一、权限的管理

1.1 什么是权限管理

基本上涉及到用户参与的系统都要进行权限管理，权限管理属于系统安全的范畴，权限管理实现对用户访问系统的控制，按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

权限管理包括用户身份认证和授权两部分，简称认证授权。对于需要访问控制的资源用户首先经过身份认证，认证通过后用户具有该资源的访问权限方可访问。

2、什么是身份认证

身份认证，就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户的用户名和口令一致，来判断用户身份是否正确。对于采用指纹等系统，则出示指纹；对于硬件Key等刷卡系统，则需要刷卡。

2、什么是授权

授权，即访问控制，控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源，对于某些资源没有权限是无法访问的

二、什么是shiro

Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.

Shiro 是一个功能强大且易于使用的Java安全框架，它执行身份验证、授权、加密和会话管理。使用Shiro易于理解的API，您可以快速轻松地保护任何应用程序—从最小的移动应用程序到最大的web和企业应用程序。

Shiro是apache旗下一个开源框架，它将软件系统的安全认证相关的功能抽取出来，实现用户身份认证，权限授权、加密、会话管理等功能，组成了一个通用的安全认证框架。

三、shiro的核心架构

1、Subject

Subject即主体，外部应用与subject进行交互，subject记录了 当前操作用户，将用户的概念理解为当前操作的主体，可能是一个通过浏览器请求的用户，也可能是一个运行的程序。 Subject在shiro中是一个接口，接口中定义了很多认证授相关的方法，外部程序通过subject进行认证授，而subject是通过SecurityManager安全管理器进行认证授权

2、SecurityManager

SecurityManager即安全管理器，对全部的subject进行安全管理，它是shiro的 *核心 *，负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等，实质上SecurityManager是通过Authenticator进行认证，通过Authorizer进行授权，通过SessionManager进行会话管理等。

SecurityManager是一个接口，继承了Authenticator, Authorizer, SessionManager这三个接口。

3、 Authenticator

Authenticator即认证器，对用户身份进行认证，Authenticator是一个接口，shiro提供ModularRealmAuthenticator实现类，通过ModularRealmAuthenticator基本上可以满足大多数需求，也可以自定义认证器。

4 、Authorizer

Authorizer即授权器，用户通过认证器认证通过，在访问功能时需要通过授权器判断用户是否有此功能的操作权限。

5、 Realm

Realm即领域，相当于datasource数据源，securityManager进行安全认证需要通过Realm获取用户权限数据，比如：如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。

• 注意：不要把realm理解成只是从数据源取数据，在realm中还有认证授权校验的相关的代码。

6、 SessionManager

sessionManager即会话管理，shiro框架定义了一套会话管理，它不依赖web容器的session，所以shiro可以使用在非web应用上，也可以将分布式应用的会话集中在一点管理，此特性可使它实现单点登录。

7、 SessionDAO

SessionDAO即会话dao，是对session会话操作的一套接口，比如要将session存储到数据库，可以通过jdbc将会话存储到数据库。

8、 CacheManager

CacheManager即缓存管理，将用户权限数据存储在缓存，这样可以提高性能。

9、 Cryptography

Cryptography即密码管理，shiro提供了一套加密/解密的组件，方便开发。比如提供常用的散列、加/解密等功能。

四、 shiro中的认证

1、认证

身份认证，就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户的用户名和口令一致，来判断用户身份是否正确。

2、shiro中认证的关键对象

• Subject：主体

访问系统的用户，主体可以是用户、程序等，进行认证的都称为主体；

• Principal：身份信息----用户名

是主体（subject）进行身份认证的标识，标识必须具有唯一性，如用户名、手机号、邮箱地址等，一个主体可以有多个身份，但是必须有一个主身份（Primary Principal）。

• credential：凭证信息-----密码

是只有主体自己知道的安全信息，如密码、证书等。

3、认证流程

4、 认证的开发

①并引入依赖

org.apache.shiroshiro-core1.5.3

12345

②引入shiro配置文件并加入如下配置

[users]
achang=123456
zyc=67890
sanyue=654321
#对应KV；K是账号，V是密码
#这里的账号密码测试shiro的demo中使用
123456

③开发认证代码

public class TestAuthenticator {public static void main(String[] args) {//1、创建安全管理器DefaultSecurityManager securityManager = new DefaultSecurityManager();//2、给安全管理器设置realmsecurityManager.setRealm(new IniRealm("classpath:shiro.ini"));//3、SecurityUtils 给全局安全工具类，设置安全管理器SecurityUtils.setSecurityManager(securityManager);//4、 关键对象 subject 主体Subject subject = SecurityUtils.getSubject();//5、创建令牌//传入主体信息，去与ini中的文件做匹配认证UsernamePasswordToken token = new UsernamePasswordToken("achang","321");try{subject.login(token);//用户认证System.out.println("登录成功~~");}catch (UnknownAccountException e) {e.printStackTrace();System.out.println("用户名错误!!");}catch (IncorrectCredentialsException e){e.printStackTrace();System.out.println("密码错误!!!");}}
}

• DisabledAccountException（帐号被禁用）
• LockedAccountException（帐号被锁定）
• ExcessiveAttemptsException（登录失败次数过多）
• ExpiredCredentialsException（凭证过期）等

