RBAC

基于角色的權(quán)限訪問控制（Role-Based Access Control）。

RBAC支持三個(gè)著名的安全原則：最小權(quán)限原則，責(zé)任分離原則和數(shù)據(jù)抽象原則。

RBAC認(rèn)為權(quán)限授權(quán)實(shí)際上是Who、What、How的問題。在RBAC模型中，who、what、how構(gòu)成了訪問權(quán)限三元組,也就是“Who對What(Which)進(jìn)行How的操作”。

Who：權(quán)限的擁用者或主體（如Principal、User、Group、Role、Actor等等）。

What：權(quán)限針對的對象或資源（Resource、Class）。

How：具體的權(quán)限（Privilege,正向授權(quán)與負(fù)向授權(quán)）。

Shiro

Apache Shiro是一個(gè)強(qiáng)大且易用的Java安全框架,執(zhí)行身份驗(yàn)證、授權(quán)、密碼學(xué)和會(huì)話管理。

其基本功能點(diǎn)如下圖所示：

Authentication：身份認(rèn)證 / 登錄，驗(yàn)證用戶是不是擁有相應(yīng)的身份；

Authorization：授權(quán)，即權(quán)限驗(yàn)證，驗(yàn)證某個(gè)已認(rèn)證的用戶是否擁有某個(gè)權(quán)限；即判斷用戶是否能做事情，常見的如：驗(yàn)證某個(gè)用戶是否擁有某個(gè)角色。或者細(xì)粒度的驗(yàn)證某個(gè)用戶對某個(gè)資源是否具有某個(gè)權(quán)限；

Session Manager：會(huì)話管理，即用戶登錄后就是一次會(huì)話，在沒有退出之前，它的所有信息都在會(huì)話中；會(huì)話可以是普通 JavaSE 環(huán)境的，也可以是如 Web 環(huán)境的；

Cryptography：加密，保護(hù)數(shù)據(jù)的安全性，如密碼加密存儲(chǔ)到數(shù)據(jù)庫，而不是明文存儲(chǔ)；

Web Support：Web 支持，可以非常容易的集成到 Web 環(huán)境；

Caching：緩存，比如用戶登錄后，其用戶信息、擁有的角色 / 權(quán)限不必每次去查，這樣可以提高效率；

Concurrency：shiro 支持多線程應(yīng)用的并發(fā)驗(yàn)證，即如在一個(gè)線程中開啟另一個(gè)線程，能把權(quán)限自動(dòng)傳播過去；

Testing：提供測試支持；

Run As：允許一個(gè)用戶假裝為另一個(gè)用戶（如果他們允許）的身份進(jìn)行訪問；

Remember Me：記住我，這個(gè)是非常常見的功能，即一次登錄后，下次再來的話不用登錄了。

Shiro 不會(huì)去維護(hù)用戶、維護(hù)權(quán)限；這些需要我們自己去設(shè)計(jì) / 提供；然后通過相應(yīng)的接口注入給 Shiro 。

從應(yīng)用程序角度觀察如何使用Shiro完成工作

Subject：主體，代表了當(dāng)前 “用戶”，這個(gè)用戶不一定是一個(gè)具體的人，與當(dāng)前應(yīng)用交互的任何東西都是 Subject，如網(wǎng)絡(luò)爬蟲，機(jī)器人等；即一個(gè)抽象概念；所有 Subject 都綁定到 SecurityManager，與 Subject 的所有交互都會(huì)委托給 SecurityManager；可以把 Subject 認(rèn)為是一個(gè)門面；SecurityManager 才是實(shí)際的執(zhí)行者；

SecurityManager：安全管理器；即所有與安全有關(guān)的操作都會(huì)與 SecurityManager 交互；且它管理著所有 Subject；可以看出它是 Shiro 的核心，它負(fù)責(zé)與后邊介紹的其他組件進(jìn)行交互，如果學(xué)習(xí)過 SpringMVC，你可以把它看成 DispatcherServlet 前端控制器；

Realm：域，Shiro 從從 Realm 獲取安全數(shù)據(jù)（如用戶、角色、權(quán)限），就是說 SecurityManager 要驗(yàn)證用戶身份，那么它需要從 Realm 獲取相應(yīng)的用戶進(jìn)行比較以確定用戶身份是否合法；也需要從 Realm 得到用戶相應(yīng)的角色 / 權(quán)限進(jìn)行驗(yàn)證用戶是否能進(jìn)行操作；可以把 Realm 看成 DataSource，即安全數(shù)據(jù)源。

從 Shiro 內(nèi)部來看Shiro 的架構(gòu)

