一、導(dǎo)語(yǔ)

今天推薦給大家一個(gè)非常簡(jiǎn)單，實(shí)用的開源權(quán)限框架：Shiro，這也是Java官方推薦的權(quán)限框架。

盡管網(wǎng)上有很多類似的文章，但是都不夠完善，尤其是涉及到 freemaker，springboot，shiro，redis 整合的文章非常少，并且更多的是理論，缺失完整的可運(yùn)行的源代碼。

本文提供的源碼，你可以將代碼直接拷貝到自己項(xiàng)目使用，參數(shù)可配置，提供完整的文檔。

源代碼實(shí)現(xiàn)的功能：

• 提供可視化后臺(tái)界面；

• 管理員后臺(tái)添加用戶、系統(tǒng)功能、角色，關(guān)聯(lián)系統(tǒng)功能和角色,分配用戶角色；

• 登錄/身份認(rèn)證；

• 權(quán)限驗(yàn)證；

• 會(huì)話管理（redis實(shí)現(xiàn)分布式集群管理）；

• 緩存（redis實(shí)現(xiàn)分布式集群管理）；

• 登錄失敗次數(shù)限制（redis實(shí)現(xiàn)分布式集群管理）；

二、shiro介紹

首先，讓我們先了解一下Shiro到底是什么？

Shiro是一個(gè)強(qiáng)大且簡(jiǎn)單易用的Java安全框架，主要用來(lái)做認(rèn)證，授權(quán)，加密，會(huì)話管理。相比于具備類似功能的

Spring Security來(lái)說(shuō)，Shiro要簡(jiǎn)單的多，并且滿足絕大部分企業(yè)級(jí)系統(tǒng)應(yīng)用。

Shiro具體有哪些功能呢，下面簡(jiǎn)單列舉一些：

• 登錄/身份認(rèn)證；

• 驗(yàn)證權(quán)限，即，驗(yàn)證某個(gè)人是否有做某件事的權(quán)限；

• 會(huì)話管理，管理用戶特定的會(huì)話（支持分布式session管理），支持web,非web,ejb；

• 加密，保證數(shù)據(jù)安全；

• Caching：緩存（支持分布式cache管理）；

• 登錄失敗次數(shù)限制；

• Remember Me：即記住登錄狀態(tài)，一次登錄，下次再來(lái)的話不用重復(fù)登錄；

• Run As：允許一個(gè)用戶假裝為另一個(gè)用戶（如果他們?cè)试S）的身份進(jìn)行訪問(wèn)；

• Shiro可以很友好的與Spring集成，支持jsp標(biāo)簽（官方不支持freemaker標(biāo)簽，本文源碼實(shí)現(xiàn)一套freemaker標(biāo)簽）；

三、shiro詳解

本小節(jié)重點(diǎn)講解 Shiro的體系結(jié)構(gòu)，以及一些相關(guān)的術(shù)語(yǔ)。

通過(guò)認(rèn)證和權(quán)限控制流程的講解，使讀者基本掌握shiro的運(yùn)行原理。

1、系統(tǒng)架構(gòu)

Shiro有三個(gè)關(guān)鍵概念：

• Subject

• SecurityManager

• Realms

三者的關(guān)系如下圖所示：

• Subject：

  本質(zhì)上就是當(dāng)前訪問(wèn)用戶的抽象描述。Shiro對(duì)外主要提供了以Subject為核心的一些列API，各種用戶驗(yàn)證與權(quán)限控制的接口都是圍繞著Subject來(lái)設(shè)計(jì)的。

  但是所有Subject都需要SecurityManager，當(dāng)你與Subject進(jìn)行交互，這些交互行為實(shí)際上被轉(zhuǎn)換為與SecurityManager的交互。

