Apache Shiro-core 框架深度解析<\/h1>

1. 框架概述<\/h2>
Apache Shiro 是一个强大且易用的 Java 安全框架，提供身份验证、授权、加密和会话管理等功能。其核心设计理念是简化应用程序安全性的实现，同时保持足够的灵活性。<\/p>

1.1 核心功能<\/h3>

Shiro-core 提供三大核心功能：<\/p>

身份验证(Authentication)<\/strong>: 验证用户身份<\/li>
访问控制(Authorization)<\/strong>: 控制用户权限<\/li>

会话管理(Session Management)<\/strong>: 管理用户会话<\/li> <\/ul>
1.2 核心架构<\/h3>
Shiro 的核心架构围绕以下几个关键组件构建：<\/p>

Subject<\/strong>: 代表当前执行用户的抽象，是 Shiro 的主要外部接口<\/li>
SecurityManager<\/strong>: 核心管理者，负责协调所有安全操作<\/li>
Authenticator<\/strong>: 负责身份认证<\/li>
Authorizer<\/strong>: 负责访问控制<\/li>
SessionManager<\/strong>: 负责会话管理<\/li>
Realm<\/strong>: 连接 Shiro 和安全数据源的桥梁<\/li> <\/ol>
2. 核心组件详解<\/h2>
2.1 Subject<\/h3>
Subject 是 Shiro 的核心概念，代表当前与应用程序交互的实体（用户、第三方服务等）。<\/p>
实现细节<\/strong>:<\/p>

