Apache Shiro 是一个功能强大且灵活的安全框架,主要用于身份认证(Authentication)、授权(Authorization)、会话管理(Session Management)和加密(Cryptography)。它旨在为 Java 应用程序提供简单、强大且高效的安全功能,适用于从 Web 应用到企业级应用的多种场景。
在本教程中,我们将通过 Apache Shiro 的各个方面,详细介绍如何配置、使用和扩展该框架。
一、Apache Shiro 概述
Apache Shiro 提供了一套用于实现安全管理的完整解决方案,核心功能包括:
1. 认证(Authentication):用于确认用户的身份
Shiro 可以通过多种方式对用户进行认证。常见的认证方式包括基于用户名和密码的认证、集成 LDAP 服务器或使用其他外部身份验证系统。
2. 授权(Authorization):用于控制用户的访问权限
Shiro 提供了一种灵活的权限控制模型,可以基于用户的角色或特定的权限进行访问控制。它支持基于角色的访问控制(RBAC),还允许你为特定用户或资源设置细粒度的权限。
3. 会话管理(Session Management):管理用户会话
Shiro 提供了一种简便的方式来管理会话。与传统的 Servlet 容器会话不同,Shiro 可以在应用层级进行会话管理。它支持多种会话存储策略,并且会话数据可以自动持久化。
4. 加密(Cryptography):为应用程序提供数据保护
Shiro 包含加密 API,用于处理加密和解密、哈希处理等。它支持常见的加密算法(如 AES、RSA、SHA-256 等)并且可以方便地用于密码存储和安全通信。
Shiro 的设计理念是简单易用且高度可扩展。与其他 Java 安全框架相比,Shiro 的 API 设计简洁明了,配置简单,适合初学者和开发人员快速上手。开发人员只需关注核心的认证和授权逻辑,而无需过多关心底层的实现细节。Shiro 提供了许多可以定制和扩展的接口,允许开发人员根据应用需求来实现自定义的身份验证和授权逻辑。比如,用户可以自定义 Realm,以便与不同的数据源进行集成。同时它支持多种存储后端,如数据库、LDAP、文件系统等。
二、Apache Shiro 核心组件
- SecurityManager:核心接口,负责协调所有安全相关的操作(认证、授权、会话管理)。
- Subject:表示当前用户或应用的主体,提供身份验证和权限验证等功能。
- Realm:负责连接数据源(如数据库、LDAP)进行用户身份验证和权限验证的组件。它是 Shiro 中的“数据源”层。
- Session:用于管理用户会话的信息,可以与 Web 会话结合,也可以独立运行。
- Authenticator 和 Authorizer:分别负责认证和授权的逻辑实现。
- Cryptography:Shiro 提供了一套加密工具,用于保护敏感信息(如密码)。
三、使用 Apache Shiro 的基本步骤
1. 引入 Apache Shiro 依赖
Maven 依赖:
在你的 pom.xml 文件中添加 Shiro 依赖:
<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-core</artifactId><version>1.8.0</version> <!-- 选择适合的版本 -->
</dependency>
Gradle 依赖:
implementation 'org.apache.shiro:shiro-core:1.8.0'
2. 配置 Shiro
Shiro 的配置可以通过 XML 文件或 Java 配置类来实现。下面是通过 Java 配置类的示例:
@Configuration
@EnableAspectJAutoProxy
public class ShiroConfig {@Beanpublic SecurityManager securityManager() {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();securityManager.setRealm(myRealm());return securityManager;}@Beanpublic Realm myRealm() {return new MyRealm();}@Beanpublic ShiroFilterFactoryBean shiroFilterFactoryBean() {ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();bean.setSecurityManager(securityManager());Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();filterChainDefinitionMap.put("/login", "anon"); // 公开的路径filterChainDefinitionMap.put("/**", "authc"); // 需要认证的路径bean.setFilterChainDefinitionMap(filterChainDefinitionMap);return bean;}
}
3. 创建自定义 Realm
Realm 是 Shiro 的关键组成部分,它负责从数据源获取用户身份信息(如用户名、密码等)并验证。