• SecurityManager：

  Shiro架構(gòu)中最核心的組件，通過(guò)它可以協(xié)調(diào)其他組件完成用戶認(rèn)證和授權(quán)。

  SecurityManager就是Shiro框架的控制器，執(zhí)行安全相關(guān)的操作并管理該應(yīng)用的所有用戶的狀態(tài)。

  這些操作和狀態(tài)包括：

1. 1. 用戶認(rèn)證；

   2. 權(quán)限控制；

   3. 回話管理；

   4. 緩存管理；

   5. Realm的協(xié)調(diào)調(diào)度；

   6. 事件傳播；

   7. “Remember Me”服務(wù)；

   8. 創(chuàng)建Subject；

   9. 退出登錄；

• Realms：

  定義了訪問(wèn)數(shù)據(jù)的方式，用來(lái)連接不同的數(shù)據(jù)源，如：LDAP，關(guān)系數(shù)據(jù)庫(kù)，配置文件等等當(dāng)需要與安全數(shù)據(jù)交互的時(shí)候，像用戶賬戶，或者訪問(wèn)控制，Shiro就從一個(gè)或多個(gè)Realms中查找。Shiro提供了一些可以直接使用的Realms，如果默認(rèn)的Realms不能滿足需求，也可以自定義Realms（本文自定義Realms，數(shù)據(jù)來(lái)源mysql，提供完整的數(shù)據(jù)庫(kù)表結(jié)構(gòu)和演示數(shù)據(jù)）。

2、系統(tǒng)詳細(xì)架構(gòu)

• Authenticator（用戶認(rèn)證管理器）

  這個(gè)組件主要用于處理用戶登錄邏輯，他通過(guò)調(diào)用Realm的接口來(lái)判斷當(dāng)前登錄的用戶的身份。

• AuthenticationStrategy（用戶認(rèn)證策略）

  如果系統(tǒng)配置了多個(gè)Realm，則需要使用AuthenticationStrategy來(lái)協(xié)調(diào)這些Realm以便決定一個(gè)用戶登錄的認(rèn)證是成功還是失敗。（比如，如果一個(gè)Realm驗(yàn)證成功了，但是其他的都失敗了，那么這次認(rèn)證算是成功了嗎？還是說(shuō)必須所有的Realm都認(rèn)為成功了才算成功？或者是第一個(gè)成功就算成功？可見，策略還是蠻復(fù)雜的）。

• Authorizer（權(quán)限管理器）

  這個(gè)組件主要是用來(lái)做用戶的訪問(wèn)控制。通俗來(lái)說(shuō)就是決定用戶能做什么、不能做什么。

• SessionManager（會(huì)話管理器）

  SessionManager知道如何創(chuàng)建會(huì)話、管理用戶回話的生命周期以便在所有運(yùn)行環(huán)境下都可以給用戶提供一個(gè)健壯的會(huì)話管理體驗(yàn)。SessionDAO允許用戶使用任何類型的數(shù)據(jù)源來(lái)存儲(chǔ)Session數(shù)據(jù)。

• SessionDAO(org.apache.shiro.session.mgt.eis.SessionDAO)

  用于代替SessionManager執(zhí)行Session相關(guān)的增刪改查。這個(gè)接口允許我們將任意種類的數(shù)據(jù)存儲(chǔ)方式引入到Session管理的基礎(chǔ)框架中。

  （本文源碼實(shí)現(xiàn)了redisDao，用redis實(shí)現(xiàn)session的統(tǒng)一管理，同時(shí)，源碼還提供了內(nèi)存管理session，可以通過(guò)配置方便的切換使用。）

• Cache

  緩存 authentication, authorization 和 session 等數(shù)據(jù)，提升應(yīng)用的性能。由于Cache不屬于安全框架的核心功能，所以shiro本身并沒有完全實(shí)現(xiàn)Cache機(jī)制。Cache接口相當(dāng)于底層的緩存框架的頂層接口，shiro的一切的緩存操作都與這個(gè)Cache頂層接口操作，而底層的實(shí)現(xiàn)可以是任何Cache實(shí)例（JAche、Ehcache、RedisCache，OSCache、JBossCache..）

  （本文源碼實(shí)現(xiàn)了Ehcache，RedisCache 和內(nèi)存Cache。三者可以通過(guò)配置，方便的切換使用。）
  

• CacheManager(org.apache.shiro.cache.CacheManager)

