一、導語

今天推薦給大家一個非常簡單，實用的開源權限框架：Shiro，這也是Java官方推薦的權限框架。

盡管網上有很多類似的文章，但是都不夠完善，尤其是涉及到 freemaker，springboot，shiro，redis 整合的文章非常少，并且更多的是理論，缺失完整的可運行的源代碼。

本文提供的源碼，你可以將代碼直接拷貝到自己項目使用，參數可配置，提供完整的文檔。

源代碼實現的功能：

• 提供可視化后臺界面；

• 管理員后臺添加用戶、系統功能、角色，關聯系統功能和角色,分配用戶角色；

• 登錄/身份認證；

• 權限驗證；

• 會話管理（redis實現分布式集群管理）；

• 緩存（redis實現分布式集群管理）；

• 登錄失敗次數限制（redis實現分布式集群管理）；

二、shiro介紹

首先，讓我們先了解一下Shiro到底是什么？

Shiro是一個強大且簡單易用的Java安全框架，主要用來做認證，授權，加密，會話管理。相比于具備類似功能的

Spring Security來說，Shiro要簡單的多，并且滿足絕大部分企業級系統應用。

Shiro具體有哪些功能呢，下面簡單列舉一些：

• 登錄/身份認證；

• 驗證權限，即，驗證某個人是否有做某件事的權限；

• 會話管理，管理用戶特定的會話（支持分布式session管理），支持web,非web,ejb；

• 加密，保證數據安全；

• Caching：緩存（支持分布式cache管理）；

• 登錄失敗次數限制；

• Remember Me：即記住登錄狀態，一次登錄，下次再來的話不用重復登錄；

• Run As：允許一個用戶假裝為另一個用戶（如果他們允許）的身份進行訪問；

• Shiro可以很友好的與Spring集成，支持jsp標簽（官方不支持freemaker標簽，本文源碼實現一套freemaker標簽）；

三、shiro詳解

本小節重點講解 Shiro的體系結構，以及一些相關的術語。

通過認證和權限控制流程的講解，使讀者基本掌握shiro的運行原理。

1、系統架構

Shiro有三個關鍵概念：

• Subject

• SecurityManager

• Realms

三者的關系如下圖所示：

• Subject：

  本質上就是當前訪問用戶的抽象描述。Shiro對外主要提供了以Subject為核心的一些列API，各種用戶驗證與權限控制的接口都是圍繞著Subject來設計的。

  但是所有Subject都需要SecurityManager，當你與Subject進行交互，這些交互行為實際上被轉換為與SecurityManager的交互。

• SecurityManager：

  Shiro架構中最核心的組件，通過它可以協調其他組件完成用戶認證和授權。

  SecurityManager就是Shiro框架的控制器，執行安全相關的操作并管理該應用的所有用戶的狀態。

  這些操作和狀態包括：

1. 1. 用戶認證；

   2. 權限控制；

   3. 回話管理；

   4. 緩存管理；

   5. Realm的協調調度；

   6. 事件傳播；

   7. “Remember Me”服務；

   8. 創建Subject；

   9. 退出登錄；

• Realms：

  定義了訪問數據的方式，用來連接不同的數據源，如：LDAP，關系數據庫，配置文件等等當需要與安全數據交互的時候，像用戶賬戶，或者訪問控制，Shiro就從一個或多個Realms中查找。Shiro提供了一些可以直接使用的Realms，如果默認的Realms不能滿足需求，也可以自定義Realms（本文自定義Realms，數據來源mysql，提供完整的數據庫表結構和演示數據）。

2、系統詳細架構

• Authenticator（用戶認證管理器）

  這個組件主要用于處理用戶登錄邏輯，他通過調用Realm的接口來判斷當前登錄的用戶的身份。

• AuthenticationStrategy（用戶認證策略）

  如果系統配置了多個Realm，則需要使用AuthenticationStrategy來協調這些Realm以便決定一個用戶登錄的認證是成功還是失敗。（比如，如果一個Realm驗證成功了，但是其他的都失敗了，那么這次認證算是成功了嗎？還是說必須所有的Realm都認為成功了才算成功？或者是第一個成功就算成功？可見，策略還是蠻復雜的）。

• Authorizer（權限管理器）

  這個組件主要是用來做用戶的訪問控制。通俗來說就是決定用戶能做什么、不能做什么。

• SessionManager（會話管理器）

  SessionManager知道如何創建會話、管理用戶回話的生命周期以便在所有運行環境下都可以給用戶提供一個健壯的會話管理體驗。SessionDAO允許用戶使用任何類型的數據源來存儲Session數據。

• SessionDAO(org.apache.shiro.session.mgt.eis.SessionDAO)

