shiro学习要点

一、核心四大功能（核心核心）

1. 认证（Authentication）：验证用户身份（如账号密码登录），确认 "你是谁"；
2. 授权（Authorization）：验证用户权限（如判断是否能访问某接口 / 操作某资源），确认 "你能做什么"，基于角色 / 权限粒度控制；
3. 会话管理（Session Management）：为任意应用（非仅 Web）提供统一会话管理，支持会话过期、持久化等；
4. 加密（Cryptography）：内置对称 / 非对称加密算法（如 MD5、SHA、AES），简化密码加密、数据脱敏等操作，无需手动实现加密逻辑。

二、核心组件（核心架构，记住执行流程）

核心组件遵循Subject→SecurityManager→Realm三层核心流程，其余组件为辅助：

1. Subject：当前操作用户（可为人 / 程序），所有安全操作都通过 Subject 入口（如subject.login()/subject.hasRole()）；
2. SecurityManager：Shiro 核心管理器，统筹所有安全操作，Subject 所有请求最终都委托给它处理，是框架的 "大脑"；
3. Realm：Shiro 数据来源核心，负责获取用户信息（认证）、获取用户权限 / 角色（授权），需自定义实现（对接数据库 / 缓存 / 配置文件），是 Shiro 与业务系统的桥梁；
4. 辅助组件：
   • Authenticator：认证器，由 SecurityManager 管理，负责执行具体认证逻辑；
   • Authorizer：授权器，由 SecurityManager 管理，负责执行具体授权逻辑；
   • SessionManager：会话管理器，统一管理 Subject 会话；
   • CacheManager：缓存管理器，缓存用户信息 / 权限 / 角色，提升认证授权效率（必配，减少数据库查询）。

三、核心执行流程（一句话记住）

用户操作 Subject → Subject 委托给 SecurityManager → SecurityManager 调用 Realm 获取数据 → 完成认证 / 授权 / 会话等操作

四、核心使用步骤（实战落地，通用流程）

1. 引入依赖：Maven/Gradle 引入 shiro-core（核心）、shiro-web（Web 项目）、shiro-spring（Spring/SpringBoot 集成）；
2. 自定义 Realm：继承AuthorizingRealm，重写 2 个核心方法：
   • doGetAuthenticationInfo：认证方法，查询用户账号密码，返回给 Shiro 做密码校验；
   • doGetAuthorizationInfo：授权方法，查询用户拥有的角色（如 admin）和权限（如 user:add），返回给 Shiro 做权限判断；
3. 配置 Shiro 核心 Bean（SpringBoot 为例）：
   • 配置SecurityManager，注入自定义 Realm、CacheManager；
   • 配置ShiroFilterFactoryBean，设置过滤规则（如哪些接口匿名访问、哪些需要认证 / 角色 / 权限）；
4. 业务代码调用：
   • 认证：Subject subject = SecurityUtils.getSubject(); subject.login(new UsernamePasswordToken(账号, 密码));；
   • 授权：subject.hasRole("admin")（判断角色）、subject.isPermitted("user:add")（判断权限）；
   • 退出：subject.logout()。

五、Web 项目核心过滤规则（常用，必记）

通过ShiroFilterFactoryBean配置 URL 过滤规则，核心过滤器：

• anon：匿名访问（无需登录，如登录页、静态资源）；
• authc：必须认证（登录）才能访问；
• roles[admin]：必须拥有指定角色才能访问；
• perms[user:add]：必须拥有指定权限才能访问；
• logout：退出登录，配置后访问该 URL 自动执行 logout。

六、核心注解（SpringBoot 项目常用，简化授权）

需开启 Shiro 注解支持，在 Controller / 方法上标注，实现权限控制：

• @RequiresAuthentication：必须认证才能访问；
• @RequiresRoles("admin")：必须拥有指定角色；
• @RequiresPermissions("user:add")：必须拥有指定权限；
• @RequiresGuest：仅匿名用户可访问。

七、生产关键配置（避坑 & 优化）

1. 密码加密：使用HashedCredentialsMatcher，配置加密算法（如 MD5）+ 盐值（salt）+ 散列次数，避免明文存储密码；
2. 缓存集成：整合 Redis/Ehcache 作为 CacheManager，缓存用户权限 / 角色，避免每次请求都查数据库；
3. 会话配置：设置会话过期时间、会话持久化（分布式项目），避免单点会话丢失；
4. 异常处理：捕获 Shiro 认证 / 授权异常（如UnauthorizedException未授权），统一返回前端提示；
5. 分布式支持：整合 Redis 实现分布式会话 + 分布式缓存，解决多服务节点权限共享问题。

八、核心面试 / 实战考点

1. 自定义 Realm 的两个核心方法实现（认证 + 授权）；
2. 密码加密的实现（盐值 + 散列，避免彩虹表破解）；
3. Shiro 与 SpringBoot 的整合配置（核心 Bean）；
4. URL 过滤规则与注解的结合使用；
5. 分布式项目中 Shiro 的会话和缓存共享方案（Redis）；
6. 认证 / 授权异常的统一处理。