前登錄的用戶的身份。

• AuthenticationStrategy（用戶認證策略）

  如果系統(tǒng)配置了多個Realm，則需要使用AuthenticationStrategy來協(xié)調這些Realm以便決定一個用戶登錄的認證是成功還是失敗。（比如，如果一個Realm驗證成功了，但是其他的都失敗了，那么這次認證算是成功了嗎？還是說必須所有的Realm都認為成功了才算成功？或者是第一個成功就算成功？可見，策略還是蠻復雜的）。

• Authorizer（權限管理器）

  這個組件主要是用來做用戶的訪問控制。通俗來說就是決定用戶能做什么、不能做什么。

• SessionManager（會話管理器）

  SessionManager知道如何創(chuàng)建會話、管理用戶回話的生命周期以便在所有運行環(huán)境下都可以給用戶提供一個健壯的會話管理體驗。SessionDAO允許用戶使用任何類型的數(shù)據(jù)源來存儲Session數(shù)據(jù)。

• SessionDAO(org.apache.shiro.session.mgt.eis.SessionDAO)

  用于代替SessionManager執(zhí)行Session相關的增刪改查。這個接口允許我們將任意種類的數(shù)據(jù)存儲方式引入到Session管理的基礎框架中。

  （本文源碼實現(xiàn)了redisDao，用redis實現(xiàn)session的統(tǒng)一管理，同時，源碼還提供了內存管理session，可以通過配置方便的切換使用。）

• Cache

  緩存 authentication, authorization 和 session 等數(shù)據(jù)，提升應用的性能。由于Cache不屬于安全框架的核心功能，所以shiro本身并沒有完全實現(xiàn)Cache機制。Cache接口相當于底層的緩存框架的頂層接口，shiro的一切的緩存操作都與這個Cache頂層接口操作，而底層的實現(xiàn)可以是任何Cache實例（JAche、Ehcache、RedisCache，OSCache、JBossCache..）

  （本文源碼實現(xiàn)了Ehcache，RedisCache 和內存Cache。三者可以通過配置，方便的切換使用。）
  

• CacheManager(org.apache.shiro.cache.CacheManager)

  緩存管理器。創(chuàng)建和管理緩存，為 authentication, authorization 和 session management 提供緩存數(shù)據(jù)，避免直接訪問數(shù)據(jù)庫，提高效率。

  cacheManager維護了Cache實例的生命周期，它和Cache一樣，只是shiro的緩存框架的頂層接口，具體底層實現(xiàn)可以是任意的。

  （本文源碼實現(xiàn)了RedisCacheManager，用redis實現(xiàn)cache的統(tǒng)一管理。同時，源碼還提供了內存和ehcache管理cache，可以通過配置，方便的切換使用。）
  

3、其他基本概念解釋

• 分布式會話管理

  將session保存到獨立緩存服務器，保證服務在重啟或 nginx做負載均衡的時候，用戶session可見。

  （本文提供的源碼使用redis保存session會話。）

• freemaker標簽

  通過使用標簽，可以非常方便的實現(xiàn)前后端數(shù)據(jù)通信。

  默認Shiro支持jsp標簽，但不支持freemaker標簽。為了滿足前端使用freemaker的系統(tǒng)使用Shiro，特定制化一套freemaker 的shiro標簽，并提供源碼。

