一、名词解释
1、Subject:即" 当前操作用户 "。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。(主体要访问系统、系统需要对主体进行认证、授权。)
2、SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。(主体通过验证和授权都是通过SecurityManager进行的。)
3、Realm:Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。 从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。 Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。(通过realm存取认证、授权相关数据)
应用代码通过subject来进行认证和授权,而subject又委托给SecurityManager,我们需要给Shiro的SecurityManager注入Realm,从而让SecurityManager能够得到合法的用户及其权限进行判断。因此Shiro是不提供维护用户/权限的,而是通过Realm让开发者自己注入。
4、cacheManager:缓存管理器,主要对session和授权数据进行缓存,比如将授权数据通过cacheManager进行缓存管理,和ehcache整合对缓存数据进行管理。
5、sessionManager:web应用中一般是用web容器对session进行管理,shiro提供一套session管理的方式。
6、sessionDao:通过sessionDao管理session数据,针对个性化的session数据存储需要使用sessionDao。
7、cryptography:密码模块,用于加密/解密的。
二、Shiro如何来完成权限验证?
通过调用Subject.hasRoles(...) 或 Subject.isPermitted(...) 和 Subject.checkRoles(...) 或 Subject.checkPermissions(...)
两种的区别是后两种检验在没有权限时会抛出异常。
关于权限的定义,在Shiro中可以这么来定义权限字符串:资源标识符 : 操作 : 对象实例ID。另外这里支持通配符配置。
Shiro内部有一个PermissionResolver来负责将这类字符串解析为Permission对象。
授权的流程:
1、当我们调用Subject.hasRole(...)后
2、首先会委托给securityManager来处理,而securityManager内部有一个Authorizer来做真正的授权,默认实现为ModularRealmAuthorizer。
3、ModularRealmAuthorizer可以根据多个Realm来判断是否拥有相应的角色,其中只要某个Realm匹配,则返回true。
4、AuthorizingRealm对于判断hasRole的逻辑也很简单
protected boolean hasRole(String roleIdentifier, AuthorizationInfo info) { return info != null && info.getRoles() != null && info.getRoles().contains(roleIdentifier); }而对于Subject.isPermitted(...)稍微会显得复杂一些,前三步都一样,就是 AuthorizingRealm对于判断 isPermitted的逻辑稍微有点不一样。它会先将权限字符串转换成 Permission,将用户的权限转换成List<Permission>,这里的List<Permission>由三个部分组成:1、通过AuthorizationInfo.getObjectPermissions()得到Permission实例集合。 2、通过AuthorizationInfo. getStringPermissions()得到字符串集合并通过PermissionResolver解析为Permission实例。
3、然后获取用户的角色,并通过RolePermissionResolver解析角色对应的权限集合(默认没有实现,可以自己提供)。
而JdbcRealm的实现是使用了stringPermissions,接下来,用Permission和List进行匹配,其中遍历用户权限的匹配方法就是implies(...),这个单词可以理解成“蕴含”的意思:
private boolean isPermitted(Permission permission, AuthorizationInfo info) { Collection<Permission> perms = getPermissions(info); if (perms != null && !perms.isEmpty()) { for (Permission perm : perms) { if (perm.implies(permission)) { return true; } } } return false; } 使用声明式的鉴权需要启用aspectJ自动代理,并支持对类的代理。
<aop:aspectj-autoproxy proxy-target-class="true" /> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager" /> </bean>
鉴权流程:
服务端将页面传来的权限信息和缓存中权限信息比较,有权限则返回true,否则返回false。
shiro中的isPermitted方法:
public boolean isPermitted(PrincipalCollection principals, String permission) { Permission p = getPermissionResolver().resolvePermission(permission); return isPermitted(principals, p); } public boolean isPermitted(PrincipalCollection principals, Permission permission) { AuthorizationInfo info = getAuthorizationInfo(principals); return isPermitted(permission, info); } isPermitted会先将传进来的权限字符串转化为shiro的Permission实例;接着回去获取授权信息AuthorizationInfo;获取授权信息时,它是先从缓存中获取,如果缓存中没有,则会调用doGetAuthorizationInfo(principals)获取。doGetAuthorizationInfo(principals)是在自定义realm域中重写的授权方法。shiro不提供角色和权限的维护,如果程序其他地方要用到权限或角色信息,或者如果需要在应用中判断用户是否有相应角色,用户是否有权限,就需要在相应的Realm中返回角色、权限信息,所有的信息都可以通过SecurityUtils.getSubject()来获取。 对于角色的控制访问,shiro提供了checkRole/checkRoles 和 hasRole/hasAllRoles 不同的地方是前者它在判断为假的情况下会抛出UnauthorizedException异常。
对于权限的控制访问,shiro提供了isPermitted/isPermittedAll 和 checkPermission/checkPermissions 不同的地方在于后者它在判断为假的情况下会抛出UnauthorizedException异常。
