IT评测·应用市场-qidao123.com

标题: Shiro框架：Shiro SecurityManager安全管理器解析 [打印本页]

---

作者: 用多少眼泪才能让你相信    时间: 2024-8-25 01:54
标题: Shiro框架：Shiro SecurityManager安全管理器解析
目次
1. SecurityManager先容
1.1 Authenticator
1.2 Authorizer
1.3 SessionManager
2. DefaultWebSecurityManager解析
2.1 Destroyable
2.2 CacheManagerAware
2.3 EventBusAware
2.4 CachingSecurityManager（聚合缓存管理和事件监听管理功能）
2.5 RealmSecurityManager（聚合Realm管理功能）
2.6 AuthenticatingSecurityManager（聚合登录认证功能）
2.7 AuthorizingSecurityManager（聚合访问控制功能）
2.8 SessionsSecurityManager（聚合Session管理功能）
2.9 DefaultSecurityManager
2.9.1 创建用户（Subject）功能
2.9.2 存储用户（Subject）功能
2.9.3 用户RememberMe管理功能
2.10 DefaultWebSecurityManager

---

Shiro作为一款比较流行的登录认证、访问控制安全框架，被广泛应用在程序员社区；Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的，在前述文章全面解析Shiro框架原理的底子之上，详见：Shiro框架：ShiroFilterFactoryBean过滤器源码解析-CSDN博客、Shiro框架：Shiro内置过滤器源码解析-CSDN博客，本篇文章继承深入解析Shiro SecurityManager安全管理器的结构和功能，为后续各处理流程的解析做好铺垫。
   假如想要对用户登录认证、用户访问控制鉴权流程有更深条理的理解，请移步：
  Shiro框架：Shiro用户登录认证流程源码解析
  Shiro框架：Shiro用户访问控制鉴权流程-内置过滤器方式源码解析
  Shiro框架：Shiro用户访问控制鉴权流程-Aop注解方式源码解析
  1. SecurityManager先容

SecurityManager接口类图如下：

可以看到SecurityManager实际上整合了3部门功能：
   

• Authenticator：登录认证器
  
• Authorizer：访问控制器
  
• SessionManager：Session管理器
  

  同时SecurityManager也定义了登录、退出以及创建用户的接口功能，如下：

1. public interface SecurityManager extends Authenticator, Authorizer, SessionManager {
2.     /**
3.      * Logs in the specified Subject using the given {@code authenticationToken}, returning an updated Subject
4.      * instance reflecting the authenticated state if successful or throwing {@code AuthenticationException} if it is
5.      * not.
6.      */
7.     Subject login(Subject subject, AuthenticationToken authenticationToken) throws AuthenticationException;
9.     /**
10.      * Logs out the specified Subject from the system.
11.      */
12.     void logout(Subject subject);
14.     /**
15.      * Creates a {@code Subject} instance reflecting the specified contextual data.
16.      */
17.     Subject createSubject(SubjectContext context);
19. }

复制代码

1.1 Authenticator

登录认证器，定义了用户登录认证方法，交由子类详细实现，如下：

1. public interface Authenticator {
3.     /**
4.      * Authenticates a user based on the submitted {@code AuthenticationToken}.
5.      */
6.     public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)
7.             throws AuthenticationException;
8. }

复制代码

1.2 Authorizer

用户鉴权器，引入了鉴权方法对登录用户执行鉴权操作，交由子类详细实现；
Authorizer定义如下：

1. public interface Authorizer {
3.     /**
4.      * Returns <tt>true</tt> if the corresponding subject/user is permitted to perform an action or access a resource
5.      */
6.     boolean isPermitted(PrincipalCollection principals, String permission);
8.     /**
9.      * Ensures the corresponding Subject/user implies the specified permission String.
10.      */
11.     void checkPermission(PrincipalCollection subjectPrincipal, String permission) throws AuthorizationException;
13.     /**
14.      * Returns <tt>true</tt> if the corresponding Subject/user has the specified role, <tt>false</tt> otherwise.
15.      */
16.     boolean hasRole(PrincipalCollection subjectPrincipal, String roleIdentifier);
18.     /**
19.      * Asserts the corresponding Subject/user has the specified role by returning quietly if they do or throwing an
20.      * {@link AuthorizationException} if they do not.
21.      */
22.     void checkRole(PrincipalCollection subjectPrincipal, String roleIdentifier) throws AuthorizationException;
24.     //其它鉴权方法
25. }