默认实现类: DelegatingSubject<\/code><\/li>
内部类: Subject.Builder<\/code> (使用 Builder 模式创建 Subject)<\/li>
存储信息: 身份信息(Principals)、认证状态(isAuthenticated)等<\/li> <\/ul> 创建过程<\/strong>:<\/p> 初始化 SubjectContext<\/code><\/li> 调用 doCreateSubject(context)<\/code> 方法<\/li> 创建完成后，将当前 subject 的信息存储到会话中<\/li> <\/ol> 2.2 SecurityManager<\/h3> SecurityManager<\/code> 是 Shiro 架构的核心，负责协调所有安全操作。<\/p> 默认实现<\/strong>: DefaultSecurityManager<\/code><\/p> 工作方式<\/strong>:<\/p> 采用委托模式<\/strong>，将大部分功能委托给其他组件: Authenticator<\/code>: 身份认证<\/li> Authorizer<\/code>: 访问控制<\/li> SessionManager<\/code>: 会话管理<\/li> <\/ul> <\/li> <\/ul> 2.3 Authenticator<\/h3> 负责验证用户提供的凭证(credentials)是否有效。<\/p> 设计模式<\/strong>:<\/p> AOP (面向切面编程)思想<\/li> 策略模式<\/li> 工厂模式 (RealmFactory<\/code>)<\/li> <\/ul> 身份验证流程<\/strong>:<\/p> Single Realm<\/strong>: 根据 Principal 和 credentials 查询信息<\/li> 查得到则验证成功，否则失败<\/li> <\/ul> <\/li> Multi Realm<\/strong>: 在 Single 基础上添加 AOP 操作<\/li> 实现类: ModularRealmAuthenticator<\/code><\/li> <\/ul> <\/li> <\/ol> 2.4 Authorizer<\/h3> 负责访问控制，即检查用户是否有权限执行特定操作。<\/p> 授权元素<\/strong>:<\/p> Permission<\/strong> = Resource + Actions<\/li> Role<\/strong>: 权限的集合<\/li> User<\/strong>: 用户实体<\/li> <\/ul> 核心算法<\/strong>:<\/p> protected<\/span> boolean<\/span> isPermitted<\/span>(<\/span>Permission permission,<\/span> AuthorizationInfo info)<\/span> {<\/span> <\/span><\/span> Collection<<\/span>Permission><\/span> perms =<\/span> getPermissions(<\/span>info);<\/span> <\/span><\/span> if<\/span> (<\/span>perms !=<\/span> null<\/span> &&<\/span> !<\/span>perms.<\/span>isEmpty<\/span>())<\/span> {<\/span> <\/span><\/span> for<\/span> (<\/span>Permission perm :<\/span> perms)<\/span> {<\/span> <\/span><\/span> if<\/span> (<\/span>perm.<\/span>implies<\/span>(<\/span>permission))<\/span> {<\/span> <\/span><\/span> return<\/span> true<\/span>;<\/span> <\/span><\/span> }<\/span> <\/span><\/span> }<\/span> <\/span><\/span> }<\/span> <\/span><\/span> return<\/span> false<\/span>;<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>只要用户拥有的权限集合中任意一个权限包含(implies)<\/strong>了所需权限，则授权成功。<\/p> 2.5 SessionManager<\/h3> 管理用户会话，支持多种会话存储方式。<\/p> 设计模式<\/strong>:<\/p> 监听模式<\/li> DAO 模式 (委托给 SessionDAO<\/code> 进行 CRUD 操作)<\/li> <\/ul> 实现方式<\/strong>:<\/p> 默认使用内存实现<\/li> 其他方式需要由应用程序自行实现<\/li> 在 Web 环境中，有两种选择: Shiro 原生会话管理<\/li> Servlet 容器(如 Tomcat)实现的会话管理<\/li> <\/ol> <\/li> <\/ul> 2.6 Realms<\/h3> 作为连接 Shiro 和安全数据源的桥梁，负责:<\/p> 获取验证信息<\/li> 执行权限检查<\/li> <\/ul> 特点<\/strong>:<\/p> Shiro 提供了一些简单实现<\/li> 通常需要应用程序根据业务需求自定义实现<\/li> <\/ul> 3. 初始化流程<\/h2> Shiro 的所有操作都从配置开始：<\/p> 配置方式<\/strong>:<\/p> 编程式配置<\/li> 配置文件读取与解析 (利用反射机制调用构造函数、setter\/getter)<\/li> <\/ol> 初始化对象<\/strong>:<\/p> 主要初始化 SecurityManager<\/code><\/li> 其他组件通过委托方式由 SecurityManager<\/code> 管理<\/li> <\/ul> 4. 设计模式应用<\/h2> Shiro 中广泛应用了多种设计模式：<\/p> Builder 模式<\/strong>: 用于创建 Subject<\/li> 工厂模式<\/strong>: 如 SubjectFactory<\/code>, RealmFactory<\/code><\/li> 委托模式<\/strong>: SecurityManager<\/code> 将功能委托给各组件<\/li> 策略模式<\/strong>: 在不同场景下使用不同的认证\/授权策略<\/li> AOP 思想<\/strong>: 将安全逻辑与业务逻辑解耦<\/li> <\/ol> 5. Shiro-Web 集成<\/h2> shiro-web<\/code> 是 shiro-core<\/code> 的包装器(wrapper)，主要特征是实现一方，调用一方。<\/p> 关键点<\/strong>:<\/p> 实现了 Filter<\/code> 接口，使 Tomcat 可以调用<\/li> ShiroFilter<\/code> 调用 WebSubject<\/code><\/li> 与 Servlet 容器的关系不是单向的，存在双向调用<\/li> 会话管理可以选择使用 Shiro 原生实现或 Servlet 容器实现<\/li> <\/ul> 会话管理冲突解决方案<\/strong>:<\/p> WebSessionManager<\/code> 的两种实现: Native: 使用 Shiro 自己实现的会话管理<\/li> ServletContainer: 调用 Servlet 容器实现的会话管理<\/li> <\/ol> <\/li> <\/ul> 示例代码 (ServletContainerSessionManager<\/code>):<\/p> public<\/span> Session getSession<\/span>(<\/span>SessionKey key)<\/span> throws<\/span> SessionException {<\/span> <\/span><\/span> if<\/span> (!<\/span>WebUtils.<\/span>isHttp<\/span>(<\/span>key))<\/span> {<\/span> <\/span><\/span> throw<\/span> new<\/span> IllegalArgumentException(<\/span>"SessionKey must be an HTTP compatible implementation."<\/span>);<\/span> <\/span><\/span> }<\/span> <\/span><\/span> HttpServletRequest request =<\/span> WebUtils.<\/span>getHttpRequest<\/span>(<\/span>key);<\/span> <\/span><\/span> Session session =<\/span> null<\/span>;<\/span> <\/span><\/span> HttpSession httpSession =<\/span> request.<\/span>getSession<\/span>(<\/span>false<\/span>);<\/span> <\/span><\/span> if<\/span> (<\/span>httpSession !=<\/span> null<\/span>)<\/span> {<\/span> <\/span><\/span> session =<\/span> createSession(<\/span>httpSession,<\/span> request.<\/span>getRemoteHost<\/span>());<\/span> <\/span><\/span> }<\/span> <\/span><\/span> return<\/span> session;<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>6. 安全考量<\/h2> 在使用 Shiro 时需要注意以下安全事项:<\/p> Realm 实现<\/strong>: 自定义 Realm 时需要确保安全查询的正确性<\/li> 会话管理<\/strong>: 选择适合的会话管理方式，考虑安全性和性能<\/li> 权限设计<\/strong>: 合理设计权限粒度，避免过度授权<\/li> 配置安全<\/strong>: 确保配置文件的安全性，避免敏感信息泄露<\/li> <\/ol> 7. 总结<\/h2> Apache Shiro 通过清晰的架构设计和合理的模式应用，提供了一个强大而灵活的安全框架。理解其核心组件和它们之间的交互方式，对于有效使用 Shiro 和排查相关问题至关重要。特别是在 Web 环境中，需要注意 Shiro 与 Servlet 容器的集成方式和会话管理策略的选择。<\/p>

Apache Shiro-core 框架深度解析<\/h1>

1. 框架概述<\/h2> Apache Shiro 是一个强大且易用的 Java 安全框架，提供身份验证、授权、加密和会话管理等功能。其核心设计理念是简化应用程序安全性的实现，同时保持足够的灵活性。<\/p>

2. 核心组件详解<\/h2>

1. 框架概述<\/h2>
Apache Shiro 是一个强大且易用的 Java 安全框架，提供身份验证、授权、加密和会话管理等功能。其核心设计理念是简化应用程序安全性的实现，同时保持足够的灵活性。<\/p>