Shiro框架配置与 IniRealm 使用详解

本文档介绍了如何使用Apache Shiro框架基于ini文件进行配置，以及Shiro的核心组件和工作流程。 Apache Shiro是一个强大的Java安全框架，主要用于处理认证、授权和会话管理。它提供了简单易用的API，使得开发者能够轻松地实现应用的安全控制。在基于ini文件的配置中，我们可以看到Shiro的配置主要包括了`SecurityManager`、`Realms`、`SessionManager`等关键组件的设置。 1. **配置部分解析**: - `[main]` 部分是全局配置，定义了如登录URL、成功登录后的跳转URL、未授权角色和权限的错误页面，以及 Realm 的配置。 - `shiro.loginUrl` 指定用户未认证时重定向的URL。 - `authc.successUrl` 和 `roles.unauthorizedUrl`、`perms.unauthorizedUrl` 分别是认证成功后的跳转URL和权限不足时的错误页面。 - `inirealm` 和 `myrealm` 是两个不同的 Realm 类型，分别使用 IniRealm 和 自定义的 MongodbRealm，用来从不同的数据源获取用户信息。 - `adminDao` 配置了自定义 Realm 使用的数据访问对象。 - `sessionManager` 和 `securityManager` 配置了会话管理和安全管理器，其中 sessionManager 还添加了会话监听器。 - `[users]` 部分用于测试，直接定义了一些用户及其密码和权限。 2. **核心组件**: - **Subject**: 表示当前操作的用户，可以理解为安全主体，是Shiro的对外接口，供应用程序调用。 - **SecurityManager**: 是整个Shiro的核心，管理所有组件，负责协调它们进行认证和授权等操作。 - **Realm**: Realm 是Shiro与应用安全数据之间的桥梁，每个Realm负责从特定的数据源获取用户和权限信息。 3. **其他主要组件**: - **Authenticator**: 负责认证，验证用户的凭证是否正确。 - **Authorizer**: 授权组件，负责确定用户是否有权限执行某个操作。 - **SessionManager**: 管理用户的会话，包括创建、更新、删除会话等操作。 - **CacheManager**: 提供缓存支持，提高Shiro组件的性能。 4. **Shiro认证过程**: - 用户尝试登录时，创建一个AuthenticationToken实例并传递给Subject的login()方法。 - Subject实例委托SecurityManager进行登录操作。 - SecurityManager通过Authenticator调用Realm进行认证，如果配置了多个Realm，将根据AuthenticationStrategy进行多Realm认证。 - Realm会查询其背后的数据源验证用户信息，返回认证结果。 - 认证成功后，SecurityManager会创建并返回一个代表已认证Subject的PrincipalCollection。 通过这样的配置，Shiro可以根据ini文件中的设置动态地进行用户管理和权限控制，为应用程序提供全面的安全保障。在实际开发中，开发者可以根据具体需求自定义Realm和过滤器链，以适应不同的认证和授权场景。