  用于代替SessionManager執行Session相關的增刪改查。這個接口允許我們將任意種類的數據存儲方式引入到Session管理的基礎框架中。

  （本文源碼實現了redisDao，用redis實現session的統一管理，同時，源碼還提供了內存管理session，可以通過配置方便的切換使用。）

• Cache

  緩存 authentication, authorization 和 session 等數據，提升應用的性能。由于Cache不屬于安全框架的核心功能，所以shiro本身并沒有完全實現Cache機制。Cache接口相當于底層的緩存框架的頂層接口，shiro的一切的緩存操作都與這個Cache頂層接口操作，而底層的實現可以是任何Cache實例（JAche、Ehcache、RedisCache，OSCache、JBossCache..）

  （本文源碼實現了Ehcache，RedisCache 和內存Cache。三者可以通過配置，方便的切換使用。）
  

• CacheManager(org.apache.shiro.cache.CacheManager)

  緩存管理器。創建和管理緩存，為 authentication, authorization 和 session management 提供緩存數據，避免直接訪問數據庫，提高效率。

  cacheManager維護了Cache實例的生命周期，它和Cache一樣，只是shiro的緩存框架的頂層接口，具體底層實現可以是任意的。

  （本文源碼實現了RedisCacheManager，用redis實現cache的統一管理。同時，源碼還提供了內存和ehcache管理cache，可以通過配置，方便的切換使用。）

3、其他基本概念解釋

• 分布式會話管理

  將session保存到獨立緩存服務器，保證服務在重啟或 nginx做負載均衡的時候，用戶session可見。

  （本文提供的源碼使用redis保存session會話。）

• freemaker標簽

  通過使用標簽，可以非常方便的實現前后端數據通信。

  默認Shiro支持jsp標簽，但不支持freemaker標簽。為了滿足前端使用freemaker的系統使用Shiro，特定制化一套freemaker 的shiro標簽，并提供源碼。

四、shiro實戰案例分享

本小節分三部分

• 數據庫表介紹

• 權限管理系統源代碼結構詳解

• 認證&授權流程分析

數據庫表

權限管理系統源代碼結構詳解

項目結構圖示：

如圖所示，本項目包括四個子項目

1、demo-shiro-interface

項目展開如下：

該子項目主要功能是提供與用戶、角色、功能、權限和分頁相關的接口類和實體。

2、demo-shiro-service

項目展開如下：

該子項目主要功能是實現demo-shiro-interface中的接口類，業務邏輯編碼實現。

3、demo-shiro-web

項目展開如下：

其中

• UserController.java

  用戶登錄認證，登出管理，用戶添加，用戶審核等功能。

• SysController.java

  系統功能模塊管理。

• *Tag.java

  專為freemaker定制的Shiro標簽，本項目的關鍵部分。

• CustomShiroSessionDAO.java 

  自定義session 管理，本項目提供依賴redis集中會話管理的功能，本項目的關鍵部分。

• RedisCacheManager.java

  自定義Cache 管理，本項目提供依賴redis集中Cache管理的功能，本項目的關鍵部分。

• MyShiroRealm.java

  自定義 realm，用戶認證和授權均需要使用該類提供的功能，本項目的關鍵部分。

• FreemarkerConfiguration.java

• ShiroTagFreeMarkerConfigurer.java

  自定義的freemaker的shiro標簽注入實現。

4、springboot-shiro-configure

項目展開如下：

其中

• *Properties.java

  讀取application.yml 配置文件中對應的配置參數，如session過期時間，連續最大登錄失敗次數等。

• RetryLimitHashedCredentialsMatcher.java

  管理 連續最大登錄失敗次數以及時間間隔，當達到最大登錄失敗次數后，系統提示用戶N分鐘內無法繼續重試。

• ShiroAutoConfiguration.java ShiroConfiguration.java

  Shiro允許用戶自定義Realms，CacheManager，SessionManager ，這兩個類文件的功能就是實現自定義類的依賴管理。

  這兩個類也是Shiro 與 spring boot 集成的關鍵部分。

  此處源碼實現涉及到 spring boot @ConditionalOnxxx 的相關注解技術，建議讀者學習相關技術點。

以上源碼文件中有非常完善的注釋，有興趣的同學可以讀一讀。

認證&授權流程分析

Shiro 所有的功能都圍繞兩個核心功能展開，即用戶登錄認證 和用戶訪問授權。除這兩個核心功能外，本項目還自定義了cacheManager，sessionManager，使用多種方式做cache和session管理。

本小節將對以上四個問題做解析。

1、用戶登錄認證

shiro用戶認證時序圖

通過調用Subject.login(token)方法開始用戶認證流程。

執行 currentUser.login(token) 后 ,SecurityManager會收到AuthenticationToken,并將其發送給已配置的Realm執行必須的認證。所以這一步在調用login(token)方法時,它會走到MyRealm.doGetAuthenticationInfo()方法中,具體驗證方式如下：

MyShiroRealm.doGetAuthenticationInfo()。

UserRealm繼承AuthorizingRealm，在其父類AuthenticatingRealm的getAuthenticationInfo方法中會調用credentialsMatcher的 doCredentialsMatch 來驗證用戶輸入用戶名密碼是否匹配。

使用HashedCredentialsMatcher來進行加密。加密方式為salt自定義（本項目使用的www）、hash次數為1024、Base64解碼，加密算法為md5。

對應的配置文件applications.yml

用戶注冊時，密碼明晚修改為密文，具體代碼實現如下：

其中 Constants.initPassword 是添加用戶時默認的密碼：111111.