复制代码

1.3 SessionManager

Session管理器，提供了创建Session以及获取Session操作方法：

1. public interface SessionManager {
3.     /**
4.      * Starts a new session based on the specified contextual initialization data, which can be used by the underlying
5.      * implementation to determine how exactly to create the internal Session instance.
6.      * <p/>
7.      * This method is mainly used in framework development, as the implementation will often relay the argument
8.      * to an underlying {@link SessionFactory} which could use the context to construct the internal Session
9.      * instance in a specific manner.  This allows pluggable {@link org.apache.shiro.session.Session Session} creation
10.      * logic by simply injecting a {@code SessionFactory} into the {@code SessionManager} instance.
11.      */
12.     Session start(SessionContext context);
14.     /**
15.      * Retrieves the session corresponding to the specified contextual data (such as a session ID if applicable), or
16.      * {@code null} if no Session could be found.  If a session is found but invalid (stopped or expired), a
17.      * {@link SessionException} will be thrown.
18.      */
19.     Session getSession(SessionKey key) throws SessionException;
20. }

复制代码

2. DefaultWebSecurityManager解析

在Web服务中，Shiro中应用的SecurityManager详细为子类DefaultWebSecurityManager，为了对其有足够的理解，下面对DefaultWebSecurityManager类继承条理中相关类进行解析说明，其类继承结构如下：

2.1 Destroyable

Shiro框架自定义了Destroyable接口，引入了destroy方法，支持销毁操作：

1. public interface Destroyable {
2.     void destroy() throws Exception;
3. }

复制代码

2.2 CacheManagerAware

子类实现支持注入缓存管理器，进而获取构造缓存实例，执行缓存操作；

1. public interface CacheManagerAware {
3.     /**
4.      * Sets the available CacheManager instance on this component.
5.      *
6.      * @param cacheManager the CacheManager instance to set on this component.
7.      */
8.     void setCacheManager(CacheManager cacheManager);
9. }

复制代码

2.3 EventBusAware

子类对象支持注入EventBus对象，雷同Guava EventBus，引入事件机制，可以发布事件（publish），进而调用已注册（register）的事件监听器；

1. public interface EventBusAware {
3.     /**
4.      * Sets the available {@code EventBus} that may be used for publishing and subscribing to/from events.
5.      *
6.      * @param bus the available {@code EventBus}.
7.      */
8.     void setEventBus(EventBus bus);
9. }

复制代码

1. public interface EventBus {
3.     void publish(Object event);
5.     void register(Object subscriber);
7.     void unregister(Object subscriber);
8. }

复制代码

2.4 CachingSecurityManager（聚合缓存管理和事件监听管理功能）

同时实现了Destroyable, CacheManagerAware, EventBusAware，支持注入成员变量cacheManager和eventBus，并定义了销毁操作，主要实现如下：

1. public abstract class CachingSecurityManager implements SecurityManager, Destroyable, CacheManagerAware, EventBusAware {
3.     /**
4.      * The CacheManager to use to perform caching operations to enhance performance.  Can be null.
5.      */
6.     private CacheManager cacheManager;
8.     /**
9.      * The EventBus to use to use to publish and receive events of interest during Shiro's lifecycle.
10.      * @since 1.3
11.      */
12.     private EventBus eventBus;
14.     /**
15.      * Default no-arg constructor that will automatically attempt to initialize a default cacheManager
16.      */
17.     public CachingSecurityManager() {
18.         //use a default event bus:
19.         setEventBus(new DefaultEventBus());
20.     }
22.     /**
23.      * Destroys the {@link #getCacheManager() cacheManager} via {@link LifecycleUtils#destroy LifecycleUtils.destroy}.
24.      */
25.     public void destroy() {
26.         LifecycleUtils.destroy(getCacheManager());
27.         this.cacheManager = null;
28.         LifecycleUtils.destroy(getEventBus());
29.         this.eventBus = new DefaultEventBus();
30.     }
31. }

