百度360必应搜狗淘宝本站头条
头像打包下载acmecadconverter_8.52绿色版mysql 昨天的日期个人网站源码word文档批量处理大师破解版
当前位置:网站首页 > 技术教程 > 正文

Shiro框架:认证和授权原理(shiro权限认证流程)

csdh11 2025-05-02 09:51 1 浏览

优质文章,及时送达

前言

Shiro作为解决权限问题的常用框架,常用于解决认证、授权、加密、会话管理等场景。本文将对Shiro的认证和授权原理进行介绍:

  • Shiro可以做什么?、

  • Shiro是由什么组成的?

  • 举个Shiro的例子呗?

  • Shiro认证的原理是咋样的?

  • Shiro授权的原理是咋样的?

1. Shiro可以做什么?

在构建一个网络应用的时候,权限检验管理作为非常重要的安全措施,需要包含以下几点:

  • 用户认证— 用户身份识别。得知道来的人是谁;
  • 用户授权— 用户权限访问控制。得知道来的人有没有资格进来,又不是“我家大门常打开”;
  • 密码加密— 加密敏感数据,防止被偷窥。就像是家里上锁,上几把锁,原子锁还是电子锁?
  • 会话管理— 与用户相关的时间敏感的状态信息。类似于阅后即焚的信件。

Shiro支持以上的功能,而且它提供的API可以帮助我们很容易就开发出足够好的应用。Shiro具备认证、授权、加密、会话管理、集成Web、缓存等功能,相当好用。

2. Shiro是由什么组成的?

下图是Shiro的架构图:

可以看出来,Security Manager是Shiro的核心,连认证、授权、会话管理等都是在这里面执行的。接下来我们来看看这些组件分别是做什么用的:

  • Subject:主体,可以是用户或程序,主体可以访问Security Manager以获得认证、授权、会话等服务;
  • Security Manager:安全管理器,主体所需的认证、授权功能都是在这里进行的,是Shiro的核心;

    • Authenticator:认证器,主体的认证过程通过Authenticator进行;

    • Authorizer:授权器,主体的授权过程通过Authorizer进行;

    • Session Manager:shiro的会话管理器,与web应用提供的Session管理分隔开;

    • Session DAO:通过Session DAO管理Session数据,针对个性化的Session数据存储,需要使用到Session DAO;

    • Cache Manager:缓存管理器,主要对Session和授权数据进行缓存。因为这些数据不怎么改变,为了提高访问速度选择将其缓存起来;

    • Realm:域,可以有一个或多个域,可通过Realm存储授权和认证的逻辑;

  • Cryptography:密码管理,Shiro提供了一套加密/解密的组件,如MD5散列算法等。

3. 举个Shiro的例子呗?

笔者采用Shiro官网给的例子,来梳理Shiro认证、授权的过程:

shiro.ini

创建一个文件shiro.ini,其功用相当于Realm。shiro默认使用的也是IniRealm:

# =============================================================================
# Tutorial INI configuration
#
# Usernames/passwords are based on the classic Mel Brooks' film "Spaceballs" :)
# =============================================================================

# -----------------------------------------------------------------------------
# Users and their (optional) assigned roles
# username = password, role1, role2, ..., roleN
# -----------------------------------------------------------------------------
[users]
root = secret, admin
guest = guest, guest
presidentskroob = 12345, president
darkhelmet = ludicrousspeed, darklord, schwartz
lonestarr = vespa, goodguy, schwartz

# -----------------------------------------------------------------------------
# Roles with assigned permissions
# roleName = perm1, perm2, ..., permN
# -----------------------------------------------------------------------------
[roles]
admin = *
schwartz = lightsaber:*
goodguy = winnebago:drive:eagle5

在上面这串代码中,已经给出了用户和角色信息。root = secret, admin表示,用户名为root,密码是secret,角色是admin;**schwartz = lightsaber:**表示角色schwartz拥有权限lightsaber:

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class Tutorial {

private static final transient Logger log = LoggerFactory.getLogger(Tutorial.class);

public static void main(String[] args) {
log.info("My First Apache Shiro Application");

//引用shiro.ini的配置信息
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//获取SecurityManager安全管理器
SecurityManager securityManager = factory.getInstance;
SecurityUtils.setSecurityManager(securityManager);

// get the currently executing user:
//获取单签主体(用户)
Subject currentUser = SecurityUtils.getSubject;

// Do some stuff with a Session (no need for a web or EJB container!!!)
//获取当前主体的会话
Session session = currentUser.getSession;
session.setAttribute("someKey", "aValue");
String value = (String) session.getAttribute("someKey");
if (value.equals("aValue")) {
log.info("Retrieved the correct value! [" + value + "]");
}

