一：基础概念

什么是权限管理

权限管理包括用户身份认证和授权两部分，简称认证授权。对于需要访问控制的资源用户首先经过身份认证，认证通过后用户具有该资源的访问权限方可访问。

用户身份认证

就是判断一个用户是否为合法用户的处理过程。最简单的身份认证方式是系统通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户的用户名和口令一致。来判断用户身份是否正确。

授权

授权，即访问控制，控制谁能访问那些资源。主体进行身份认证后需要分配权限方可访问系统的资源，对于某些资源没有权限无法访问。

权限模型

模型一：

主体（账号、密码）
资源（资源名称，访问地址）
权限（权限名称，资源id）
角色（角色名称）
角色和权限的关系（角色id，权限id）
主体和角色关系（主体id，角色id）

模型1

模型二：

主体（账号‘密码’’）
资源（资源名称，访问地址，权限名称）----》将资源和权限合并
角色（角色名称）
角色和权限关系（角色id，权限id）
主体和角色关系（主体id，角色id）

模型2

访问控制

基于角色的访问控制：
RBAC基于角色的访问控制(Role-Based Access Control)以角色为中心进行访问控制。

基于资源的访问控制：
RBAC基于资源的访问控制(Resource-Based Access Control)以资源为中心访问控制。

权限管理解决方案

粗粒度的权限管理：
只控制到菜单、按钮、方法的为粗粒度权限管理
例如：用户具有商品管理的权限

细粒度的权限管理：
对资源实例的控制称为细粒度权限管理
例如：用户具有商品添加的权限

二：shrio

shiro架构

shiro架构

subject

subject即主体，外部应用于subject进行交互，subject记录了当前操作用户，将用户的概念理解为当前操作的主体。也就是说，subject可以是通过浏览器发送请求的用户，也可能是一个运行的程序性。
subject在shiro中是一个接口，接口中定义了很多认证授权相关的方法，外部程序通过subject进行认证授权，而subject是用过securityManager安全管理器进行认证授权的

SecurityManager

SecurityManager即安全管理器，对全部的subject进行安全管理，他是shiro的核心，负责对所有的subject进行安全管理。通过securityManager可以完成subject的认证，授权等。而实质上SecurityManager是用过Authenticator进行认证，通过Authorizer进行授权，通过SessioManager进行会话管理等。
SecurityManager是一个接口，继承了Authenticator,Authorizer,SessionManager这三个接口

Authenticator

Authenticator即认证器，对用户身份进行认证，Authenticator是一个接口，shiro提供ModularRealmAuthenticator实现类，通过ModularRealmAuthenticator基本上可以满足大多数需求，也可以自定义认证器

Authorizer

Authorizer即授权器，用户通过认证器认证通过，在访问功能时需要通过授权器判断用户是否具有此功能的操作权限

Reaml

Realm即领域，相当于Datasource数据源，SecurityManager进行安全认证需要通过Realm获取用户权限数据，比如：如果用户身份数据在数据库，那么realm就需要从数据库中获取用户身份认证信息。

SessionManager

sessionManager即会话管理，shiro框架定义了一套会话管理，它不依赖web容器的session，所以shiro可以使用在非web应用上，也可以将分布式一行用的会话集中在一点管理，此特性可以实现单点登录

SessionDAO

SessionDAO即会话dao，是对session会话操作的一套接口，比如要将session存储到数据库，可以通过jdbc讲会话存储到数据库

CacheManager

CacheManager即缓存管理，将用户权限数据存储在关村，这样可以提高性能

Cryptography

Cryptography即密码管理，shiro提供了一套加密/解密的组件，方便开发，比如提供常用的散列、加/解密等功能

三、入门程序

ini配置文件：

ini

java程序：

结果：

认证执行流程

1.创建token令牌，token中有用户提交的认证信息即账号和密码
2.执行subject.login(token)，最终由securityManager通过Authenticator进行认证
3.Authenticator的实现ModularRealmAuthenticator调用realm从ini配置文件取用户真实的账号和密码（这里使用的是IniRealm）
4.IniRealm先根据token中的账号去ini中找该账号，如果找不到则给ModularRealmAuthenticator返回null、如果找到则匹配密码，匹配密码成功则认证通过

常见的异常

UnknownAccountException
账号不存在：
org.apache.shiro.authc.UnknownAccountException: No account found for user

nIncorrectCredentialsException
密码错误
org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token

账号被禁用DisabledAccountException
帐号被锁定LockedAccountException
登录失败次数过多ExcessiveAttemptsException
凭证过期ExpiredCredentialsException

四，自定义Realm

Shiro提供的Realm

自定义Realm实现身份认证
* 不带加密算法

ini配置：

自定义Realm

测试：

结果：

*带加密算法

ini配置：

自定义Realm：

测试：

结果：

自定义Reaml实现授权

授权方式：

三种方式的授权：

* 编程式：通过if/else代码完成
Subject subject =SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
//有权限
}else{
//无权限
}

*注解式：通过在执行的Java方法上放置相应的注解完成
@RequiresRoles("admin")
public void test(){
//有权限
}

*Jsp/Gsp标签：在JSP/GSP 页面通过相应的标签完成
<shiro:hasRole name="admin">
<!--有权限-->
</shiro:hasRole>

权限字符串规则

权限字符串的规则是：“资源标识符：操作：资源实例标识符”，意思是对哪个资源的哪个实例具有什么操作，“:”是资源/操作/实例的分割符，权限字符串也可以使用*通配符。

例子：

用户创建权限：user:create，或user:create:*

用户修改实例001的权限：user:update:001

用户实例001的所有权限：user：*：001

ini配置：

自定义Realm

测试：

结果：

授权执行流程：

1、执行subject.isPermitted("user:create")
2、securityManager通过ModularRealmAuthorizer进行授权
3、ModularRealmAuthorizer调用realm获取权限信息
ModularRealmAuthorizer再通过permissionResolver解析权限字符串，校验是否匹配