shiro学习要点

📅 发布时间:2026/7/8 12:20:45 👁️ 浏览次数:
shiro学习要点
一、核心四大功能核心核心认证Authentication验证用户身份如账号密码登录确认 你是谁授权Authorization验证用户权限如判断是否能访问某接口 / 操作某资源确认 你能做什么基于角色 / 权限粒度控制会话管理Session Management为任意应用非仅 Web提供统一会话管理支持会话过期、持久化等加密Cryptography内置对称 / 非对称加密算法如 MD5、SHA、AES简化密码加密、数据脱敏等操作无需手动实现加密逻辑。二、核心组件核心架构记住执行流程核心组件遵循Subject→SecurityManager→Realm三层核心流程其余组件为辅助Subject当前操作用户可为人 / 程序所有安全操作都通过 Subject 入口如subject.login()/subject.hasRole()SecurityManagerShiro 核心管理器统筹所有安全操作Subject 所有请求最终都委托给它处理是框架的 大脑RealmShiro 数据来源核心负责获取用户信息认证、获取用户权限 / 角色授权需自定义实现对接数据库 / 缓存 / 配置文件是 Shiro 与业务系统的桥梁辅助组件Authenticator认证器由 SecurityManager 管理负责执行具体认证逻辑Authorizer授权器由 SecurityManager 管理负责执行具体授权逻辑SessionManager会话管理器统一管理 Subject 会话CacheManager缓存管理器缓存用户信息 / 权限 / 角色提升认证授权效率必配减少数据库查询。三、核心执行流程一句话记住用户操作 Subject → Subject 委托给 SecurityManager → SecurityManager 调用 Realm 获取数据 → 完成认证 / 授权 / 会话等操作四、核心使用步骤实战落地通用流程引入依赖Maven/Gradle 引入 shiro-core核心、shiro-webWeb 项目、shiro-springSpring/SpringBoot 集成自定义 Realm继承AuthorizingRealm重写 2 个核心方法doGetAuthenticationInfo认证方法查询用户账号密码返回给 Shiro 做密码校验doGetAuthorizationInfo授权方法查询用户拥有的角色如 admin和权限如 user:add返回给 Shiro 做权限判断配置 Shiro 核心 BeanSpringBoot 为例配置SecurityManager注入自定义 Realm、CacheManager配置ShiroFilterFactoryBean设置过滤规则如哪些接口匿名访问、哪些需要认证 / 角色 / 权限业务代码调用认证Subject subject SecurityUtils.getSubject(); subject.login(new UsernamePasswordToken(账号, 密码));授权subject.hasRole(admin)判断角色、subject.isPermitted(user:add)判断权限退出subject.logout()。五、Web 项目核心过滤规则常用必记通过ShiroFilterFactoryBean配置 URL 过滤规则核心过滤器anon匿名访问无需登录如登录页、静态资源authc必须认证登录才能访问roles[admin]必须拥有指定角色才能访问perms[user:add]必须拥有指定权限才能访问logout退出登录配置后访问该 URL 自动执行 logout。六、核心注解SpringBoot 项目常用简化授权需开启 Shiro 注解支持在 Controller / 方法上标注实现权限控制RequiresAuthentication必须认证才能访问RequiresRoles(admin)必须拥有指定角色RequiresPermissions(user:add)必须拥有指定权限RequiresGuest仅匿名用户可访问。七、生产关键配置避坑 优化密码加密使用HashedCredentialsMatcher配置加密算法如 MD5 盐值salt 散列次数避免明文存储密码缓存集成整合 Redis/Ehcache 作为 CacheManager缓存用户权限 / 角色避免每次请求都查数据库会话配置设置会话过期时间、会话持久化分布式项目避免单点会话丢失异常处理捕获 Shiro 认证 / 授权异常如UnauthorizedException未授权统一返回前端提示分布式支持整合 Redis 实现分布式会话 分布式缓存解决多服务节点权限共享问题。八、核心面试 / 实战考点自定义 Realm 的两个核心方法实现认证 授权密码加密的实现盐值 散列避免彩虹表破解Shiro 与 SpringBoot 的整合配置核心 BeanURL 过滤规则与注解的结合使用分布式项目中 Shiro 的会话和缓存共享方案Redis认证 / 授权异常的统一处理。