复制代码

2.5 RealmSecurityManager（聚合Realm管理功能）

RealmSecurityManager引入成员变量Realm，支持Realm的管理，包罗：注册、销毁等操作；
   Realm：Shiro引入的安全组件，支持获取App本地的用户安全相关数据，包罗：用户信息、脚色、权限等，用于执行用户认证和用户鉴权；
  官方释义：
  A Realm is a security component that can access application-specific security entities
such as users, roles, and permissions to determine authentication and authorization operations.
  RealmSecurityManager主要实现如下： 

1. public abstract class RealmSecurityManager extends CachingSecurityManager {
3.     /**
4.      * Internal collection of <code>Realm</code>s used for all authentication and authorization operations.
5.      */
6.     private Collection<Realm> realms;
8.     public void setRealms(Collection<Realm> realms) {
9.         if (realms == null) {
10.             throw new IllegalArgumentException("Realms collection argument cannot be null.");
11.         }
12.         if (realms.isEmpty()) {
13.             throw new IllegalArgumentException("Realms collection argument cannot be empty.");
14.         }
15.         this.realms = realms;
16.         afterRealmsSet();
17.     }
19.     protected void afterRealmsSet() {
20.         applyCacheManagerToRealms();
21.         applyEventBusToRealms();
22.     }
24.     public void destroy() {
25.         LifecycleUtils.destroy(getRealms());
26.         this.realms = null;
27.         super.destroy();
28.     }
29. }

复制代码

2.6 AuthenticatingSecurityManager（聚合登录认证功能）

AuthenticatingSecurityManager注入成员变量authenticator（默认初始化的实例是ModularRealmAuthenticator）并进行初始化设置（注入认证组件Realm），同时实现了接口Authenticator定义的authenticate方法，内部委托给成员变量authenticator，如下：

1.     private Authenticator authenticator;
3.     /**
4.      * Default no-arg constructor that initializes its internal
5.      * <code>authenticator</code> instance to a
6.      * {@link org.apache.shiro.authc.pam.ModularRealmAuthenticator ModularRealmAuthenticator}.
7.      */
8.     public AuthenticatingSecurityManager() {
9.         super();
10.         this.authenticator = new ModularRealmAuthenticator();
11.     }
13.     /**
14.      * Passes on the {@link #getRealms() realms} to the internal delegate <code>Authenticator</code> instance so
15.      * that it may use them during authentication attempts.
16.      */
17.     protected void afterRealmsSet() {
18.         super.afterRealmsSet();
19.         if (this.authenticator instanceof ModularRealmAuthenticator) {
20.             ((ModularRealmAuthenticator) this.authenticator).setRealms(getRealms());
21.         }
22.     }
24.     public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
25.         return this.authenticator.authenticate(token);
26.     }

复制代码

2.7 AuthorizingSecurityManager（聚合访问控制功能）

和AuthenticatingSecurityManager雷同，这里注入了成员变量authorizer来实现访问控制的鉴权功能，authorizer的默认实现是ModularRealmAuthorizer，同样也对authorizer进行了初始化设置，注入Reaml，并详细实现了接口Authorizer引入的访问控制方法，如下：

1.     /**
2.      * The wrapped instance to which all of this <tt>SecurityManager</tt> authorization calls are delegated.
3.      */
4.     private Authorizer authorizer;
6.     /**
7.      * Default no-arg constructor that initializes an internal default
8.      * {@link org.apache.shiro.authz.ModularRealmAuthorizer ModularRealmAuthorizer}.
9.      */
10.     public AuthorizingSecurityManager() {
11.         super();
12.         this.authorizer = new ModularRealmAuthorizer();
13.     }
15.     protected void afterRealmsSet() {
16.         super.afterRealmsSet();
17.         if (this.authorizer instanceof ModularRealmAuthorizer) {
18.             ((ModularRealmAuthorizer) this.authorizer).setRealms(getRealms());
19.         }
20.     }
22.     public boolean isPermitted(PrincipalCollection principals, String permissionString) {
23.         return this.authorizer.isPermitted(principals, permissionString);
24.     }

