Apache Shiro 是一个功能强大且灵活的安全框架,主要用于身份认证(Authentication)、授权(Authorization)、会话管理(Session Management)和加密(Cryptography)。它旨在为 Java 应用程序提供简单、强大且高效的安全功能,适用于从 Web 应用到企业级应用的多种场景。
在本教程中,我们将通过 Apache Shiro 的各个方面,详细介绍如何配置、使用和扩展该框架。
一、Apache Shiro 概述
Apache Shiro 提供了一套用于实现安全管理的完整解决方案,核心功能包括:
1. 认证(Authentication):用于确认用户的身份
Shiro 可以通过多种方式对用户进行认证。常见的认证方式包括基于用户名和密码的认证、集成 LDAP 服务器或使用其他外部身份验证系统。
2. 授权(Authorization):用于控制用户的访问权限
Shiro 提供了一种灵活的权限控制模型,可以基于用户的角色或特定的权限进行访问控制。它支持基于角色的访问控制(RBAC),还允许你为特定用户或资源设置细粒度的权限。
3. 会话管理(Session Management):管理用户会话
Shiro 提供了一种简便的方式来管理会话。与传统的 Servlet 容器会话不同,Shiro 可以在应用层级进行会话管理。它支持多种会话存储策略,并且会话数据可以自动持久化。
4. 加密(Cryptography):为应用程序提供数据保护
Shiro 包含加密 API,用于处理加密和解密、哈希处理等。它支持常见的加密算法(如 AES、RSA、SHA-256 等)并且可以方便地用于密码存储和安全通信。
Shiro 的设计理念是简单易用且高度可扩展。与其他 Java 安全框架相比,Shiro 的 API 设计简洁明了,配置简单,适合初学者和开发人员快速上手。开发人员只需关注核心的认证和授权逻辑,而无需过多关心底层的实现细节。Shiro 提供了许多可以定制和扩展的接口,允许开发人员根据应用需求来实现自定义的身份验证和授权逻辑。比如,用户可以自定义 Realm,以便与不同的数据源进行集成。同时它支持多种存储后端,如数据库、LDAP、文件系统等。
二、Apache Shiro 核心组件
- SecurityManager:核心接口,负责协调所有安全相关的操作(认证、授权、会话管理)。
- Subject:表示当前用户或应用的主体,提供身份验证和权限验证等功能。
- Realm:负责连接数据源(如数据库、LDAP)进行用户身份验证和权限验证的组件。它是 Shiro 中的“数据源”层。
- Session:用于管理用户会话的信息,可以与 Web 会话结合,也可以独立运行。
- Authenticator 和 Authorizer:分别负责认证和授权的逻辑实现。
- Cryptography:Shiro 提供了一套加密工具,用于保护敏感信息(如密码)。
三、使用 Apache Shiro 的基本步骤
1. 引入 Apache Shiro 依赖
Maven 依赖:
在你的 pom.xml 文件中添加 Shiro 依赖:
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.8.0</version> <!-- 选择适合的版本 -->
</dependency>
Gradle 依赖:
implementation 'org.apache.shiro:shiro-core:1.8.0'
2. 配置 Shiro
Shiro 的配置可以通过 XML 文件或 Java 配置类来实现。下面是通过 Java 配置类的示例:
@Configuration
@EnableAspectJAutoProxy
public class ShiroConfig {
@Bean
public SecurityManager securityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(myRealm());
return securityManager;
}
@Bean
public Realm myRealm() {
return new MyRealm();
}
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean() {
ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
bean.setSecurityManager(securityManager());
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
filterChainDefinitionMap.put("/login", "anon"); // 公开的路径
filterChainDefinitionMap.put("/**", "authc"); // 需要认证的路径
bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return bean;
}
}
3. 创建自定义 Realm
Realm 是 Shiro 的关键组成部分,它负责从数据源获取用户身份信息(如用户名、密码等)并验证。
public class MyRealm extends AuthorizingRealm {
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
String username = (String) principals.getPrimaryPrincipal();
Set<String> roles = getRoles(username); // 从数据库获取角色
Set<String> permissions = getPermissions(username); // 获取权限
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
