Apache Shiro 核心组件

Subject（用户主体）

Subject 是 Shiro 中的核心概念之一，表示当前用户（可以是登录的用户或匿名用户）。它是与用户交互的主要接口，提供了对用户身份验证、授权和会话管理的操作支持。

Subject 表示“当前正在操作的用户”。在安全术语中，Subject 一词可以指人，也可以指第 三方进程等正在与软件交互的东西。

1、获取当前 Subject：

Subject currentUser = SecurityUtils.getSubject();

2、检查用户是否已登录：

if (currentUser.isAuthenticated()) {
    System.out.println("用户已登录");
}

3、执行登出操作：

currentUser.logout();

4、获取用户信息：

Subject 可以通过 getPrincipals() 方法获取用户的标识信息（如用户名、ID 等）。

PrincipalCollection principals = currentUser.getPrincipals();
String username = (String) principals.getPrimaryPrincipal();
System.out.println("当前用户: " + username);

SecurityManager（安全管理器）

SecurityManager 是 Shiro 的核心组件，负责协调各个子模块（如认证、授权、会话管理）。它是整个 Shiro 安全框架的入口点，所有的安全操作最终都会通过 SecurityManager 来完成。

SecurityManager 负责执行所有用户的安全操作，它是 Shiro 架构的核心，用于协调 Shiro 内部各种安全组件。对于应用程序开发者来说，一般不用太关心 SecurityManager，主要使用 Subject 的 API 来处理各种安全验证逻辑。SecurityManager 本质上是一个应用程序单例（尽管它不需要是静态单例）

1、配置 SecurityManager：

在 Spring Boot 中，可以通过定义 DefaultWebSecurityManager 来设置 SecurityManager。

 		/**
     * 注入 securityManager
     */
    @Bean
    public SecurityManager securityManager() {
      DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    	securityManager.setRealm(loginRealm());
    	securityManager.setCacheManager(cacheManager());
    	return securityManager;
    }

2、缓存管理：

SecurityManager 支持缓存机制，可以显著提升性能。例如，可以通过 EhCache 或 Redis 配置缓存。

 		/**
     * cacheManager 缓存 redis实现
     * 使用的是shiro-redis开源插件
     */
    @Bean(name = "redisCacheManager")
    public RedisCacheManager cacheManager() {
        RedisCacheManager redisCacheManager = new RedisCacheManager();
        redisCacheManager.setRedisManager(redisManager());
        return redisCacheManager;
    }

3、自定义缓存策略：

可以为不同的 Realm 配置独立的缓存策略。

 /**
     * 配置shiro redisManager
     * 使用的是shiro-redis开源插件
     */
    @Bean
    public RedisManager redisManager() {
        RedisManager redisManager = new RedisManager();
        redisManager.setHost(this.redisHost);
        redisManager.setPort(Integer.parseInt(this.redisPort));
        redisManager.setExpire(60 * 60 * 24 * LOGIN_EXPIRE_DAYS);// 配置缓存过期时间（秒）
        redisManager.setTimeout(0);
        redisManager.setPassword(this.redisUserName + ":" + this.redisPassword);
        return redisManager;
    }

Realm（领域）

Realm 是 Shiro 与数据源之间的桥梁，用于验证用户身份和获取权限信息。常见的数据源包括数据库、LDAP、文件等。开发者需要自定义 Realm 来适配自己的业务逻辑。

Realm 充当 Shiro 和应用程序安全数据之间的“桥梁”或“连接器”。也就是说，当需要与安全相关数据（如用户帐户）进行实际交互以执行身份验证（登录）和授权（访问控制）时，Shiro 会从应用程序配置的一个或多个 Realm 中查找内容。因此，Realm 本质上是一个特定于安全性的 DAO，它封装了数据源的连接细节，并根据需要使关联的数据可供 Shiro 使用，配置 Shiro 时必须指定至少一个 Realm 用于身份验证和授权。

1、自定义 Realm 示例：

public class LoginRealm extends AuthorizingRealm {

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = (String) principals.getPrimaryPrincipal();

        // 根据用户名从数据库中获取角色和权限
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addRole("admin");
        info.addStringPermission("user:create");

        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
            throws AuthenticationException {
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        String username = upToken.getUsername();

        // 模拟从数据库中获取用户信息
        if ("admin".equals(username)) {
            return new SimpleAuthenticationInfo(username, "123456", getName());
        } else {
            throw new UnknownAccountException("未知账户");
        }
    }
}

2、动态加载权限：

在实际项目中，权限可能需要动态加载。可以通过自定义 AuthorizationInfo 来实现。

@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    String username = (String) principals.getPrimaryPrincipal();

    // 动态查询数据库获取权限
    List<String> roles = roleService.getRolesByUsername(username);
    List<String> permissions = permissionService.getPermissionsByUsername(username);

    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    info.addRoles(roles);
    info.addStringPermissions(permissions);

    return info;
}

SessionManager（会话管理器）

Shiro 提供了强大的会话管理功能，允许开发者在任何环境中（不仅仅是 Web 应用）管理用户的会话状态。通过 subject.getSession() 可以获取用户的会话对象，并对其进行操作。

1、会话超时设置：

Session session = currentUser.getSession();
session.setTimeout(1800000); // 设置会话超时时间为 30 分钟

2、分布式会话管理

在集群环境中，可以通过 Redis 实现分布式会话管理。

@Bean
public SessionDAO sessionDAO() {
    return new RedisSessionDAO();
}

@Bean
public DefaultSessionManager sessionManager() {
    DefaultSessionManager sessionManager = new DefaultSessionManager();
    sessionManager.setSessionDAO(sessionDAO());
    return sessionManager;
}

3、会话监听器：

可以通过实现 SessionListener 接口来监听会话的创建、更新和销毁事件。

public class MySessionListener implements SessionListener {
    @Override
    public void onStart(Session session) {
        System.out.println("会话开始");
    }

    @Override
    public void onStop(Session session) {
        System.out.println("会话结束");
    }

    @Override
    public void onExpiration(Session session) {
        System.out.println("会话过期");
    }
}