复制代码

2.8 SessionsSecurityManager（聚合Session管理功能）

内部注入了成员变量sessionManagerSession管理器，实现了session创建、session获取的方法：

1.     /**
2.      * The internal delegate <code>SessionManager</code> used by this security manager that manages all the
3.      * application's {@link Session Session}s.
4.      */
5.     private SessionManager sessionManager;
7.     /**
8.      * Default no-arg constructor, internally creates a suitable default {@link SessionManager SessionManager} delegate
9.      * instance.
10.      */
11.     public SessionsSecurityManager() {
12.         super();
13.         this.sessionManager = new DefaultSessionManager();
14.         applyCacheManagerToSessionManager();
15.     }
16.    
17.     public Session start(SessionContext context) throws AuthorizationException {
18.         return this.sessionManager.start(context);
19.     }
21.     public Session getSession(SessionKey key) throws SessionException {
22.         return this.sessionManager.getSession(key);
23.     }

复制代码

2.9 DefaultSecurityManager

DefaultSecurityManager主要聚合了3部门功能，这点可以从其包含的成员变量看出，下面进行分别说明：

1.     protected RememberMeManager rememberMeManager;
2.     protected SubjectDAO subjectDAO;
3.     protected SubjectFactory subjectFactory;
5.     /**
6.      * Default no-arg constructor.
7.      */
8.     public DefaultSecurityManager() {
9.         super();
10.         this.subjectFactory = new DefaultSubjectFactory();
11.         this.subjectDAO = new DefaultSubjectDAO();
12.     }

复制代码

2.9.1 创建用户（Subject）功能

Subject创建过程是通过工厂方法模式实现了，其工厂类为SubjectFactory，Web服务中详细的工厂类为DefaultWebSubjectFactory，工厂类的继承结构如下：

DefaultSecurityManager的方法doCreateSubject委托给了SubjectFactory来完成：

1.     protected Subject doCreateSubject(SubjectContext context) {
2.         return getSubjectFactory().createSubject(context);
3.     }

复制代码

详细创建过程这里不做睁开，后续在用户登录流程中再进行深入分析；
2.9.2 存储用户（Subject）功能

Subject的CRUD操作是通过SubjectDAO完成的，详细实现类为DefaultSubjectDAO，在DefaultSubjectDAO中，Subject的内部状态是通过存放到Session中完成的；
DefaultSecurityManager的save和delete方法实现内部委托给了成员变量subjectDAO来完成；

1.     /**
2.      * Saves the subject's state to a persistent location for future reference if necessary.
3.      * <p/>
4.      * This implementation merely delegates to the internal {@link #setSubjectDAO(SubjectDAO) subjectDAO} and calls
5.      * {@link SubjectDAO#save(org.apache.shiro.subject.Subject) subjectDAO.save(subject)}.
6.      *
7.      * @param subject the subject for which state will potentially be persisted
8.      * @see SubjectDAO#save(org.apache.shiro.subject.Subject)
9.      * @since 1.2
10.      */
11.     protected void save(Subject subject) {
12.         this.subjectDAO.save(subject);
13.     }
15.     /**
16.      * Removes (or 'unbinds') the Subject's state from the application, typically called during {@link #logout}..
17.      * <p/>
18.      * This implementation merely delegates to the internal {@link #setSubjectDAO(SubjectDAO) subjectDAO} and calls
19.      * {@link SubjectDAO#delete(org.apache.shiro.subject.Subject) delete(subject)}.
20.      *
21.      * @param subject the subject for which state will be removed
22.      * @see SubjectDAO#delete(org.apache.shiro.subject.Subject)
23.      * @since 1.2
24.      */
25.     protected void delete(Subject subject) {
26.         this.subjectDAO.delete(subject);
27.     }