  緩存管理器。創(chuàng)建和管理緩存，為 authentication, authorization 和 session management 提供緩存數(shù)據(jù)，避免直接訪問(wèn)數(shù)據(jù)庫(kù)，提高效率。

  cacheManager維護(hù)了Cache實(shí)例的生命周期，它和Cache一樣，只是shiro的緩存框架的頂層接口，具體底層實(shí)現(xiàn)可以是任意的。

  （本文源碼實(shí)現(xiàn)了RedisCacheManager，用redis實(shí)現(xiàn)cache的統(tǒng)一管理。同時(shí)，源碼還提供了內(nèi)存和ehcache管理cache，可以通過(guò)配置，方便的切換使用。）

3、其他基本概念解釋

• 分布式會(huì)話管理

  將session保存到獨(dú)立緩存服務(wù)器，保證服務(wù)在重啟或 nginx做負(fù)載均衡的時(shí)候，用戶session可見。

  （本文提供的源碼使用redis保存session會(huì)話。）

• freemaker標(biāo)簽

  通過(guò)使用標(biāo)簽，可以非常方便的實(shí)現(xiàn)前后端數(shù)據(jù)通信。

  默認(rèn)Shiro支持jsp標(biāo)簽，但不支持freemaker標(biāo)簽。為了滿足前端使用freemaker的系統(tǒng)使用Shiro，特定制化一套freemaker 的shiro標(biāo)簽，并提供源碼。

四、shiro實(shí)戰(zhàn)案例分享

本小節(jié)分三部分

• 數(shù)據(jù)庫(kù)表介紹

• 權(quán)限管理系統(tǒng)源代碼結(jié)構(gòu)詳解

• 認(rèn)證&授權(quán)流程分析

數(shù)據(jù)庫(kù)表

權(quán)限管理系統(tǒng)源代碼結(jié)構(gòu)詳解

項(xiàng)目結(jié)構(gòu)圖示：

如圖所示，本項(xiàng)目包括四個(gè)子項(xiàng)目

1、demo-shiro-interface

項(xiàng)目展開如下：

該子項(xiàng)目主要功能是提供與用戶、角色、功能、權(quán)限和分頁(yè)相關(guān)的接口類和實(shí)體。

2、demo-shiro-service

項(xiàng)目展開如下：

該子項(xiàng)目主要功能是實(shí)現(xiàn)demo-shiro-interface中的接口類，業(yè)務(wù)邏輯編碼實(shí)現(xiàn)。

3、demo-shiro-web

項(xiàng)目展開如下：

其中

• UserController.java

  用戶登錄認(rèn)證，登出管理，用戶添加，用戶審核等功能。

• SysController.java

  系統(tǒng)功能模塊管理。

• *Tag.java

  專為freemaker定制的Shiro標(biāo)簽，本項(xiàng)目的關(guān)鍵部分。

• CustomShiroSessionDAO.java 

  自定義session 管理，本項(xiàng)目提供依賴redis集中會(huì)話管理的功能，本項(xiàng)目的關(guān)鍵部分。

• RedisCacheManager.java

  自定義Cache 管理，本項(xiàng)目提供依賴redis集中Cache管理的功能，本項(xiàng)目的關(guān)鍵部分。

• MyShiroRealm.java

  自定義 realm，用戶認(rèn)證和授權(quán)均需要使用該類提供的功能，本項(xiàng)目的關(guān)鍵部分。

• FreemarkerConfiguration.java

• ShiroTagFreeMarkerConfigurer.java

  自定義的freemaker的shiro標(biāo)簽注入實(shí)現(xiàn)。

4、springboot-shiro-configure

項(xiàng)目展開如下：

其中

• *Properties.java

  讀取application.yml 配置文件中對(duì)應(yīng)的配置參數(shù)，如session過(guò)期時(shí)間，連續(xù)最大登錄失敗次數(shù)等。

• RetryLimitHashedCredentialsMatcher.java

  管理 連續(xù)最大登錄失敗次數(shù)以及時(shí)間間隔，當(dāng)達(dá)到最大登錄失敗次數(shù)后，系統(tǒng)提示用戶N分鐘內(nèi)無(wú)法繼續(xù)重試。