// let's login the current user so we can check against roles and permissions:
//判断当前用户是否认证
if (!currentUser.isAuthenticated) {
//将账号和密码封装为UsernamePasswordToken中
UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
//记住我
token.setRememberMe(true);
try {
//进行登录操作
currentUser.login(token);
} catch (UnknownAccountException uae) {
log.info("There is no user with username of " + token.getPrincipal);
} catch (IncorrectCredentialsException ice) {
log.info("Password for account " + token.getPrincipal + " was incorrect!");
} catch (LockedAccountException lae) {
log.info("The account for username " + token.getPrincipal + " is locked. " +
"Please contact your administrator to unlock it.");
}
// ... catch more exceptions here (maybe custom ones specific to your application?
catch (AuthenticationException ae) {
//unexpected condition? error?
}
}

//say who they are:
//print their identifying principal (in this case, a username):
log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");

//test a role:
//检查是否有相应角色权限
if (currentUser.hasRole("schwartz")) {
log.info("May the Schwartz be with you!");
} else {
log.info("Hello, mere mortal.");
}

//test a typed permission (not instance-level)
//判断是否有资源操作权限
if (currentUser.isPermitted("lightsaber:wield")) {
log.info("You may use a lightsaber ring. Use it wisely.");
} else {
log.info("Sorry, lightsaber rings are for schwartz masters only.");
}

//a (very powerful) Instance Level permission:
if (currentUser.isPermitted("winnebago:drive:eagle5")) {
log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'. " +
"Here are the keys - have fun!");
} else {
log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}

//all done - log out!
//退出
currentUser.logout;

System.exit(0);
}
}

我们可以从示例代码中提取出认证、授权过程中比较常用的API:

认证

//获取当前主体(用户)
Subject currentUser = SecurityUtils.getSubject;
//判断当前用户是否认证
currentUser.isAuthenticated
//将账号和密码封装为UsernamePasswordToken中
UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
//记住我
token.setRememberMe(true);
//进行登录操作
currentUser.login(token);

判断权限

//检查是否有相应角色权限
currentUser.hasRole("schwartz")
//判断是否有资源操作权限
currentUser.isPermitted("lightsaber:wield")

从上面代码我们可以看出,Shiro中认证过程大概是:

  • 先获取当前用户信息,判断当前用户是否认证

  • 如果没认证,就将账号和密码封装成UserPasswordToken,进行登录操作

接下来,我们通过读源码,来看看Shiro的认证和授权原理是怎么样的。

4. Shiro认证的原理是咋样的?

通过从login方法使用Debug追踪Shiro的认证逻辑,可以得到以下代码执行顺序:

//在构造了Security Manager之后,提交认证,参数是封装了用户信息的token
currentUser.login(token);

//Security Manager执行认证
Subject subject = this.securityManager.login(this, token);

AuthenticationInfo info = this.authenticate(token);

//Security Manager委托给Authenticator执行认证逻辑
this.authenticator.authenticate(token);

AuthenticationInfo info = this.doAuthenticate(token);

//获取多Realm进行身份认证
Collection<Realm> realms = this.getRealms;
doSingleRealmAuthentication(realm, token);

AuthenticationInfo info = realm.getAuthenticationInfo(token);

//调用对应的Realm进行校验,认证成功则返回用户属性
AuthenticationInfo info = realm.doGetAuthenticationInfo(token);

简单说,认证过程的流程是这样的:

5. Shiro授权的原理是咋样的?

我们还是追踪一下源码,可以知道以下执行顺序:

//判断当前主体是否有角色限制
currentUser.hasRole("schwartz")
//判断当前主体是否具备资源操作权限
currentUser.isPermitted("lightsaber:wield")

//委托给securityManager判断角色是否与既定的角色匹配
this.securityManager.hasRole(this.getPrincipals, roleIdentifier)

//securityManager委托Authorizer进行角色检验
this.authorizer.hasRole(principals, roleIdentifier)

//Authorizer判断Realm的角色/权限是否和传入的匹配
AuthorizationInfo info = this.getAuthorizationInfo(principal);
return info.getRoles.contains(roleIdentifier)

//执行Realm进行授权操作
info = this.doGetAuthorizationInfo(principals);

简单点看,Shiro的授权过程是这样的:

综上,我们可以知道,无论是认证还是授权操作,都需要SecurityManager中的Realm来定义用户认证时需要的账户信息,以及授权时所需的权限信息。而Realm一般不会采用Shiro官网介绍的“ini配置文件”方式,而是通过自定义Realm组件来实现:

public class UserRealm extends AuthorizingRealm {
/**
* 执行授权逻辑
*
* @param principalCollection
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
User user = (User) principalCollection.getPrimaryPrincipal;
SecurityUtils.getSubject.getSession.setAttribute(String.valueOf(user), SecurityUtils.getSubject.getPrincipals);

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo;

info.addRole(...);
return info;
}

/**
* 执行认证逻辑
*
* @param authenticationToken
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
User user = userService.findByName(token.getUsername);
if (user == || !token.getUsername.equals(user.getUsername)) {
throw new UnknownAccountException("此账号不存在");
}
...
return new SimpleAuthenticationInfo(user);
}
}

