权限管理

什么是权限管理？

基本上涉及到用户参与的系统都需要进行权限管理，权限管理属于系统安全的范畴，权限管理实现对用户访问系统的控制，按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

权限管理包括用户身份认证和授权两部分，简称认证授权 ，对于需要访问控制的资源用户首先经过身份认证，认证过后用户具有该资源的访问权限即可访问。

什么是身份认证？

身份认证，就是判断一个用户是否为合法用户的处理过程，最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户的用户名和口令一致，来判断用户身份是否正确。对于采用指纹等系统，则出示指纹；对于硬件key等刷卡系统，则需要刷卡。

什么是授权？

授权，即访问控制，控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源，对于某些资源没有权限是无法访问的。

什么是shiro？

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

shiro是apache旗下一个开源框架，它将软件系统的安全认证相关的功能抽取出来，实现用户身份认证、权限授权、加密、会话管理等功能，组成了一个通用的安全认证框架。

shiro的核心架构

• Subject（主体）
  当前与软件进行交互的实体（用户，第三方服务，计划任务等）的特定于安全性的“视图”。

• SecurityManager(安全管理器)
  SecurityManager是Shiro体系结构的核心。它主要是一个“伞”对象，用于协调其托管组件以确保它们能够顺利协同工作。它还管理Shiro对每个应用程序用户的视图，因此它知道如何对每个用户执行安全性操作。

• Authenticator(认证者)
  Authenticator是负责执行用户的身份验证（登录）并对其作出反应的组件。 当用户尝试登录时，该逻辑由身份验证器执行。 身份验证器知道如何与存储相关用户/帐户信息的一个或多个Realms协调。 从这些领域获得的数据用于验证用户的身份，以确保用户确实是他们所说的真实身份。

  • Authentication Strategy(身份验证策略)

    如果Realm配置了多个身份验证策略，则AuthenticationStrategy它将协调领域以确定身份验证尝试成功或失败的条件（例如，一个领域成功但其他领域失败） ，尝试是否成功？所有领域都必须成功吗？只有第一个？）。

• Authorizer(授权者)
  授权者是负责确定应用程序中用户访问控制的组件。 它是最终表明是否允许用户做某事的机制。 与身份验证器一样，授权者也知道如何与多个后端数据源进行协调以访问角色和权限信息。 授权者使用此信息来确定是否允许用户执行给定的操作。

• SessionManager（会话管理器）
  SessionManager知道如何创建和管理用户会话生命周期，以便为所有环境中的用户提供可靠的会话体验。 这是安全框架领域中的一项独特功能-Shiro能够在任何环境中本机管理用户会话，即使没有Web / Servlet或EJB容器也可以。 默认情况下，Shiro将使用现有的会话机制（例如Servlet容器）（如果可用），但是如果没有这种机制（例如在独立应用程序或非Web环境中），它将使用其内置的企业会话管理来 提供相同的编程经验。 SessionDAO的存在是为了允许使用任何数据源来保留会话。

  • SessionDAO
    SessionDAO代表SessionManager执行会话持久性（CRUD）操作。 这允许将任何数据存储插入会话管理基础结构。

• CacheManager
  CacheManager创建和管理其他Shiro组件使用的Cache实例生命周期。 由于Shiro可以访问许多后端数据源以进行身份验证，授权和会话管理，因此缓存一直是框架中的一流架构功能，可以在使用这些数据源时提高性能。 可以将任何现代的开源和/或企业缓存产品插入Shiro，以提供快速有效的用户体验。

• Cryptography（密码学）

  密码术是企业安全框架的自然补充。 Shiro的加密软件包包含易于使用和理解的加密密码，哈希（又名摘要）和不同编解码器实现的表示形式。 该软件包中的所有类都经过精心设计，以使其易于使用和理解。 使用Java的本机加密技术支持的任何人都知道，驯服它可能是具有挑战性的动物。 Shiro的加密API简化了复杂的Java机制，并使加密技术易于为普通凡人使用。

• Realms(领域)
  如上所述，领域充当Shiro与您应用程序的安全数据之间的“桥梁”或“连接器”。 当真正需要与安全性相关的数据（例如用户帐户）进行交互以执行身份验证（登录）和授权（访问控制）时，Shiro会从一个或多个为应用程序配置的领域中查找许多此类内容。 您可以根据需要配置任意多个领域（通常每个数据源一个），并且Shiro会根据需要与它们进行协调，以进行身份验证和授权。

shiro中的三个核心组件

三个核心组件：Subject, SecurityManager 和 Realms.

