shiro 安全认证，授权

使用多个Realm的处理机制： 

1、Authenticator 
默认实现是ModularRealmAuthenticator,它既支持单一Realm也支持多个Realm。如果仅配置了一个Realm，ModularRealmAuthenticator 会直接调用该Realm处理认证信息，如果配置了多个Realm，它会根据认证策略来适配Realm，找到合适的Realm执行认证信息。 
自定义Authenticator的配置： 

Java代码

1. [main]   
2. ...   
3. authenticator = com.foo.bar.CustomAuthenticator   
4. securityManager.authenticator = $authenticator  

2、AuthenticationStrategy（认证策略） 
当应用程序配置了多个Realm时，ModularRealmAuthenticator将根据认证策略来判断认证成功或是失败。 
例如，如果只有一个Realm验证成功，而其他Realm验证失败，那么这次认证是否成功呢？如果大多数的Realm验证成功了，认证是否就认为成功呢？或者，一个Realm验证成功后，是否还需要判断其他Realm的结果？认证策略就是根据应用程序的需要对这些问题作出决断。 
认证策略是一个无状态的组件，在认证过程中会经过4次的调用： 

• 在所有Realm被调用之前
• 在调用Realm的getAuthenticationInfo 方法之前
• 在调用Realm的getAuthenticationInfo 方法之后
• 在所有Realm被调用之后

认证策略的另外一项工作就是聚合所有Realm的结果信息封装至一个AuthenticationInfo实例中，并将此信息返回，以此作为Subject的身份信息。 
Shiro有3中认证策略的具体实现： 

AtLeastOneSuccessfulStrategy	只要有一个（或更多）的Realm验证成功，那么认证将被视为成功
FirstSuccessfulStrategy	第一个Realm验证成功，整体认证将被视为成功，且后续Realm将被忽略
AllSuccessfulStrategy	所有Realm成功，认证才视为成功

 

 

Shiro 授权

授权即访问控制，它将判断用户在应用程序中对资源是否拥有相应的访问权限。 
如，判断一个用户有查看页面的权限，编辑数据的权限，拥有某一按钮的权限，以及是否拥有打印的权限等等。 

一、授权的三要素 

授权有着三个核心元素：权限、角色和用户。 

权限 
权限是Apache Shiro安全机制最核心的元素。它在应用程序中明确声明了被允许的行为和表现。一个格式良好好的权限声明可以清晰表达出用户对该资源拥有的权限。 
大多数的资源会支持典型的CRUD操作（create,read,update,delete）,但是任何操作建立在特定的资源上才是有意义的。因此，权限声明的根本思想就是建立在资源以及操作上。 
而我们通过权限声明仅仅能了解这个权限可以在应用程序中做些什么，而不能确定谁拥有此权限。 
于是，我们就需要在应用程序中对用户和权限建立关联。 
通常的做法就是将权限分配给某个角色，然后将这个角色关联一个或多个用户。 

权限声明及粒度 
Shiro权限声明通常是使用以冒号分隔的表达式。就像前文所讲，一个权限表达式可以清晰的指定资源类型，允许的操作，可访问的数据。同时，Shiro权限表达式支持简单的通配符，可以更加灵活的进行权限设置。 
下面以实例来说明权限表达式。 
可查询用户数据 
User:view 
可查询或编辑用户数据 
User:view,edit 
可对用户数据进行所有操作 
User:* 或 user 
可编辑id为123的用户数据 
User:edit:123 

角色 
Shiro支持两种角色模式： 
1、传统角色：一个角色代表着一系列的操作，当需要对某一操作进行授权验证时，只需判断是否是该角色即可。这种角色权限相对简单、模糊，不利于扩展。 
2、权限角色：一个角色拥有一个权限的集合。授权验证时，需要判断当前角色是否拥有该权限。这种角色权限可以对该角色进行详细的权限描述，适合更复杂的权限设计。 
下面将详细描述对两种角色模式的授权实现。 

二、授权实现 

Shiro支持三种方式实现授权过程： 

• 编码实现
• 注解实现
• JSP Taglig实现

1、基于编码的授权实现 

1.1基于传统角色授权实现 
当需要验证用户是否拥有某个角色时，可以调用Subject 实例的hasRole*方法验证。 

Java代码

1. Subject currentUser = SecurityUtils.getSubject();   
2. if (currentUser.hasRole("administrator")) {   
3.     //show the admin button   
4. } else {   
5.     //don't show the button?  Grey it out?   
6. }  

相关验证方法如下： 

Subject方法	描述
hasRole(String roleName)	当用户拥有指定角色时，返回true
hasRoles(List<String> roleNames)	按照列表顺序返回相应的一个boolean值数组
hasAllRoles(Collection<String> roleNames)	如果用户拥有所有指定角色时，返回true