如果采用上述方式来定义Realm,那么还需要自定义ShiroConfig作为组件。实现Shiro实现认证和授权的资料很多,大家也可以参考一下官网的资料:
http://shiro.apache.org/tutorial.html

参考资料:
shiro原理及其运行流程介绍
极简入门,Shiro的认证与授权流程解析

-END-

如果看到这里,说明你喜欢这篇文章,请 转发、点赞。同时 标星(置顶)本公众号可以第一时间接受到博文推送。

1. 今天我们来聊一聊 Spring 中的线程安全性

强烈推荐 16 款 IDEA 插件

3.30 分钟学会如何使用 Shiro

Spring Boot+Redis实现接口自动幂等

最近整理一份面试资料《Java技术栈学习手册》,覆盖了Java技术、面试题精选、Spring全家桶、Nginx、SSM、微服务、数据库、数据结构、架构等等。

相关推荐

Github霸榜的SpringBoot全套学习教程,从入门到实战,内容超详细

前言...

SpringBoot+LayUI后台管理系统开发脚手架

源码获取方式:关注,转发之后私信回复【源码】即可免费获取到!项目简介本项目本着避免重复造轮子的原则,建立一套快速开发JavaWEB项目(springboot-mini),能满足大部分后台管理系统基础开...

Spring Boot+Vue全栈开发实战,中文版高清PDF资源

SpringBoot+Vue全栈开发实战,中文高清PDF资源,需要的可以私我:)SpringBoot致力于简化开发配置并为企业级开发提供一系列非业务性功能,而Vue则采用数据驱动视图的方式将程序...

2021年超详细的java学习路线总结—纯干货分享

本文整理了java开发的学习路线和相关的学习资源,非常适合零基础入门java的同学,希望大家在学习的时候,能够节省时间。纯干货,良心推荐!第一阶段:Java基础...

探秘Spring Cache:让Java应用飞起来的秘密武器

探秘SpringCache:让Java应用飞起来的秘密武器在当今快节奏的软件开发环境中,性能优化显得尤为重要。SpringCache作为Spring框架的一部分,为我们提供了强大的缓存管理能力,让...

3,从零开始搭建SSHM开发框架(集成Spring MVC)

目录本专题博客已共享在(这个可能会更新的稍微一些)https://code.csdn.net/yangwei19680827/maven_sshm_blog...

Spring Boot中如何使用缓存?超简单

SpringBoot中的缓存可以减少从数据库重复获取数据或执行昂贵计算的需要,从而显著提高应用程序的性能。SpringBoot提供了与各种缓存提供程序的集成,您可以在应用程序中轻松配置和使用缓...

我敢保证,全网没有再比这更详细的Java知识点总结了,送你啊

接下来你看到的将是全网最详细的Java知识点总结,全文分为三大部分:Java基础、Java框架、Java+云数据小编将为大家仔细讲解每大部分里面的详细知识点,别眨眼,从小白到大佬、零基础到精通,你绝...

1,从零开始搭建SSHM开发框架(环境准备)

目录本专题博客已共享在https://code.csdn.net/yangwei19680827/maven_sshm_blog1,从零开始搭建SSHM开发框架(环境准备)...

做一个适合二次开发的低代码平台,把程序员从curd中解脱出来-1

干程序员也有好长时间了,大多数时间都是在做curd。现在想做一个通用的curd平台直接将我们解放出来;把核心放在业务处理中。用过代码生成器,在数据表设计好之后使用它就可以生成需要的controller...

设计一个高性能Java Web框架(java做网站的框架)

设计一个高性能JavaWeb框架在当今互联网高速发展的时代,构建高性能的JavaWeb框架对于提升用户体验至关重要。本文将从多个角度探讨如何设计这样一个框架,让我们一起进入这段充满挑战和乐趣的旅程...

【推荐】强&amp;牛!一款开源免费的功能强大的代码生成器系统!

今天,给大家推荐一个代码生成器系统项目,这个项目目前收获了5.3KStar,个人觉得不错,值得拿出来和大家分享下。这是我目前见过最好的代码生成器系统项目。功能完整,代码结构清晰。...

Java面试题及答案总结(2025版持续更新)

大家好,我是Java面试分享最近很多小伙伴在忙着找工作,给大家整理了一份非常全面的Java面试场景题及答案。...

Java开发网站架构演变过程-从单体应用到微服务架构详解

Java开发网站架构演变过程,到目前为止,大致分为5个阶段,分别为单体架构、集群架构、分布式架构、SOA架构和微服务架构。下面玄武老师来给大家详细介绍下这5种架构模式的发展背景、各自优缺点以及涉及到的...

本地缓存GuavaCache(一)(guava本地缓存原理)

在并发量、吞吐量越来越大的情况下往往是离不开缓存的,使用缓存能减轻数据库的压力,临时存储数据。根据不同的场景选择不同的缓存,分布式缓存有Redis,Memcached、Tair、EVCache、Aer...

一周热门
最近发表
标签列表