Subject：即“当前操作用户”。但是，在Shiro中，Subject这一概念并不仅仅指人，也可以是第三方进程、后台帐户（Daemon Account）或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
　　Subject代表了当前用户的安全操作，SecurityManager则管理所有用户的安全操作。
　　SecurityManager：它是Shiro框架的核心，典型的Facade(外观)模式，Shiro通过SecurityManager来管理内部组件实例，并通过它来提供安全管理的各种服务。
　　Realm： Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说，当对用户执行认证（登录）和授权（访问控制）验证时，Shiro会从应用配置的Realm中查找用户及其权限信息。
　　从这个意义上讲，Realm实质上是一个安全相关的DAO：它封装了数据源的连接细节，并在需要时将相关数据提供给Shiro。当配置Shiro时，你必须至少指定一个Realm，用于认证和（或）授权。配置多个Realm是可以的，但是至少需要一个。
　　Shiro内置了可以连接大量安全数据源（又名目录）的Realm，如LDAP、关系数据库（JDBC）、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求，你还可以插入代表自定义数据源的自己的Realm实现。

shiro中的认证

认证流程图：

认证流程

1. 系统调用subject主体的login(登录)方法将用户信息token(令牌-代表一定的身份)提交(请求)给SecurityManager对象(shiro安全框架的核心对象-负责调配各个组件-处理请求的入口)认证
2. SecurityManager将认证操作委托给认证器对象Authenticator(认证管理器)，认证管理器里有认证策略Authentication Strategy(认证方式)，Authenticator将身份信息传递给Realm(完成数据的加载和封装)。
3. Realm访问数据库获取用户信息然后对信息进行封装并返回给认证管理器Authenticator。
4. Authenticator 对realm返回的信息进行身份认证(把用户输入的和数据库里查询到的信息做比对)。

shiro中的授权

授权流程图：

授权流程

1. 系统调用subject主体对象相关方法将用户权限信息(例如isPermitted)递交给SecurityManager。
2. SecurityManager将权限检测操作委托给Authorizer授权管理器对象。
3. Authorizer授权管理器将用户信息委托给realm。
4. Realm访问数据库获取用户权限信息(有没有权限，有什么样的权限)并封装。
5. Authorizer对用户授权信息进行判定(判断用户访问资源时需要什么权限，假如用户所具有的权限包含这个资源访问时所需要的权限，那么用户就可以访问这个资源了)。

shiro使用默认Ehcache实现缓存

本地缓存，每次断电重启，还是会查数据库

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-ehcache</artifactId>
    <version>1.5.2</version>
</dependency>

//3.创建自定义Realm
@Bean(name = "realm")   //指定别名
public Realm getRealm(){
    //创建密码匹配器
    HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
    //设置匹配算法
    matcher.setHashAlgorithmName("md5");
    //设置散列次数
    matcher.setHashIterations(1024);
    UserRealm realm = new UserRealm();
    realm.setCredentialsMatcher(matcher);

    //设置缓存,开启缓存管理器  EhCacheManager 是shiro提供的
    realm.setCacheManager(new EhCacheManager());
    //开启全局缓存
    realm.setCachingEnabled(true);
    //开启认证缓存
    realm.setAuthenticationCachingEnabled(true);
    //设置认证缓存的名字,不设置有默认名字
    realm.setAuthenticationCacheName("authenticationCache");
    //开启授权缓存
    realm.setAuthorizationCachingEnabled(true);
    //设置授权缓存的名字
    realm.setAuthorizationCacheName("authorizationCache");
    return realm;
}

shiro使用redis作为缓存实现