shiro中文官方文档
做项目要用到shiro，花了几天做了些简单的理解，有错误欢迎纠正。

简单的认识

shiro作为一个很简单的java安全框架，提供了认证、授权、加密、session管理等功能。没有使用其他安全框架，没有参照物对比的情况下，我依然觉得shiro使用真的好简单（我听说好像还有个什么spring security，但使用很复杂）。为了加深印象，写篇博客加深下印象。

使用

认证

所谓认证，不过是输入用户信息，密码然后登录的过程。从使用角度看，shiro提供了很简单的接口。
在controller获取账号密码后封装UsernamePasswordToken对象：

UsernamePasswordToken token = new UsernamePassword(username, password);

获取当前对象然后登录即可：

Subject user = SecurityUtils.getSubject();
user.login(token);

当然在登录之前也可以先判断是否已经登录，或者被记住：

if (!user.isAuthenticated() && !user.isRemembered()) {
     token.setRememberMe(true);
     user.login(token);
 }

当然，作为一个安全框架，就要监视请求，所以要配置 拦截器 ，认证就需要获取数据库（或者在缓存中，后面讲）中的用户登录信息，获取信息的过程shiro是交给realm（翻译 “域”）做，所以我们还需要 实现realm。 实现了realm怎么告诉框架呢，在shiro中是realm是交给securityManager管理的，所以我们还需要 配置securityManager。

在Spring+SpringMVC环境下，这些操作发生在web.xml和application文件中，其他配置不多说，重点讲shiro配置：

拦截器：

在web.xml文件中配置拦截器拦截请求：

<filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

这里配置的是DelegatingFilterProxy，顾名思义啊，可以看出这是个代理类，那么代理的是哪个具体对象呢？
代理的对象我们配置在applicationContext.xml文件中：

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="login.html"/>
        <property name="successUrl" value="home.html"/>
        <property name="unauthorizedUrl" value="/error.html"/>
        <property name="filterChainDefinitions">
            <value>
                /logout=anon
                /user/root=roles[root]
                /user/admin=roles[admin]
                /user/**=anon
                /login.html=anon
                /home.html=authc
                /**=authc
            </value>
        </property>
    </bean>

这是我的配置，值得注意的是bean的id要和web.xml文件中一样，不然会报错NoSuchBeanDefinitionException。或者也可以配置初始化参数配置指定要代理bean对象id：

    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetBeanName</param-name>
            <param-value>shiroFilter</param-value>
        </init-param>
    </filter>

注意还有一个属性为：

        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>

该属性默认为false，当为true时表示要代理filter的init方法。

然后配置realm

首先继承AuthenticatingRealm，当然如果还要实现授权功能可以直接继承AuthorizingRealm。前者是后者的父类，在父类doGetAuthenticationInfo认证方法的基础上还增加了一个doGetAuthorizationInfo授权抽象方法。

public class MyRealm extends AuthenticatingRealm{

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) 
                          throws AuthenticationException {
        System.out.println("do authentic");
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
         
        String username = token.getUsername();
        String password = token.getPassword();
        System.out.println("username : " + username + " password : " + password);

        //下面的root和123456模拟为从数据库中取出的用户名和密码。
        return new SimpleAuthenticationInfo("root", "123456", null, getName());
    }
}

返回的是从数据库中获取的数据，封装成SimpleAuthenticationInfo返回，交给shiro框架比对，参数中null相当于盐值。这里先不提加密，所以设置为null。其他参数依次为principle，credentials，然后就是getName，即此realm的名字。
然后就是配置在IOC容器中即可：

<bean id="myRealm" class="realm.MyRealm">
</bean>

securityManager

SecurityManager是shiro的核心，shiro作为一个java安全框架，而此类的字面意思又为安全管理，可见其重要性。在shiro中，用此类实现门面模式管理其他组件，所以我们的realm需要配置在这里。

    <bean class="org.apache.shiro.web.mgt.DefaultWebSecurityManager" id="securityManager">
        <property name="realm" ref="myRealm"/>
    </bean>

其他

然后再创建几个简单的html文件和controller即可。

@RequestMapping(value = "/user/toLogin")
    public String login(@RequestParam String username, @RequestParam String password, HttpSession httpSession) {
        System.out.println("do login");
        Subject user = SecurityUtils.getSubject();
        try {
            UsernamePasswordToken token = new UsernamePasswordToken(username, password);
            if (!user.isAuthenticated() && !user.isRemembered()) {
                token.setRememberMe(true);
                user.login(token);
            }
        } catch (Exception e) {
            System.out.println("登录发生错误！");
            return "redirect:/login.html";
        }
        return "home";
    }

配置好后我们试着打断点分析认证的工作流程

ctrl+f9启动后：

1. 输入用户名密码点击登录首先停留在controller方法中的第一个断点，进入shiro框架的登录接口：
   
2. 进入subject子类的DelegatingSubject的login方法，可以看到subject的登录方法还是要交给securityManager。
   
3. 点击继续，停留在SecurityManager的子类DefaultSecurityManager类的login方法中，然后调用自身的认证方法。
   
   在认证方法中调用自身属性private Authenticator authenticator = new ModularRealmAuthenticator();来验证。
   

4. 下一步，可以看到不是直接到子类中去，而是调用抽象父类AbstractAuthenticator的authenticate方法：

   
   
   

   在次方法中调用自身的抽象方法（即模板方法模式）。调用此方法后就可以跳转到子类ModularRealmAuthenticator对象中。

   
   截不下那么长的...

这个方法的意思就是获取realm的集合，然后判断是单个还是多个realm，然后分别进入不用的处理方法，我们这里只配置了单个realm，所以进入doSingleRealmAuthentication方法，否则进入doMultiRealmAuthentication方法。
进入该方法!

就到了使用realm的时候了。

5. 下一步，进入到Realm接口的实现类也是我们实现的MyRealm的父类AuthenticatingRealm的getAuthenticationInfo方法：

   
   

在此方法中主要有两步：1. 首先从缓存中获取数据，这里没有配置缓存，所以先试着手动走一走这个流程：

在此方法中获取缓存然后返回。回到上一张图的方法中判断是否为空，为空则进入realm获取数据。

6. 点击下一步，可以看到来到了熟悉的代码界面了

   
   
   

   返回数据后返回。

7. 返回的数据回到AuthenticatingRealm类中，通过assertCreddentialsMatch方法比对。

   
   

8. 看看比对密码的方法：

   
   
   

   主要内容就是先获取CredentialsMatcher对象，这个作为AuthenticatingRealm的一个属性，在加密时是要在applicationContext.xml文件中配置好的（因为我这里是配置了这个的，所以就会跳转到这一步，请忽略这些细节~），如果没有配置后面再讲。
   然后就是比对了。
   一层层返回。

9. 返回到DefaultSecurityManager类中，登录成功，调用自身onSuccessfulLogin方法，

   
   
   

   rememberMeSuccessfulLogin方法：
   

   调用
   判断是否配置了记住密码。然后调用AbstractRememberMeManager类的rememberSerializedIdentity方法（抽象方法，子类中实现），到子类CookieRememberMeManager实现的方法，
   
   

   操作很明了。

10. 最后跳转到home.html界面。我们查看浏览器端的cookie，在chrome中可以看到名为rememberMe的cookie：

    
    

11. 后面登录时就可以直接发送此cookie直接登录了。

授权