public class MyRealm extends AuthorizingRealm {@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {String username = (String) principals.getPrimaryPrincipal();Set<String> roles = getRoles(username); // 从数据库获取角色Set<String> permissions = getPermissions(username); // 获取权限SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();authorizationInfo.setRoles(roles);authorizationInfo.setStringPermissions(permissions);return authorizationInfo;}@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {String username = (String) token.getPrincipal();String password = getPassword(username); // 从数据库获取密码if (password == null) {throw new UnknownAccountException("用户不存在");}return new SimpleAuthenticationInfo(username, password, getName());}private Set<String> getRoles(String username) {// 查询数据库,获取角色}private Set<String> getPermissions(String username) {// 查询数据库,获取权限}private String getPassword(String username) {// 查询数据库,获取密码}
}
4. 配置 Shiro 的过滤器
Shiro 使用过滤器来管理访问控制。通过 ShiroFilterFactoryBean 配置不同的 URL 路径与过滤器的关系。例如,指定哪些路径需要认证,哪些路径是公开的。
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean() {ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();shiroFilterFactoryBean.setSecurityManager(securityManager());Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();filterChainDefinitionMap.put("/login", "anon"); // 登录页面可以匿名访问filterChainDefinitionMap.put("/logout", "logout"); // 登出filterChainDefinitionMap.put("/**", "authc"); // 其他路径需要认证shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);return shiroFilterFactoryBean;
}
5. 集成 Shiro 的认证与授权
登录验证
Shiro 提供了非常简单的 API 来执行身份验证。用户可以使用 Subject 来进行身份验证操作:
Subject currentUser = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
try {currentUser.login(token); // 执行登录
} catch (AuthenticationException e) {// 登录失败处理
}
访问控制(授权)
Shiro 使用权限控制来决定用户是否有权限执行特定的操作。例如:
Subject currentUser = SecurityUtils.getSubject();
if (currentUser.hasRole("admin")) {// 执行管理员操作
}
if (currentUser.isPermitted("user:update")) {// 执行更新操作
}
6. 会话管理
Shiro 提供了一个轻量级的会话管理机制,可以用于 Web 应用或任何 Java 应用中的会话管理。Shiro 会自动管理用户会话,用户的状态保存在一个 Session 中,应用可以通过 SecurityUtils.getSubject().getSession() 来获取。
Subject currentUser = SecurityUtils.getSubject();
currentUser.getSession().setAttribute("someKey", "someValue");
Object value = currentUser.getSession().getAttribute("someKey");
7. 加密和密码处理
Shiro 提供了内置的加密和密码哈希机制,用于安全地存储和验证密码。你可以使用 SimpleHash 和 Sha256Hash 类来对密码进行哈希操作:
String password = "myPassword";
String salt = "mySalt"; // 添加盐值
SimpleHash hash = new SimpleHash("SHA-256", password, salt);
String hashedPassword = hash.toHex();
通过这种方式,密码可以在数据库中以哈希值的形式存储,而不是明文密码。
四、进阶功能与最佳实践
- 集成与 Spring Security:Shiro 和 Spring Security 都是常用的 Java 安全框架,可以通过配置和扩展将两者结合使用,提升系统的安全性。
- 自定义认证和授权逻辑:通过自定义
Realm,你可以根据自己的业务需求实现更加复杂的认证和授权逻辑。 - 多种认证机制:Shiro 支持各种认证方式,包括表单认证、Basic 认证、JWT 等。
- 跨域认证:Shiro 允许在分布式系统中使用共享会话,支持跨域认证。
- 持久化会话:Shiro 允许将用户会话存储在数据库或缓存中,以支持分布式会话管理。
五、总结
Apache Shiro 是一个功能丰富、灵活且易于使用的安全框架,适用于各种类型的 Java 应用。通过简单的配置和扩展,你可以快速集成认证、授权、会话管理和加密功能,并能够满足复杂的安全需求。Shiro 适用于从小型应用到大型企业系统的各类场景,是构建安全系统的理想选择。