四、shiro實戰(zhàn)案例分享

本小節(jié)分三部分

• 數(shù)據(jù)庫表介紹

• 權限管理系統(tǒng)源代碼結構詳解
  

• 認證&授權流程分析

數(shù)據(jù)庫表

權限管理系統(tǒng)源代碼結構詳解

項目結構圖示：

如圖所示，本項目包括四個子項目

1、demo-shiro-interface

項目展開如下：

該子項目主要功能是提供與用戶、角色、功能、權限和分頁相關的接口類和實體。

2、demo-shiro-service

項目展開如下：

該子項目主要功能是實現(xiàn)demo-shiro-interface中的接口類，業(yè)務邏輯編碼實現(xiàn)。

3、demo-shiro-web

項目展開如下：

其中

• UserController.java

  用戶登錄認證，登出管理，用戶添加，用戶審核等功能。
  

• SysController.java

  系統(tǒng)功能模塊管理。

• *Tag.java

  專為freemaker定制的Shiro標簽，本項目的關鍵部分。

• CustomShiroSessionDAO.java
  

  自定義session 管理，本項目提供依賴redis集中會話管理的功能，本項目的關鍵部分。

• RedisCacheManager.java

  自定義Cache 管理，本項目提供依賴redis集中Cache管理的功能，本項目的關鍵部分。

• MyShiroRealm.java

  自定義 realm，用戶認證和授權均需要使用該類提供的功能，本項目的關鍵部分。

• FreemarkerConfiguration.java

• ShiroTagFreeMarkerConfigurer.java

  自定義的freemaker的shiro標簽注入實現(xiàn)。

4、springboot-shiro-configure

項目展開如下：

其中

• *Properties.java

  讀取application.yml 配置文件中對應的配置參數(shù)，如session過期時間，連續(xù)最大登錄失敗次數(shù)等。

• RetryLimitHashedCredentialsMatcher.java

  管理 連續(xù)最大登錄失敗次數(shù)以及時間間隔，當達到最大登錄失敗次數(shù)后，系統(tǒng)提示用戶N分鐘內無法繼續(xù)重試。

• ShiroAutoConfiguration.java ShiroConfiguration.java

  Shiro允許用戶自定義Realms，CacheManager，SessionManager ，這兩個類文件的功能就是實現(xiàn)自定義類的依賴管理。

  這兩個類也是Shiro 與 spring boot 集成的關鍵部分。

  此處源碼實現(xiàn)涉及到 spring boot @ConditionalOnxxx 的相關注解技術，建議讀者學習相關技術點。

以上源碼文件中有非常完善的注釋，有興趣的同學可以讀一讀。

認證&授權流程分析

Shiro 所有的功能都圍繞兩個核心功能展開，即用戶登錄認證 和用戶訪問授權。除這兩個核心功能外，本項目還自定義了cacheManager，sessionManager，使用多種方式做cache和session管理。

本小節(jié)將對以上四個問題做解析。

1、用戶登錄認證

shiro用戶認證時序圖

通過調用Subject.login(token)方法開始用戶認證流程。

執(zhí)行 currentUser.login(token) 后 ,SecurityManager會收到AuthenticationToken,并將其發(fā)送給已配置的Realm執(zhí)行必須的認證。所以這一步在調用login(token)方法時,它會走到MyRealm.doGetAuthenticationInfo()方法中,具體驗證方式如下：

MyShiroRealm.doGetAuthenticationInfo()。

UserRealm繼承AuthorizingRealm，在其父類AuthenticatingRealm的getAuthenticationInfo方法中會調用credentialsMatcher的 doCredentialsMatch 來驗證用戶輸入用戶名密碼是否匹配。

使用HashedCredentialsMatcher來進行加密。加密方式為salt自定義（本項目使用的www）、hash次數(shù)為1024、Base64解碼，加密算法為md5。

對應的配置文件applications.yml

用戶注冊時，密碼明晚修改為密文，具體代碼實現(xiàn)如下：

其中 Constants.initPassword 是添加用戶時默認的密碼：111111.

用戶退出登錄時，Shiro用戶必須執(zhí)行l(wèi)ogout()，必須要注銷Session信息，避免影響下一次用戶認證和授權

SecurityUtils.getSubject().logout();

req.getSession().invalidate();

2、用戶訪問授權

shiro訪問授權時序圖

用戶認證通過后，進入后臺管理系統(tǒng)。

在后臺系統(tǒng)使用 freemaker 構建，sidebar.flt模板文件中管理所有菜單。其中的 freemaker 的shiro 標簽配置如下：

紅色邊框 name=“4” 或name=“4-1” 其中的 4 ，4-1 代表的下圖所示 紅框中的 role.getPermissionsName()值。

permissionsName 的值來源于 后臺添加功能時，為菜單設置的值。如下圖:

