Shiro架构详解：Subject、SecurityManager与权限管理

Shiro是Java安全框架，用于简化和增强Web应用程序的安全性，特别是身份验证（Authentication）和授权（Authorization）。本文主要介绍了Shiro的完整架构图及其核心组件的作用。 首先，Shiro的主要组成部分包括： 1. **Subject**：在Shiro中，Subject代表“当前操作用户”，它是所有安全交互的起点。Subject封装了用户的上下文信息，如用户名、角色等，负责存储和维护这些信息，并在整个请求生命周期内保持其有效性。 2. **SecurityManager**：作为Shiro的核心组件，SecurityManager采用 Facade模式，是整个框架的入口点。它管理内部组件的实例，提供了诸如身份验证、授权、会话管理和缓存支持等安全管理服务。应用程序通过SecurityManager来执行安全操作。 3. **Realms**：Realms是Shiro与应用程序安全数据的桥梁，负责存储用户信息和权限映射。在认证和授权时，Shiro会查询应用配置的Realms以获取用户数据，然后进行相应的验证。 4. **Authenticator**：负责用户身份的验证，即确认用户提供的凭证（如用户名和密码）是否有效。在Shiro的认证流程中，Authenticator通常由ModularRealmAuthenticator实现，它支持插件式设计，可以根据配置的多个Realm进行认证。 5. **Authorizer**：用于实现访问控制，即根据Subject的权限决定用户是否有权访问特定资源或执行特定操作。Authorizer通常会根据Subject的权限信息来判断是否允许请求的执行。 6. **SessionManager**：管理用户的会话，确保在用户会话期间的安全性，例如，处理会话超时和会话注销。 7. **CacheManager**：为Shiro提供缓存支持，可以优化性能，例如缓存已经验证过的用户信息，减少数据库查询。 Shiro的认证过程分为以下几个步骤： - 应用程序创建一个包含用户认证信息的AuthenticationToken实例。 - Subject实例（通常是DelegatingSubject的实例）调用SecurityManager的login方法，传递token。 - SecurityManager委托给Authenticator（如ModularRealmAuthenticator）进行认证，该类会遍历配置的Realm。 - 如果有多个Realm，AuthenticationStrategy会根据策略决定如何处理这些Realm的响应。 - 最终，每个Realm都会被调用并验证用户信息，根据策略决定认证结果。 在配置上，如果只有一个Realm，那么认证过程更为简单，不会涉及到复杂的策略。然而，如果有多个Realm，Shiro提供了一种灵活的方式来控制认证顺序和失败后的处理方式。 Shiro的架构设计使得开发人员能够轻松地集成身份验证和授权功能，同时提供了丰富的插件化机制，使得框架易于扩展和定制以适应不同场景的需求。