前阵子看完了 张开涛 《的跟我学Shiro》,这本书,感觉对于安全框架稍稍有了那么一丢丢的理解,下面简单讲一下Shiro。
Shiro 简介
shiro是一个Java的安全框架,相对于 Spring Security,shiro更加轻量并且简单。
shiro不仅可以用于JavaEE,也可以用于JavaSe,主要可以帮我们提供一下功能:认证、授权、加密、会话管理、缓存等
image.png
<center>shiro特性</center>
需要注意,shiro不提供维护用户/权限,而是通过Realm让开发者自行注入以及维护。
从内部来看,shiro的架构如下:
image.png
<center>shiro架构</center>
外部都通过Subject来与应用进行交互,再由Security Manager做处理分发到各个相应的模块(类似于springMVC的dispatchServlet),处理模块在通过Realm获取所需要的数据,做校验或者CRUD。
Subject
主体,与应用交互的“用户”,个人觉得可以理解为暴露在外的客户端(Client),由此来访问应用,基本上所有身份验证、授权都是通过Subject完成。默认实现类为 DelegatingSubject
一般通过 subject.login() 来做用户登录,subject.hasRole*/isPermitted* 查询是否存在角色/权限
subject.logout() 退出,具体可以查看Subject接口。
一般我们绑定 SecurityManager 之后可以通过 SecurityUtils.getSubject() 获取subject
// Subject由SecurityManager管理,因此需要先绑定
SecurityUtils.setSecurityManager(securityManager);
// 获取subject
Subject subject = SecurityUtils.getSubject();
SecurityManager
Shiro真正的入口,控制所有与交互,并且管理所有Subject,是Shiro的核心。
Authenticator
认证器,用来管登录的,经常会跟下面的Authrizer搞混用途。。。我现在还是根据 ca 还是za 来作区分
认证器主要识别判断用户能不能进去应用,相当于看你对于应用是不是合法的。shiro提供了一个默认的验证方式(ModularRealmAuthenticator),如果需要自己自定义验证策略,可以实现自己的一个 AuthenticationStragy,并制定给ModularRealmAuthenticator,ModularRealmAuthenticator会再验证的时候调用。 默认策略是 AtLeastOneSuccessfulStrategy,功能如下
shiro框架中提供的AntuenticationStrategy实现:
- FirstSuccessfulStrategy:只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的验证信息,其他忽略;
- AtleastOneSuccessfulStrategy:只要有一个Realm验证成功即可,返回所有的Realm身份验证成功的信息,也就是说每个Realm都会验证
- allSuccessfulStrategy:所有Realm验证成功才算成功,返回所有Realm身份验证成功的信息
自定义实现时一般继承 org.apache.shiro.authc.pam.AbstractAuthenticationStrategy 即可
AbstractAuthenticationStrategy 是一个接口,包含四个方法:
- beforeAllAttempts: 所有验证之前
- beforeAttempt: 每一个验证之前
- afterAttempt: 每个验证之后
- afterAllAttempts: 所有验证之后
执行顺序:
- subject.login()
- securityManager
- Authenticator
- AntuenticationStrategy(AntuenticationStrategy是Authenticator的一个属性)
Authrizer
授权器,用来管权限的。有两种权限概念,隐式角色(RBAC,基于角色)以及显示角色(RBAC新解、基于权限),两者区别在于粒度的不同, 显示角色更加细
RBAC所代表的是对角色进行控制,即只控制资源与角色之间的关系,并且一般来说这里的资源粒度只是细化到页面,但是对于一些要求更加细致的权限控制(控制到按钮)单纯的架构层面就无法满足,此时就需要程序员对页面进行处理,架构层面的需要后期处理就说明设计模式有所欠缺。
RBAC新解所代表的是粒度比RBAC对资源划分更加细化,它直接对访问资源的任何操作做权限控制
image.png
<center>授权器流程</center>
- subject调用 isPermitted* 或者 hasRole 接口,委托给 SecurityManager, SecurityManager委托给对应的 Authorizer; (类似登录)
- Authorizer是真正的授权者,根据调用方法验证授权
- 在进行授权之前,会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限
- Authorizer 会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给 ModularRealmAuthorizer 进行循环判断,匹配返回 true,不匹配返回 false
在授权过程中,还需要两个解析器:PermissionResolver 和 RolePermissionResolver
PermissionResolver - 权限解析器,在authorizer中设置,自定义实现可以实现PermissionResolver,默认实现为 WildcardPermissionResolver
RolePermissionResolver - 角色解析器,在authorizer中设置,自定义实现可以实现RolePermissionResolver,shiro没有提供 默认实现
Realm
Realm,可以理解为Shiro的数据源,主要用于存放用户、角色、权限等信息,三者之间的关系为:用户-角色之间多对多,角色-权限之间多对多
image.png
<center>用户、角色、权限关系</center>
Realm可以是jdbc实现,也可以是LDAP实现或者内存实现,写死配置都可以,由用户自己提供,一般也是自己来实现需要的Realm。下面展示shiro提供的realm关系
image.png
<center>Realm继承关系</center>
由Realm的继承关系可以看出,Shiro的不同功能划分是通过java的继承关系来完成的(好像又有点像废话)。AuthenticatingRealm 类有缓存以及认证功能,AuthorizingRealm 类继承 AuthenticationgRealm ,拓展了授权功能,之后,再根据实际业务做区分,连数据库的jdbcRealm,读取配置的IniRealm等等
小结
看这本书的时候,不止是学习到了Shiro,感觉还对框架的设计有了更加多的理解,引用梳理的一段话:"对于一个好的框架,从外部来看应该具有非常简单易于使用的 API,且 API 契约明确;从内部来看的话,其应该有一个可扩展的架构,即非常容易插入用户自定义实现,因为任何框架都不能满足所有需求"
Shiro虽然提供的功能并没有现在流行的Spring Security那么多,但是作为一个安全框架的入门,以及阅读源码的入门,都是一个挺不错的选择。轻量,但是不简单,还是有很多可以学习的地方。
本文由博客一文多发平台 OpenWrite 发布!
网友评论