3、session管理

系統(tǒng)提供兩種session管理方式

• ehcache管理

• Redis集中管理

配置：

ShiroConfiguration.java

注釋掉該方法時 ，shiro的會話session默認由ehcache管理。

打開該方法時，shiro的會話session由redis管理。

4、cache管理

系統(tǒng)提供三種session管理方式

• 本地內存管理

• ehcache管理
  

• Redis集中管理

配置：

ShiroConfiguration.java

想使用哪種方式，就將其他另外兩種方式注釋掉。

（有興趣的同學可以開發(fā)一個新功能，通過配置參數(shù)來開啟某種session管理方式）

五、系統(tǒng)配置

本小節(jié)分兩個部分

• Shiro管理配置

  主要涉及到兩個配置文件application.yml 和ehcache.xml ，下面會有針對各個配置參數(shù)的詳細介紹。
  

• 后臺系統(tǒng)權限配置

  使用后臺管理系統(tǒng)的頁面，添加用戶，系統(tǒng)功能，角色，權限，用戶權限分配。

1、Shiro管理配置

application.yml

• realm-class

  自定義 realm（com.xinwei.shiro.MyShiroRealm），完成認證和授權。

• custom-authc-filter-class:

  自定義過濾器com.xinwei.shiro.AjaxAuthorizationFilter。

• login-url

  登錄url，會話超時繼續(xù)訪問系統(tǒng)時，自動跳轉到該url。

• success-url

  認證通過后，系統(tǒng)進入該url功能界面。

• retry-max

  用戶登錄認證，允許的最大連續(xù)失敗次數(shù)。

• retry-expire-time-redis

  用戶登錄認證，達到最大連續(xù)失敗次數(shù)后，需要等待再次輸入的時間間隔（單位：秒）。

  （只有當使用redis管理cache時，該參數(shù)才生效。如果使用ehcache 管理cache，則需要參考ehcache.xml。）

• authorization-expire-time-redis

  用戶授權檢驗 的緩存過期時間，在過期時間內，用訪問需要授權的菜單時，無需重復執(zhí)行，提升了系統(tǒng)的訪問效率。

  （只有當使用redis管理sesson時，該參數(shù)才生效。如果使用ehcache 管理cache，則需要參考ehcache.xml。）

• hash-iterations

  密碼加密時，做的hash次數(shù)，本案例做1024次hash。

• hash-algorithm-name

  密碼加密時使用的加密方法，本案例采用MD5。

• stored-credentials-hex-encoded
  

  默認值是true，默認采用Hex解碼，false時，采用Base64解碼。

• global-session-timeout

  會話存活時間（注意，單位是毫秒，0表示立即過期，-1表示永不過期）。
  

• validation-interval

  檢查session是否過期的時間間隔。

• validation-scheduler-enabled

  true，掃描session線程,負責清理超時會話。

• filter-chain-definitions:

• /media/**: anon

  訪問該目錄下的文件，不需要做權限校驗。
  

• /admin/**: authc

  設置攔截器，訪問該目錄下的文件事，需要做權限校驗。
  

ehcache.xml

參加具體含義參考 https://www.cnblogs.com/sdream/p/5966668.html。

2、后臺系統(tǒng)權限配置

• 添加用戶

注意：新添加的后臺用戶，密碼默認是：111111，且審核通過后才可以登錄本系統(tǒng)。

• 為用戶添加角色

• 添加系統(tǒng)功能：

功能編碼必須唯一，在freemaker 處需要使用該功能編碼。

• 添加角色

• 給角色賦權限

六、其他

Shiro是一個功能很齊全的框架，使用起來也很容易，但是要想用好卻有相當難度。歡迎大家多動手實踐，遇到問題一起討論。

項目源碼地址：

https://github.com/wzjgn/shiro-freemaker-springboot-redis-mysql.git

參考：

https://www.cnblogs.com/learnhow/p/5694876.html

http://lgbolgger.iteye.com/blog/2170522