• ShiroAutoConfiguration.java ShiroConfiguration.java

  Shiro允許用戶自定義Realms，CacheManager，SessionManager ，這兩個(gè)類文件的功能就是實(shí)現(xiàn)自定義類的依賴管理。

  這兩個(gè)類也是Shiro 與 spring boot 集成的關(guān)鍵部分。

  此處源碼實(shí)現(xiàn)涉及到 spring boot @ConditionalOnxxx 的相關(guān)注解技術(shù)，建議讀者學(xué)習(xí)相關(guān)技術(shù)點(diǎn)。

以上源碼文件中有非常完善的注釋，有興趣的同學(xué)可以讀一讀。

認(rèn)證&授權(quán)流程分析

Shiro 所有的功能都圍繞兩個(gè)核心功能展開，即用戶登錄認(rèn)證 和用戶訪問(wèn)授權(quán)。除這兩個(gè)核心功能外，本項(xiàng)目還自定義了cacheManager，sessionManager，使用多種方式做cache和session管理。

本小節(jié)將對(duì)以上四個(gè)問(wèn)題做解析。

1、用戶登錄認(rèn)證

shiro用戶認(rèn)證時(shí)序圖

通過(guò)調(diào)用Subject.login(token)方法開始用戶認(rèn)證流程。

執(zhí)行 currentUser.login(token) 后 ,SecurityManager會(huì)收到AuthenticationToken,并將其發(fā)送給已配置的Realm執(zhí)行必須的認(rèn)證。所以這一步在調(diào)用login(token)方法時(shí),它會(huì)走到MyRealm.doGetAuthenticationInfo()方法中,具體驗(yàn)證方式如下：

MyShiroRealm.doGetAuthenticationInfo()。

UserRealm繼承AuthorizingRealm，在其父類AuthenticatingRealm的getAuthenticationInfo方法中會(huì)調(diào)用credentialsMatcher的 doCredentialsMatch 來(lái)驗(yàn)證用戶輸入用戶名密碼是否匹配。

使用HashedCredentialsMatcher來(lái)進(jìn)行加密。加密方式為salt自定義（本項(xiàng)目使用的www）、hash次數(shù)為1024、Base64解碼，加密算法為md5。

對(duì)應(yīng)的配置文件applications.yml

用戶注冊(cè)時(shí)，密碼明晚修改為密文，具體代碼實(shí)現(xiàn)如下：

其中 Constants.initPassword 是添加用戶時(shí)默認(rèn)的密碼：111111.

用戶退出登錄時(shí)，Shiro用戶必須執(zhí)行l(wèi)ogout()，必須要注銷Session信息，避免影響下一次用戶認(rèn)證和授權(quán)

SecurityUtils.getSubject().logout();

req.getSession().invalidate();

2、用戶訪問(wèn)授權(quán)

shiro訪問(wèn)授權(quán)時(shí)序圖

用戶認(rèn)證通過(guò)后，進(jìn)入后臺(tái)管理系統(tǒng)。

在后臺(tái)系統(tǒng)使用 freemaker 構(gòu)建，sidebar.flt模板文件中管理所有菜單。其中的 freemaker 的shiro 標(biāo)簽配置如下：

紅色邊框 name=“4” 或name=“4-1” 其中的 4 ，4-1 代表的下圖所示 紅框中的 role.getPermissionsName()值。

permissionsName 的值來(lái)源于 后臺(tái)添加功能時(shí)，為菜單設(shè)置的值。如下圖:

3、session管理

系統(tǒng)提供兩種session管理方式

• ehcache管理

• Redis集中管理

配置：

ShiroConfiguration.java

注釋掉該方法時(shí) ，shiro的會(huì)話session默認(rèn)由ehcache管理。

打開該方法時(shí)，shiro的會(huì)話session由redis管理。

4、cache管理

系統(tǒng)提供三種session管理方式

• 本地內(nèi)存管理

• ehcache管理

• Redis集中管理

配置：

ShiroConfiguration.java

想使用哪種方式，就將其他另外兩種方式注釋掉。

（有興趣的同學(xué)可以開發(fā)一個(gè)新功能，通過(guò)配置參數(shù)來(lái)開啟某種session管理方式）

五、系統(tǒng)配置

本小節(jié)分兩個(gè)部分

• Shiro管理配置

  主要涉及到兩個(gè)配置文件application.yml 和ehcache.xml ，下面會(huì)有針對(duì)各個(gè)配置參數(shù)的詳細(xì)介紹。