Subject：主體，可以看到主體可以是任何可以與應(yīng)用交互的 “用戶”；

SecurityManager：相當(dāng)于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher；是 Shiro 的心臟；所有具體的交互都通過 SecurityManager 進(jìn)行控制；它管理著所有 Subject、且負(fù)責(zé)進(jìn)行認(rèn)證和授權(quán)、及會(huì)話、緩存的管理。

Authenticator：認(rèn)證器，負(fù)責(zé)主體認(rèn)證的，這是一個(gè)擴(kuò)展點(diǎn)，如果用戶覺得 Shiro 默認(rèn)的不好，可以自定義實(shí)現(xiàn)；其需要認(rèn)證策略（Authentication Strategy），即什么情況下算用戶認(rèn)證通過了；

Authrizer：授權(quán)器，或者訪問控制器，用來決定主體是否有權(quán)限進(jìn)行相應(yīng)的操作；即控制著用戶能訪問應(yīng)用中的哪些功能；

Realm：可以有 1 個(gè)或多個(gè) Realm，可以認(rèn)為是安全實(shí)體數(shù)據(jù)源，即用于獲取安全實(shí)體的；可以是 JDBC 實(shí)現(xiàn)，也可以是 LDAP 實(shí)現(xiàn)，或者內(nèi)存實(shí)現(xiàn)等等；由用戶提供；注意：Shiro 不知道你的用戶 / 權(quán)限存儲(chǔ)在哪及以何種格式存儲(chǔ)；所以我們一般在應(yīng)用中都需要實(shí)現(xiàn)自己的 Realm；

SessionManager：如果寫過 Servlet 就應(yīng)該知道 Session 的概念，Session 呢需要有人去管理它的生命周期，這個(gè)組件就是 SessionManager；而 Shiro 并不僅僅可以用在 Web 環(huán)境，也可以用在如普通的 JavaSE 環(huán)境、EJB 等環(huán)境；所有呢，Shiro 就抽象了一個(gè)自己的 Session 來管理主體與應(yīng)用之間交互的數(shù)據(jù)；這樣的話，比如我們在 Web 環(huán)境用，剛開始是一臺(tái) Web 服務(wù)器；接著又上了臺(tái) EJB 服務(wù)器；這時(shí)想把兩臺(tái)服務(wù)器的會(huì)話數(shù)據(jù)放到一個(gè)地方，這個(gè)時(shí)候就可以實(shí)現(xiàn)自己的分布式會(huì)話（如把數(shù)據(jù)放到 Memcached 服務(wù)器）；

SessionDAO：DAO 大家都用過，數(shù)據(jù)訪問對象，用于會(huì)話的 CRUD，比如我們想把 Session 保存到數(shù)據(jù)庫，那么可以實(shí)現(xiàn)自己的 SessionDAO，通過如 JDBC 寫到數(shù)據(jù)庫；比如想把 Session 放到 Memcached 中，可以實(shí)現(xiàn)自己的 Memcached SessionDAO；另外 SessionDAO 中可以使用 Cache 進(jìn)行緩存，以提高性能；

CacheManager：緩存控制器，來管理如用戶、角色、權(quán)限等的緩存的；因?yàn)檫@些數(shù)據(jù)基本上很少去改變，放到緩存中后可以提高訪問的性能

Cryptography：密碼模塊，Shiro 提高了一些常見的加密組件用于如密碼加密 / 解密的。

使用Shiro做身份驗(yàn)證

身份認(rèn)證流程

1. 首先調(diào)用 Subject.login(token) 進(jìn)行登錄，其會(huì)自動(dòng)委托給 Security Manager，調(diào)用之前必須通過 SecurityUtils.setSecurityManager() 設(shè)置；

2. SecurityManager 負(fù)責(zé)真正的身份驗(yàn)證邏輯；它會(huì)委托給 Authenticator 進(jìn)行身份驗(yàn)證；

3. Authenticator 才是真正的身份驗(yàn)證者，Shiro API 中核心的身份認(rèn)證入口點(diǎn)，此處可以自定義插入自己的實(shí)現(xiàn)；

4. Authenticator 可能會(huì)委托給相應(yīng)的 AuthenticationStrategy 進(jìn)行多 Realm 身份驗(yàn)證，默認(rèn) ModularRealmAuthenticator 會(huì)調(diào)用 AuthenticationStrategy 進(jìn)行多 Realm 身份驗(yàn)證；

5. Authenticator 會(huì)把相應(yīng)的 token 傳入 Realm，從 Realm 獲取身份驗(yàn)證信息，如果沒有返回 / 拋出異常表示身份驗(yàn)證失敗了。此處可以配置多個(gè) Realm，將按照相應(yīng)的順序及策略進(jìn)行訪問。