用戶退出登錄時，Shiro用戶必須執行logout()，必須要注銷Session信息，避免影響下一次用戶認證和授權

SecurityUtils.getSubject().logout();

req.getSession().invalidate();

2、用戶訪問授權

shiro訪問授權時序圖

用戶認證通過后，進入后臺管理系統。

在后臺系統使用 freemaker 構建，sidebar.flt模板文件中管理所有菜單。其中的 freemaker 的shiro 標簽配置如下：

紅色邊框 name=“4” 或name=“4-1” 其中的 4 ，4-1 代表的下圖所示 紅框中的 role.getPermissionsName()值。

permissionsName 的值來源于 后臺添加功能時，為菜單設置的值。如下圖:

3、session管理

系統提供兩種session管理方式

• ehcache管理

• Redis集中管理

配置：

ShiroConfiguration.java

注釋掉該方法時 ，shiro的會話session默認由ehcache管理。

打開該方法時，shiro的會話session由redis管理。

4、cache管理

系統提供三種session管理方式

• 本地內存管理

• ehcache管理

• Redis集中管理

配置：

ShiroConfiguration.java

想使用哪種方式，就將其他另外兩種方式注釋掉。

（有興趣的同學可以開發一個新功能，通過配置參數來開啟某種session管理方式）

五、系統配置

本小節分兩個部分

• Shiro管理配置

  主要涉及到兩個配置文件application.yml 和ehcache.xml ，下面會有針對各個配置參數的詳細介紹。

• 后臺系統權限配置

  使用后臺管理系統的頁面，添加用戶，系統功能，角色，權限，用戶權限分配。

1、Shiro管理配置

application.yml

• realm-class

  自定義 realm（com.xinwei.shiro.MyShiroRealm），完成認證和授權。

• custom-authc-filter-class:

  自定義過濾器com.xinwei.shiro.AjaxAuthorizationFilter。

• login-url

  登錄url，會話超時繼續訪問系統時，自動跳轉到該url。

• success-url

  認證通過后，系統進入該url功能界面。

• retry-max

  用戶登錄認證，允許的最大連續失敗次數。

• retry-expire-time-redis

  用戶登錄認證，達到最大連續失敗次數后，需要等待再次輸入的時間間隔（單位：秒）。

  （只有當使用redis管理cache時，該參數才生效。如果使用ehcache 管理cache，則需要參考ehcache.xml。）

• authorization-expire-time-redis

  用戶授權檢驗 的緩存過期時間，在過期時間內，用訪問需要授權的菜單時，無需重復執行，提升了系統的訪問效率。

  （只有當使用redis管理sesson時，該參數才生效。如果使用ehcache 管理cache，則需要參考ehcache.xml。）

• hash-iterations

  密碼加密時，做的hash次數，本案例做1024次hash。

• hash-algorithm-name

  密碼加密時使用的加密方法，本案例采用MD5。

• stored-credentials-hex-encoded

  默認值是true，默認采用Hex解碼，false時，采用Base64解碼。

• global-session-timeout

  會話存活時間（注意，單位是毫秒，0表示立即過期，-1表示永不過期）。

• validation-interval

  檢查session是否過期的時間間隔。

• validation-scheduler-enabled

  true，掃描session線程,負責清理超時會話。

• filter-chain-definitions:

• /media/**: anon

  訪問該目錄下的文件，不需要做權限校驗。

• /admin/**: authc

  設置攔截器，訪問該目錄下的文件事，需要做權限校驗。

ehcache.xml

參加具體含義參考 https://www.cnblogs.com/sdream/p/5966668.html。

2、后臺系統權限配置

• 添加用戶

注意：新添加的后臺用戶，密碼默認是：111111，且審核通過后才可以登錄本系統。

• 為用戶添加角色

• 添加系統功能：

功能編碼必須唯一，在freemaker 處需要使用該功能編碼。

• 添加角色

• 給角色賦權限

六、其他

Shiro是一個功能很齊全的框架，使用起來也很容易，但是要想用好卻有相當難度。歡迎大家多動手實踐，遇到問題一起討論。

項目源碼地址：

https://github.com/wzjgn/shiro-freemaker-springboot-redis-mysql.git

參考：

https://www.cnblogs.com/learnhow/p/5694876.html

http://lgbolgger.iteye.com/blog/2170522