• 后臺(tái)系統(tǒng)權(quán)限配置

  使用后臺(tái)管理系統(tǒng)的頁(yè)面，添加用戶，系統(tǒng)功能，角色，權(quán)限，用戶權(quán)限分配。

1、Shiro管理配置

application.yml

• realm-class

  自定義 realm（com.xinwei.shiro.MyShiroRealm），完成認(rèn)證和授權(quán)。

• custom-authc-filter-class:

  自定義過(guò)濾器com.xinwei.shiro.AjaxAuthorizationFilter。

• login-url

  登錄url，會(huì)話超時(shí)繼續(xù)訪問(wèn)系統(tǒng)時(shí)，自動(dòng)跳轉(zhuǎn)到該url。

• success-url

  認(rèn)證通過(guò)后，系統(tǒng)進(jìn)入該url功能界面。

• retry-max

  用戶登錄認(rèn)證，允許的最大連續(xù)失敗次數(shù)。

• retry-expire-time-redis

  用戶登錄認(rèn)證，達(dá)到最大連續(xù)失敗次數(shù)后，需要等待再次輸入的時(shí)間間隔（單位：秒）。

  （只有當(dāng)使用redis管理cache時(shí)，該參數(shù)才生效。如果使用ehcache 管理cache，則需要參考ehcache.xml。）

• authorization-expire-time-redis

  用戶授權(quán)檢驗(yàn) 的緩存過(guò)期時(shí)間，在過(guò)期時(shí)間內(nèi)，用訪問(wèn)需要授權(quán)的菜單時(shí)，無(wú)需重復(fù)執(zhí)行，提升了系統(tǒng)的訪問(wèn)效率。

  （只有當(dāng)使用redis管理sesson時(shí)，該參數(shù)才生效。如果使用ehcache 管理cache，則需要參考ehcache.xml。）

• hash-iterations

  密碼加密時(shí)，做的hash次數(shù)，本案例做1024次hash。

• hash-algorithm-name

  密碼加密時(shí)使用的加密方法，本案例采用MD5。

• stored-credentials-hex-encoded

  默認(rèn)值是true，默認(rèn)采用Hex解碼，false時(shí)，采用Base64解碼。

• global-session-timeout

  會(huì)話存活時(shí)間（注意，單位是毫秒，0表示立即過(guò)期，-1表示永不過(guò)期）。

• validation-interval

  檢查session是否過(guò)期的時(shí)間間隔。

• validation-scheduler-enabled

  true，掃描session線程,負(fù)責(zé)清理超時(shí)會(huì)話。

• filter-chain-definitions:

• /media/**: anon

  訪問(wèn)該目錄下的文件，不需要做權(quán)限校驗(yàn)。

• /admin/**: authc

  設(shè)置攔截器，訪問(wèn)該目錄下的文件事，需要做權(quán)限校驗(yàn)。

ehcache.xml

參加具體含義參考 https://www.cnblogs.com/sdream/p/5966668.html。

2、后臺(tái)系統(tǒng)權(quán)限配置

• 添加用戶

注意：新添加的后臺(tái)用戶，密碼默認(rèn)是：111111，且審核通過(guò)后才可以登錄本系統(tǒng)。

• 為用戶添加角色

• 添加系統(tǒng)功能：

功能編碼必須唯一，在freemaker 處需要使用該功能編碼。

• 添加角色

• 給角色賦權(quán)限

六、其他

Shiro是一個(gè)功能很齊全的框架，使用起來(lái)也很容易，但是要想用好卻有相當(dāng)難度。歡迎大家多動(dòng)手實(shí)踐，遇到問(wèn)題一起討論。

項(xiàng)目源碼地址：

https://github.com/wzjgn/shiro-freemaker-springboot-redis-mysql.git

參考：

https://www.cnblogs.com/learnhow/p/5694876.html

http://lgbolgger.iteye.com/blog/2170522