前言
想要在SpringBoot 2.0 快速集成Shiro框架,简述篇可以省略跳过.
虽然近来一直在做游戏,但是涉及到后台问题,而且我不在想用SpringMVC框架来架构本次游戏过程,所以就使用SpringBoot 2.0来架构游戏后台,由于涉及到后台管理系统权限的问题,由于以前在SpringMVC中就一直集成shiro框架做权限管理(没有深入研究,当时做的CV战士),所以这次依然打算使用Shiro框架.然后顺道把它的实现原理以及使用过程做一些记录.
Shiro框架简介
Apache Shiro 是Java中的一个简单易上手,容易进行扩展的权限校验框架.相比于Spring Security ( PS:未具体研究Spring Security ) 而言,Shiro显得更加的轻巧.当然了,轻巧的同时,也就意味着功能要比Spring Security框架要少的多.但是已经能满足我日常开发所需了,所以就使用它了,合适才是最好的.
想要研究其原理,那就先把它的API研究好,我们首先看一下下面的这一张图,非常的经典,因为它能概述Shiro框架大部分的功能点.
上图对Shiro框架功能方面有这个很好的解释.接下来,我们就说一下每一个功能点都有什么的作用以及用途.
其中图中的Primary Concerns部分是整个Shiro框架的基础,四个模块分别代表着身份验证、授权、回话管理、加密.
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
当然了,图中的 Supporting Features模块则是说明Shiro框架还具有其他的扩展功能. 下面分别来介绍一下它的扩展功能.
Web Support:Web支持,可以非常容易的集成到Web环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
Shiro验证授权流程
在搞Shiro框架之前,我们先来看一张关于Shiro权限校验的流程图.
其实在什么服务器语言之中都存在着权限校验这种问题,那么其中就存在了三个最终的部分,分别是Subject、SecurityManager、Realm三个部分.下面我就来说说这个三个部分在权限验证过程分别起着什么样的作用.
Subject :主体,既可以代表用户,也可以代表程序(网络爬虫等),它需要访问系统,系统则需要对其进行认证和授权,可以看到主体可以是任何可以与应用交互的“用户”。
SecurityManager :安全管理,用户请求Url,对应于一个Subject对象,由SecurityManager统一对Subject进行认证和授权(父)。
Realm : 用于存储验证数据的数据库.是验证Subject权限的重要凭证.
上面说的还是挺复杂的,接下来我们就简化一下过程(带有一定的代码逻辑部分),来看一下Shiro到底是如何对用户进行认证的.
上图的过程可以用文字这么来表述,通过前端或者移动端传入的用户信息,包含用户账号和用户凭证(用户密码),然后组成UserNamePasswordToken,也就是主体部分.然后把主体部分传入Security Manager模块中.首先,Security Manager模块会根据Token信息去查询Realm,查看是否存在该用户信息,如果不存在抛出用户不存在异常,如果存在进行下一步操作,那就是比对用户凭证信息,这一步也是需要查看Realm中的用户信息,如果Token中的用户凭证和Realm中的用户凭证一致,那么验证通过,否则验证失败.
结语
集成Shiro的过程还是比较简单,但是对新手的我还是有坑的,所以有必要研究一下Shiro的内部实现过程.下一篇将来说一下如果使用INI文件进行Shiro的授权验证.关于Java方面不是太懂,欢迎在评论区批评指导.谢谢大家.