本文使用SqlLite+Druid做數(shù)據(jù)庫設(shè)計(jì)。

首先建立SqlLite數(shù)據(jù)庫shiro.db，并建立三張表。（推薦使用Navicat Premium客戶端操作SqlLite）

create table users (

id bigint auto_increment,

username varchar(100),

password varchar(100),

password_salt varchar(100),

constraint pk_users primary key(id)

);

create unique index idx_users_username on users(username);

create table user_roles(

id bigint auto_increment,

username varchar(100),

role_name varchar(100),

constraint pk_user_roles primary key(id)

);

create unique index idx_user_roles on user_roles(username, role_name);

create table roles_permissions(

id bigint auto_increment,

role_name varchar(100),

permission varchar(100),

constraint pk_roles_permissions primary key(id)

);

create unique index idx_roles_permissions on roles_permissions(role_name, permission);

編寫shiro配置文件

jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm

dataSource=com.alibaba.druid.pool.DruidDataSource

dataSource.driverClassName=org.sqlite.JDBC

dataSource.url=jdbc:sqlite::resource:shiro.db

jdbcRealm.dataSource=$dataSource

jdbcRealm.permissionsLookupEnabled = true

securityManager.realms=$jdbcRealm

數(shù)據(jù)庫中增加記錄users("administrator", "123","null")，編寫測試代碼

//classpath:指定配置文件在src目錄下

Factory<org.apache.shiro.mgt.SecurityManager>factory=new IniSecurityManagerFactory("classpath:shiro.ini");

org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();

SecurityUtils.setSecurityManager(securityManager);

Subject subject = SecurityUtils.getSubject();

UsernamePasswordToken token = new UsernamePasswordToken("administrator", "123");

try {

subject.login(token);

} catch (AuthenticationException e) {

e.printStackTrace();

}

if(subject.isAuthenticated()){

System.out.println("身份驗(yàn)證成功！");

}

subject.logout();

ThreadContext.unbindSubject();

使用Shiro做授權(quán)管理

授權(quán)，也叫訪問控制，即在應(yīng)用中控制誰能訪問哪些資源（如訪問頁面/編輯數(shù)據(jù)/頁面操作等）。在授權(quán)中需了解的幾個(gè)關(guān)鍵對象：主體（Subject）、資源（Resource）、權(quán)限（Permission）、角色（Role）。

主體

主體，即訪問應(yīng)用的用戶，在 Shiro 中使用 Subject 代表該用戶。用戶只有授權(quán)后才允許訪問相應(yīng)的資源。

資源

在應(yīng)用中用戶可以訪問的任何東西，比如訪問 JSP 頁面、查看/編輯某些數(shù)據(jù)、訪問某個(gè)業(yè)務(wù)方法、打印文本等等都是資源。用戶只要授權(quán)后才能訪問。

權(quán)限

安全策略中的原子授權(quán)單位，通過權(quán)限我們可以表示在應(yīng)用中用戶有沒有操作某個(gè)資源的權(quán)力。即權(quán)限表示在應(yīng)用中用戶能不能訪問某個(gè)資源，如： 訪問用戶列表頁面；查看/新增/修改/刪除用戶數(shù)據(jù)（即很多時(shí)候都是 CRUD（增查改刪）式權(quán)限控制）。

如上可以看出，權(quán)限代表了用戶有沒有操作某個(gè)資源的權(quán)利，即反映在某個(gè)資源上的操作允不允許，不反映誰去執(zhí)行這個(gè)操作。所以后續(xù)還需要把權(quán)限賦予給用戶，即定義哪個(gè)用戶允許在某個(gè)資源上做什么操作（權(quán)限），Shiro 不會(huì)去做這件事情，而是由實(shí)現(xiàn)人員提供。

Shiro 支持粗粒度權(quán)限（如用戶模塊的所有權(quán)限）和細(xì)粒度權(quán)限（操作某個(gè)用戶的權(quán)限，即實(shí)例級別的）。

角色

角色代表了操作集合，可以理解為權(quán)限的集合，一般情況下我們會(huì)賦予用戶角色而不是權(quán)限，即這樣用戶可以擁有一組權(quán)限，賦予權(quán)限時(shí)比較方便。典型的如：項(xiàng)目經(jīng)理、技術(shù)總監(jiān)、CTO、開發(fā)工程師等都是角色，不同的角色擁有一組不同的權(quán)限。