5、自定义Realm

上边的程序使用的是Shiro自带的IniRealm，IniRealm从ini配置文件中读取用户的信息，大部分情况下需要从系统的数据库中读取用户信息，所以需要自定义realm。

①shiro提供的Realm

②根据认证源码认证使用的是SimpleAccountRealm

SimpleAccountRealm的部分源码中有两个方法一个是 认证 一个是 授权,

public class SimpleAccountRealm extends AuthorizingRealm {//.......省略//获取到我们这个demo中【.ini】文件中的user信息protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {UsernamePasswordToken upToken = (UsernamePasswordToken) token;SimpleAccount account = getUser(upToken.getUsername());if (account != null) {if (account.isLocked()) {throw new LockedAccountException("Account [" + account + "] is locked.");}if (account.isCredentialsExpired()) {String msg = "The credentials for account [" + account + "] are expired";throw new ExpiredCredentialsException(msg);}}return account;}//获取用户名protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {String username = getUsername(principals);USERS_LOCK.readLock().lock();try {return this.users.get(username);} finally {USERS_LOCK.readLock().unlock();}}
}

==所以，如果我需要自定义实现从数据源认证授权，只需要去继承重写AuthorizingRealm中的doGetAuthorizationInfo()授权==和AuthenticatingRealm中的doGetAuthenticationInfo()认证；

因为AuthorizingRealm继承了AuthenticatingRealm，所以那么继承doGetAuthorizationInfo就可以同时重写doGetAuthorizationInfo和doGetAuthenticationInfo；所以我们只需要继承AuthorizingRealm，然后重写就可以了

③自定义realm

所以如下，我们自定义了realm就继承了AuthorizingRealm，重写doGetAuthorizationInfo（授权）、doGetAuthenticationInfo（认证）

/*** 自定义realm*/
public class CustomerRealm extends AuthorizingRealm {//授权方法@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {return null;}//认证方法@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {String username = (String) token.getPrincipal();System.out.println(username);//根据jdbc/mybatis，查询数据库校验用户名if("achang".equals(username)){//参数1：数据库中返回正确的用户名//参数2：数据库中返回正确的密码//参数3：Realm的名字，由系统自动生成,this.getName()return new SimpleAuthenticationInfo(username,"123456",this.getName());}return null;}
}

④使用自定义Realm认证

public class TestAuthenticatorCusttomerRealm {public static void main(String[] args) {DefaultSecurityManager securityManager = new DefaultSecurityManager();//IniRealm realm = new IniRealm("classpath:shiro.ini");//设置为【自定义realm】获取认证数据securityManager.setRealm(new CustomerRealm());//将安装工具类中设置默认安全管理器SecurityUtils.setSecurityManager(securityManager);//获取主体对象Subject subject = SecurityUtils.getSubject();//创建token令牌UsernamePasswordToken token = new UsernamePasswordToken("achang", "123456");try {subject.login(token);//用户登录System.out.println("登录成功~~");} catch (UnknownAccountException e) {e.printStackTrace();System.out.println("用户名错误!!");}catch (IncorrectCredentialsException e){e.printStackTrace();System.out.println("密码错误!!!");}}
}

6、使用MD5和Salt

发现上面的模拟出数据库查询的密码是明文存储的；

实际应用是将盐和散列后的值存在数据库中，自动realm从数据库取出盐和加密后的值由shiro完成密码校验。

①自定义md5+salt的realm

public class CustomMD5Realm extends AuthorizingRealm {//授权@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {return null;}//认证@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {String username = (String) token.getPrincipal();//用户名if ("achang".equals(username)) {//数据库中存的密码String password = "a5adc0fc389b3236f04d1bf32e127440";//密码,123456的MD5加密String salt = "k2*dw";//盐//参数1：数据库用户名//参数2：数据库密码，md5+salt的密码//参数3：注册时的盐//参数4：realm名return new SimpleAuthenticationInfo(username,password,ByteSource.Util.bytes(salt),this.getName());}return null;}
}

②使用md5 + salt 认证

public class TestAuthenticatorCustomMD5Realm {public static void main(String[] args) {DefaultSecurityManager securityManager = new DefaultSecurityManager();//设置自定义的MD5+盐+hash散列的RealmCustomMD5Realm md5Realm = new CustomMD5Realm();//设置自定义的realm使用hash凭证匹配器，来改变密码校验方式HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();hashedCredentialsMatcher.setHashAlgorithmName("MD5");//设置hash匹配器算法hashedCredentialsMatcher.setHashIterations(1024);//设置散列次数md5Realm.setCredentialsMatcher(hashedCredentialsMatcher);securityManager.setRealm(md5Realm);SecurityUtils.setSecurityManager(securityManager);Subject subject = SecurityUtils.getSubject();//创建token令牌//用户登录使用明文密码访问UsernamePasswordToken token = new UsernamePasswordToken("achang", "123456");try {subject.login(token);//用户登录System.out.println("登录成功~~");} catch (UnknownAccountException e) {e.printStackTrace();System.out.println("用户名错误!!");}catch (IncorrectCredentialsException e){e.printStackTrace();System.out.println("密码错误!!!");}}
}