复制代码

2.9.3 用户RememberMe管理功能

在用户登录成功之后，可以通过RememberMeManager记载用户登录信息，比如登录用户名称，内部是通过记载Cookie的方法实现的，详细过程后续分析用户登录认证过程时再睁开分析；
RememberMeManager通过如下的方法对用户登录成功、登录失败、退出时进行拦截，并进行相应后处理操作；

1.     protected void rememberMeSuccessfulLogin(AuthenticationToken token, AuthenticationInfo info, Subject subject) {
2.         RememberMeManager rmm = getRememberMeManager();
3.         if (rmm != null) {
4.             try {
5.                 rmm.onSuccessfulLogin(subject, token, info);
6.             } catch (Exception e) {
7.                 if (log.isWarnEnabled()) {
8.                     String msg = "Delegate RememberMeManager instance of type [" + rmm.getClass().getName() +
9.                             "] threw an exception during onSuccessfulLogin.  RememberMe services will not be " +
10.                             "performed for account [" + info + "].";
11.                     log.warn(msg, e);
12.                 }
13.             }
14.         } else {
15.             if (log.isTraceEnabled()) {
16.                 log.trace("This " + getClass().getName() + " instance does not have a " +
17.                         "[" + RememberMeManager.class.getName() + "] instance configured.  RememberMe services " +
18.                         "will not be performed for account [" + info + "].");
19.             }
20.         }
21.     }
23.     protected void rememberMeFailedLogin(AuthenticationToken token, AuthenticationException ex, Subject subject) {
24.         RememberMeManager rmm = getRememberMeManager();
25.         if (rmm != null) {
26.             try {
27.                 rmm.onFailedLogin(subject, token, ex);
28.             } catch (Exception e) {
29.                 if (log.isWarnEnabled()) {
30.                     String msg = "Delegate RememberMeManager instance of type [" + rmm.getClass().getName() +
31.                             "] threw an exception during onFailedLogin for AuthenticationToken [" +
32.                             token + "].";
33.                     log.warn(msg, e);
34.                 }
35.             }
36.         }
37.     }
39.     protected void rememberMeLogout(Subject subject) {
40.         RememberMeManager rmm = getRememberMeManager();
41.         if (rmm != null) {
42.             try {
43.                 rmm.onLogout(subject);
44.             } catch (Exception e) {
45.                 if (log.isWarnEnabled()) {
46.                     String msg = "Delegate RememberMeManager instance of type [" + rmm.getClass().getName() +
47.                             "] threw an exception during onLogout for subject with principals [" +
48.                             (subject != null ? subject.getPrincipals() : null) + "]";
49.                     log.warn(msg, e);
50.                 }
51.             }
52.         }
53.     }

复制代码

2.10 DefaultWebSecurityManager

DefaultWebSecurityManager继承自DefaultSecurityManager，同时实现了WebSecurityManager接口，标识session模式是http模式（Servlet管理sessiion），非native模式（Shiro管理session），
同时初始化了成员变量的详细实现类，包罗DefaultWebSubjectFactory、CookieRememberMeManager、ServletContainerSessionManager，如下：

1.     public DefaultWebSecurityManager() {
2.         super();
3.         ((DefaultSubjectDAO) this.subjectDAO).setSessionStorageEvaluator(new DefaultWebSessionStorageEvaluator());
4.         this.sessionMode = HTTP_SESSION_MODE;
5.         setSubjectFactory(new DefaultWebSubjectFactory());
6.         setRememberMeManager(new CookieRememberMeManager());
7.         setSessionManager(new ServletContainerSessionManager());
8.     }

复制代码

至此，SecurityManager的内容解析完毕，可以看到在不同的继承条理上为SecurityManager聚合了不同的功能，条理清楚、职责分明，通过关注点分离的方式满意了“单一职责”的设计原则，是个很好的鉴戒。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 IT评测·应用市场-qidao123.com (https://dis.qidao123.com/)

Powered by Discuz! X3.4