Shiro认证流程详解：Subject、SecurityManager与Realm的作用

Shiro是Java安全框架，用于实现Web应用中的身份验证（Authentication）和授权（Authorization）。本文档详细介绍了Shiro认证过程的关键组件及其作用。 **核心组件** 1. **Subject**：Shiro中的Subject，也称为“当前操作用户”，是整个安全模型的核心概念。它代表了系统中正在执行操作的用户，封装了用户的标识和权限信息。Subject是用户会话和安全决策的载体。 2. **SecurityManager**：作为Shiro的核心组件，SecurityManager采用了Facade模式，它对外提供了统一的接口来管理和协调框架内部的组件，如Subject和Realms。SecurityManager负责处理用户的登录、授权请求，并确保安全性。 3. **Realm**：Realm是Shiro与应用安全数据之间的桥梁，负责存储和检索用户的身份和权限信息。在认证和授权时，Shiro会从配置的Realm中查询用户信息，这是整个流程中的关键环节。 **Shiro完整架构图**展示了这些组件如何协同工作，包括Authenticator（用于验证用户身份）、Authorizer（进行访问控制）、SessionManager（管理用户会话）以及CacheManager（提供缓存支持，提高性能）。 **Shiro认证过程**分为以下步骤： 1. 应用程序创建一个`AuthenticationToken`对象，其中包含了用户认证信息，然后调用`Subject.login`方法开始认证流程。 2. `Subject`实例，通常是`DelegatingSubject`的实例，将请求转发给配置的`SecurityManager`，通过`securityManager.login(token)`执行实际的认证。 3. `SecurityManager`接收`AuthenticationToken`后，委托`ModularRealmAuthenticator`进行认证。这个组件允许动态选择和组合多个Realm进行认证，增强了灵活性。 4. 如果有多个Realm配置，`ModularRealmAuthenticator`会按照`AuthenticationStrategy`的策略（如顺序、轮询或基于策略的组合）依次或并行地检查每个Realm。 5. 对于单个Realm的情况，认证过程更为直接，Realm会被直接调用，无须额外策略。 Shiro的认证过程涉及多个组件的交互，从用户信息的传递、身份验证到权限验证，都通过精心设计的架构来保证系统的安全性和可扩展性。理解并掌握这个过程对于有效使用Shiro进行Web应用的安全管理至关重要。