authorizationInfo.setRoles(roles);
authorizationInfo.setStringPermissions(permissions);
return authorizationInfo;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String username = (String) token.getPrincipal();
String password = getPassword(username); // 从数据库获取密码
if (password == null) {
throw new UnknownAccountException("用户不存在");
}
return new SimpleAuthenticationInfo(username, password, getName());
}
private Set<String> getRoles(String username) {
// 查询数据库,获取角色
}
private Set<String> getPermissions(String username) {
// 查询数据库,获取权限
}
private String getPassword(String username) {
// 查询数据库,获取密码
}
}
4. 配置 Shiro 的过滤器
Shiro 使用过滤器来管理访问控制。通过 ShiroFilterFactoryBean 配置不同的 URL 路径与过滤器的关系。例如,指定哪些路径需要认证,哪些路径是公开的。
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean() {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager());
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
filterChainDefinitionMap.put("/login", "anon"); // 登录页面可以匿名访问
filterChainDefinitionMap.put("/logout", "logout"); // 登出
filterChainDefinitionMap.put("/**", "authc"); // 其他路径需要认证
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
5. 集成 Shiro 的认证与授权
登录验证
Shiro 提供了非常简单的 API 来执行身份验证。用户可以使用 Subject 来进行身份验证操作:
Subject currentUser = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
try {
currentUser.login(token); // 执行登录
} catch (AuthenticationException e) {
// 登录失败处理
}
访问控制(授权)
Shiro 使用权限控制来决定用户是否有权限执行特定的操作。例如:
Subject currentUser = SecurityUtils.getSubject();
if (currentUser.hasRole("admin")) {
// 执行管理员操作
}
if (currentUser.isPermitted("user:update")) {
// 执行更新操作
}
6. 会话管理
Shiro 提供了一个轻量级的会话管理机制,可以用于 Web 应用或任何 Java 应用中的会话管理。Shiro 会自动管理用户会话,用户的状态保存在一个 Session 中,应用可以通过 SecurityUtils.getSubject().getSession() 来获取。
Subject currentUser = SecurityUtils.getSubject();
currentUser.getSession().setAttribute("someKey", "someValue");
Object value = currentUser.getSession().getAttribute("someKey");
7. 加密和密码处理
Shiro 提供了内置的加密和密码哈希机制,用于安全地存储和验证密码。你可以使用 SimpleHash 和 Sha256Hash 类来对密码进行哈希操作:
String password = "myPassword";
String salt = "mySalt"; // 添加盐值
SimpleHash hash = new SimpleHash("SHA-256", password, salt);
String hashedPassword = hash.toHex();
通过这种方式,密码可以在数据库中以哈希值的形式存储,而不是明文密码。
四、进阶功能与最佳实践
- 集成与 Spring Security:Shiro 和 Spring Security 都是常用的 Java 安全框架,可以通过配置和扩展将两者结合使用,提升系统的安全性。
- 自定义认证和授权逻辑:通过自定义
Realm,你可以根据自己的业务需求实现更加复杂的认证和授权逻辑。 - 多种认证机制:Shiro 支持各种认证方式,包括表单认证、Basic 认证、JWT 等。
- 跨域认证:Shiro 允许在分布式系统中使用共享会话,支持跨域认证。
- 持久化会话:Shiro 允许将用户会话存储在数据库或缓存中,以支持分布式会话管理。
五、总结
Apache Shiro 是一个功能丰富、灵活且易于使用的安全框架,适用于各种类型的 Java 应用。通过简单的配置和扩展,你可以快速集成认证、授权、会话管理和加密功能,并能够满足复杂的安全需求。Shiro 适用于从小型应用到大型企业系统的各类场景,是构建安全系统的理想选择。
