Apache Shiro入门指南：从概念到RBAC与实战程序解析

一、Apache Shiro核心概念解析

Apache Shiro是一个功能强大且易用的Java安全框架，提供身份验证、授权、加密和会话管理等功能。其核心架构由三大组件构成：

1. Subject（主体）
   代表当前用户操作，可以是人类用户或系统服务。通过SecurityUtils.getSubject()获取当前Subject实例，例如：

   Subject currentUser = SecurityUtils.getSubject();
   if (!currentUser.isAuthenticated()) {
       // 触发认证流程
   }

   支持通过login()、logout()方法管理认证状态，并可通过hasRole()、isPermitted()进行权限校验。

2. SecurityManager（安全管理器）
   作为Shiro的核心引擎，负责协调所有安全操作。通常通过DefaultSecurityManager实现，配置示例：

   DefaultSecurityManager securityManager = new DefaultWebSecurityManager();
   securityManager.setRealm(myRealm); // 配置自定义Realm
   SecurityUtils.setSecurityManager(securityManager);

   在Web环境中需使用DefaultWebSecurityManager以支持Servlet容器集成。

3. Realm（数据源）
   作为Shiro与安全数据的桥梁，支持JDBC、LDAP、JWT等多种数据源。自定义Realm需实现AuthenticatingRealm（仅认证）或AuthorizingRealm（认证+授权）：

   public class MyCustomRealm extends AuthorizingRealm {
       @Override
       protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) {
           // 实现认证逻辑
       }
       @Override
       protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
           // 实现授权逻辑
       }
   }

二、RBAC模型在Shiro中的实现机制

基于角色的访问控制（RBAC）是Shiro的核心授权模式，其实现包含三个关键层级：

1. 用户-角色关联
   通过SimpleRoleInfo或数据库表结构建立用户与角色的多对多关系。典型表设计：

   CREATE TABLE user_roles (
       user_id INT,
       role_id INT,
       PRIMARY KEY (user_id, role_id)
   );

2. 角色-权限映射
   权限采用”资源:操作”格式（如user:delete），通过SimpleAuthorizationInfo管理：

   SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
   info.addRole("admin"); // 添加角色
   info.addStringPermission("user:create"); // 添加细粒度权限

3. 授权决策流程
   当调用subject.isPermitted("user:delete")时，Shiro会依次检查：

   • 当前Subject是否拥有指定权限
   • 若无直接权限，则检查是否通过角色间接拥有
   • 最终返回布尔结果

优化建议：

• 使用注解式授权简化代码：

  @RequiresRoles("admin")
  public void adminOnlyMethod() { ... }
  @RequiresPermissions("user:create")
  public void createUser() { ... }

• 在大型系统中建议采用缓存机制（如Ehcache）存储权限数据，避免频繁查询数据库。

三、Shiro入门程序开发实战

以下是一个完整的Spring Boot集成Shiro示例：

1. 环境准备

<!-- pom.xml 依赖 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-web-starter</artifactId>
    <version>1.11.0</version>
</dependency>

2. 核心配置类

@Configuration
public class ShiroConfig {
    @Bean
    public MyCustomRealm myCustomRealm() {
        return new MyCustomRealm();
    }
    @Bean
    public SecurityManager securityManager(MyCustomRealm realm) {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(realm);
        return manager;
    }
    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean filter = new ShiroFilterFactoryBean();
        filter.setSecurityManager(securityManager);
        filter.setLoginUrl("/login");
        filter.setUnauthorizedUrl("/unauthorized");
        Map<String, String> filterChain = new LinkedHashMap<>();
        filterChain.put("/static/**", "anon"); // 静态资源放行
        filterChain.put("/login", "anon");
        filterChain.put("/**", "authc"); // 其他路径需认证
        filter.setFilterChainDefinitionMap(filterChain);
        return filter;
    }
}

3. 自定义Realm实现

public class MyCustomRealm extends AuthorizingRealm {
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) {
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        // 模拟数据库查询
        if ("admin".equals(upToken.getUsername())) {
            return new SimpleAuthenticationInfo(
                upToken.getUsername(),
                "admin123",
                getName()
            );
        }
        return null; // 用户不存在
    }
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = (String) principals.getPrimaryPrincipal();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        if ("admin".equals(username)) {
            info.addRole("admin");
            info.addStringPermission("user:*"); // 管理员拥有所有用户操作权限
        }
        return info;
    }
}

4. 控制器实现

@Controller
public class LoginController {
    @GetMapping("/login")
    public String login() {
        return "login";
    }
    @PostMapping("/login")
    public String doLogin(
            @RequestParam String username,
            @RequestParam String password,
            Model model) {
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(new UsernamePasswordToken(username, password));
            return "redirect:/home";
        } catch (AuthenticationException e) {
            model.addAttribute("error", "认证失败");
            return "login";
        }
    }
    @GetMapping("/home")
    @RequiresRoles("admin")
    public String home() {
        return "home";
    }
}

四、最佳实践与常见问题

1. 密码安全处理
   使用HashedCredentialsMatcher进行密码加密：

   @Bean
   public HashedCredentialsMatcher credentialsMatcher() {
       HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
       matcher.setHashAlgorithmName("SHA-256");
       matcher.setHashIterations(1024);
       return matcher;
   }
   // 在Realm中设置
   public MyCustomRealm() {
       setCredentialsMatcher(credentialsMatcher());
   }

2. 会话管理优化
   在集群环境中需配置共享会话存储：

   @Bean
   public SessionDAO sessionDAO() {
       return new EnterpriseCacheSessionDAO(); // 使用缓存实现
   }

3. 常见问题排查

   • 401未授权错误：检查shiroFilter配置是否正确放行静态资源
   • 权限校验失效：确认AuthorizationInfo中添加的权限格式与注解一致
   • 循环重定向：检查loginUrl配置是否形成闭环

五、进阶方向建议

1. 集成JWT实现无状态认证
2. 使用Shiro的CacheManager优化性能
3. 结合Spring Security的OAuth2模块实现多因素认证
4. 在微服务架构中通过API网关统一处理权限校验

通过本文的系统学习，开发者已具备使用Shiro构建基础安全框架的能力。建议从简单认证开始实践，逐步掌握RBAC授权、会话管理等高级特性，最终构建出符合企业级安全标准的Java应用。