隱式角色：

即直接通過角色來驗(yàn)證用戶有沒有操作權(quán)限，如在應(yīng)用中 CTO、技術(shù)總監(jiān)、開發(fā)工程師可以使用打印機(jī)，假設(shè)某天不允許開發(fā)工程師使用打印機(jī)，此時(shí)需要從應(yīng)用中刪除相應(yīng)代碼；再如在應(yīng)用中 CTO、技術(shù)總監(jiān)可以查看用戶、查看權(quán)限；突然有一天不允許技術(shù)總監(jiān)查看用戶、查看權(quán)限了，需要在相關(guān)代碼中把技術(shù)總監(jiān)角色從判斷邏輯中刪除掉；即粒度是以角色為單位進(jìn)行訪問控制的，粒度較粗；如果進(jìn)行修改可能造成多處代碼修改。

顯示角色：

在程序中通過權(quán)限控制誰能訪問某個(gè)資源，角色聚合一組權(quán)限集合；這樣假設(shè)哪個(gè)角色不能訪問某個(gè)資源，只需要從角色代表的權(quán)限集合中移除即可；無須修改多處代碼；即粒度是以資源/實(shí)例為單位的；粒度較細(xì)。

授權(quán)流程

1. 首先調(diào)用 Subject.isPermitted*/hasRole*接口，其會(huì)委托給 SecurityManager，而 SecurityManager 接著會(huì)委托給 Authorizer；

2. Authorizer 是真正的授權(quán)者，如果我們調(diào)用如 isPermitted(“user:view”)，其首先會(huì)通過 PermissionResolver 把字符串轉(zhuǎn)換成相應(yīng)的 Permission 實(shí)例；

3. 在進(jìn)行授權(quán)之前，其會(huì)調(diào)用相應(yīng)的 Realm 獲取 Subject 相應(yīng)的角色/權(quán)限用于匹配傳入的角色/權(quán)限；

4. Authorizer 會(huì)判斷 Realm 的角色/權(quán)限是否和傳入的匹配，如果有多個(gè) Realm，會(huì)委托給 ModularRealmAuthorizer 進(jìn)行循環(huán)判斷，如果匹配如 isPermitted*/hasRole* 會(huì)返回 true，否則返回 false 表示授權(quán)失敗。

基于角色的訪問控制（隱式角色）

數(shù)據(jù)庫中增加記錄user_roles("administrator", "role1")，編寫測試代碼

if(subject.hasRole("role1")) {

System.out.println("角色權(quán)限驗(yàn)證成功！");

}

基于資源的訪問控制（顯示角色）

數(shù)據(jù)庫中增加記錄roles_permissions("role1", "*:view")，編寫測試代碼

if(subject.isPermitted("test1:view")) {

System.out.println("資源權(quán)限驗(yàn)證成功！");

}

字符串通配符權(quán)限

規(guī)則：“資源標(biāo)識(shí)符：操作：對象實(shí)例 ID” 即對哪個(gè)資源的哪個(gè)實(shí)例可以進(jìn)行什么操作。其默認(rèn)支持通配符權(quán)限字符串，“:”表示資源/操作/實(shí)例的分割；“,”表示操作的分割；“*”表示任意資源/操作/實(shí)例。

• 單個(gè)資源單個(gè)權(quán)限

system:user:update

• 單個(gè)資源多個(gè)權(quán)限

system:user:update,system:user:delete

• 單個(gè)資源全部權(quán)限

system:user:*

• 所有資源某個(gè)權(quán)限

*:view

用戶擁有所有資源的“view”所有權(quán)限。

• 單個(gè)實(shí)例單個(gè)權(quán)限

user:view:1

對資源 user 的 1 實(shí)例擁有 view 權(quán)限。

• 單個(gè)實(shí)例所有權(quán)限

user:*:1

• 所有實(shí)例單個(gè)權(quán)限

auth:*

• 所有實(shí)例所有權(quán)限

user:*:*

• Shiro 對權(quán)限字符串缺失部分的處理

如“user:view”等價(jià)于“user:view:*”；而“organization”等價(jià)于“organization:*”或者“organization:*:*”?？梢赃@么理解，這種方式實(shí)現(xiàn)了前綴匹配。

另外如“user:*”可以匹配如“user:delete”、“user:delete”可以匹配如“user:delete:1”、“user:*:1”可以匹配如“user:view:1”、“user”可以匹配“user:view”或“user:view:1”等。即*可以匹配所有，不加*可以進(jìn)行前綴匹配；但是如“*:view”不能匹配“system:user:view”，需要使用“*:*:view”，即后綴匹配必須指定前綴（多個(gè)冒號就需要多個(gè)*來匹配）。