断言支持 
Shiro还支持以断言的方式进行授权验证。断言成功，不返回任何值，程序继续执行；断言失败时，将抛出异常信息。使用断言，可以使我们的代码更加简洁。 

Java代码

1. Subject currentUser = SecurityUtils.getSubject();   
2. //guarantee that the current user is a bank teller and   
3. //therefore allowed to open the account:   
4. currentUser.checkRole("bankTeller");   
5. openBankAccount();  

断言的相关方法： 

Subject方法	描述
checkRole(String roleName)	断言用户是否拥有指定角色
checkRoles(Collection<String> roleNames)	断言用户是否拥有所有指定角色
checkRoles(String... roleNames)	对上一方法的方法重载

1.2 基于权限角色授权实现 
相比传统角色模式，基于权限的角色模式耦合性要更低些，它不会因角色的改变而对源代码进行修改，因此，基于权限的角色模式是更好的访问控制方式。 
它的代码实现有以下几种实现方式： 
1、基于权限对象的实现 
创建org.apache.shiro.authz.Permission的实例，将该实例对象作为参数传递给Subject.isPermitted（）进行验证。 

Java代码

1. Permission printPermission = new PrinterPermission("laserjet4400n", "print");   
2. Subject currentUser = SecurityUtils.getSubject();   
3. if (currentUser.isPermitted(printPermission)) {   
4.     //show the Print button   
5. } else {   
6.     //don't show the button?  Grey it out?   
7. }   
8. Permission printPermission = new PrinterPermission("laserjet4400n", "print");   
9. Subject currentUser = SecurityUtils.getSubject();   
10. if (currentUser.isPermitted(printPermission)) {   
11.     //show the Print button   
12. } else {   
13.     //don't show the button?  Grey it out?   
14. }  

相关方法如下： 

Subject方法	描述
isPermitted(Permission p)	Subject拥有制定权限时，返回treu
isPermitted(List<Permission> perms)	返回对应权限的boolean数组
isPermittedAll(Collection<Permission> perms)	Subject拥有所有制定权限时，返回true

2、 基于字符串的实现 
相比笨重的基于对象的实现方式，基于字符串的实现便显得更加简洁。 

Java代码

1. Subject currentUser = SecurityUtils.getSubject();   
2. if (currentUser.isPermitted("printer:print:laserjet4400n")) {   
3.     //show the Print button   
4. } else {   
5.     //don't show the button?  Grey it out?   
6. }  

使用冒号分隔的权限表达式是org.apache.shiro.authz.permission.WildcardPermission 默认支持的实现方式。 
这里分别代表了 资源类型：操作：资源ID 

类似基于对象的实现相关方法，基于字符串的实现相关方法： 
isPermitted(String perm)、isPermitted(String... perms)、isPermittedAll(String... perms) 

基于权限对象的断言实现 

Java代码

1. Subject currentUser = SecurityUtils.getSubject();   
2. //guarantee that the current user is permitted   
3. //to open a bank account:   
4. Permission p = new AccountPermission("open");   
5. currentUser.checkPermission(p);   
6. openBankAccount();  

基于字符串的断言实现 

Java代码

1. Subject currentUser = SecurityUtils.getSubject();   
2. //guarantee that the current user is permitted   
3. //to open a bank account:   
4. currentUser.checkPermission("account:open");   
5. openBankAccount();  

断言实现的相关方法 

Subject方法	说明
checkPermission(Permission p)	断言用户是否拥有制定权限
checkPermission(String perm)	断言用户是否拥有制定权限
checkPermissions(Collection<Permission> perms)	断言用户是否拥有所有指定权限
checkPermissions(String... perms)	断言用户是否拥有所有指定权限

2、基于注解的授权实现 
Shiro注解支持AspectJ、Spring、Google-Guice等，可根据应用进行不同的配置。 

相关的注解： 
@ RequiresAuthentication 
可以用户类/属性/方法，用于表明当前用户需是经过认证的用户。 

Java代码

1. @RequiresAuthentication  
2. public void updateAccount(Account userAccount) {   
3.     //this method will only be invoked by a    
4.     //Subject that is guaranteed authenticated   
5.     ...   
6. }  

@ RequiresGuest 
表明该用户需为”guest”用户 

@ RequiresPermissions 
当前用户需拥有制定权限 

Java代码

1. @RequiresPermissions("account:create")   
2. public void createAccount(Account account) {   
3.     //this method will only be invoked by a Subject   
4.     //that is permitted to create an account   
5.     ...   
6. }  

@RequiresRoles 
当前用户需拥有制定角色 

@ RequiresUser 
当前用户需为已认证用户或已记住用户 

参考：http://www.360doc.com/content/12/0104/13/834950_177177202.shtml

来源：oschina

链接：https://my.oschina.net/u/4057956/blog/3112471