Apache Shiro安全框架详解：核心概念与基本语法

Apache Shiro是一个强大的Java安全框架，它提供了身份验证（Authentication）、授权（Authorization）以及会话管理（Session Management）等功能，简化了开发人员在构建应用程序安全性的过程。Shiro设计的目标是易于使用，同时又足够灵活，可以适应各种复杂的业务场景。 ### Shiro核心概念 1. **SecurityManager**: 安全管理器是Shiro框架的核心，负责协调所有组件并管理安全相关的操作。它执行认证和授权流程，管理Subject的状态，并可配置不同的 Realm 实现不同的数据源。 2. **Subject**: Subject代表了当前的用户，它封装了所有安全操作。无论是在Web环境还是非Web环境中，Subject都是与Shiro交互的主要接口，通过它进行登录、登出、权限检查等操作。 3. **Realm**: Realm 是Shiro与应用程序安全数据源之间的桥梁。它可以是数据库、LDAP、属性文件或其他任何数据源。 Realm 负责从这些数据源中获取身份验证和授权信息。 ### Shiro基本语法 #### 基于 Ini 文件的认证 (登录) Ini 文件是一种简单的配置格式，常用于快速设置Shiro的基础认证信息。在 Ini 文件中，可以定义多个用户及其对应的密码，如 `jack=111` 和 `andy=222`。 1. 创建Java工程。 2. 添加Shiro的核心库 `shiro-core` 和 `commons-logging` 依赖。 3. 在 `resources` 目录下创建 Ini 配置文件，存储用户信息。 4. 编写测试类，使用Shiro提供的API进行认证操作，如 `SecurityUtils.getSubject().login(token)`，其中 `token` 包含用户名和密码信息。 #### 基于 Realm 类的认证 在实际应用中，用户名和密码通常存储在数据库中。为此，你需要创建自定义 Realm 类，实现 `AuthenticatingRealm` 接口，覆盖 `doGetAuthenticationInfo()` 方法以从数据库获取认证信息。 #### MD5 加密 MD5是一种常见的密码加密算法，用于保护明文密码。Shiro 可以配合 MD5 进行密码加密，确保即使数据泄露，明文密码也不会被轻易获取。 #### 基于 Ini 文件的授权 在 Ini 文件中，可以定义用户的角色和权限，例如 `jack = admin, user` 表示用户 jack 拥有 admin 和 user 两个角色。Shiro 提供的 API 可以根据 Ini 文件内容进行权限检查。 #### 基于 Realm 类的授权 对于更复杂的情况，如从数据库读取角色和权限，可以通过自定义 Realm 类实现 `AuthorizingRealm` 接口，覆盖 `doGetAuthorizationInfo()` 方法来获取用户授权信息。 ### 小结 Apache Shiro 提供了一套简单易用的安全框架，使得开发者可以快速地集成认证和授权功能。无论是基于 Ini 文件的简单配置，还是通过 Realm 类对接数据库的复杂场景，Shiro 都能有效地帮助我们构建安全的应用程序。在实际开发中，可以根据项目的具体需求选择合适的认证和授权策略。