网站系统安全

Shiro是一个功能强大并且易于使用的Java安全框架，它提供了认证、授权、加密以及会话管理等功能。相信有很多人都已经接触并使用过它，在此基本的配置使用就不多介绍，下面就Shiro进一步的使用做一些简单描述，主要包括自定义Realm、集成Redis缓存权限和Session数据、自定义SessionID生成等进行简单说明。

Shiro官网

网站： http://shiro.apache.org/

十分钟快速辅导使用教程：http://shiro.apache.org/10-minute-tutorial.html

自定义Realm

自定义Realm一般需要实现AuthorizingRealm接口，该接口有两个接口，一个是doGetAuthorizationInfo，另一个是doGetAuthenticationInfo。

1. doGetAuthenticationInfo

   该接口方法的逻辑是验证用户登录的合法性，通常在这里面来判断用户名是否存在、密码是否正确、用户账号状态是否被禁用或者锁定等操作。

2. doGetAuthorizationInfo

   该接口方法的逻辑是在用户身份验证完成后，设置用户的权限信息，一般包括设置用户所拥有的角色信息和相应的权限字信息。

集成Redis

Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，一个拥有较高性能的非关系型数据库。Redis本身可以做分布式集群部署，在大型项目中能体现出很优异的性能。

使用Redis存储Session和权限信息，首先引入Maven依赖，除了Shiro和Redis基本的Maven依赖外，还需要引入下面的依赖来完成Shiro和Redis的集成。

<dependency>

<groupId>org.crazycake</groupId>

<artifactId>shiro-redis</artifactId>

<version>2.4.2.1-RELEASE</version>

</dependency>

配置RedisManager

<!-- 配置Redis基本信息 -->

<bean id="redisManager" class="org.crazycake.shiro.RedisManager">

<property name="host" value="Redis主机地址" />

<property name="port" value="Redis服务端口" />

<property name="expire" value="过期时间" />

<property name="timeout" value="超时时间" />

<property name="password" value="验证密码（如果设置了）" />

</bean>

<!-- 配置RedisSessionDao -->

<bean id="redisSessionDAO" class="org.crazycake.shiro.RedisSessionDAO">

<!-- 自定义SessionID生成机制 -->

<property name="sessionIdGenerator" ref="sessionIdGenerator"></property>

<property name="redisManager" ref="redisManager" />

</bean>

<!-- 配置缓存管理，使用Redis缓存 -->

<bean id="cacheManager" class="org.crazycake.shiro.RedisCacheManager">

<property name="redisManager" ref="redisManager" />

</bean>

<!-- 配置安全管理器 -->

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

<property name="realm" ref="realm" />

<property name="sessionManager" ref="sessionManager" />

<property name="cacheManager" ref="cacheManager" />

</bean>

配置完成Spring-Shiro的基本配置之后，还需要进行web.xml的配置，主要是配置DelegatingFilterProxy过滤器。配置完成之后，可以启动程序，登录系统，查看Redis中是否已经缓存了Session数据，正常情况如下图所示：

最终Redis存储的Shiro信息

用户每次请求都会更新Session会话信息的失效时间，但用户权限的失效信息不回被刷新，每个30分钟（根据你在配置文件中配置的Session过期时间来定）会自动更新数据。

自定义SessionID生成器

自定义SessionID生成器需在自定义一个Java类，并实现SessionIdGenerator接口，实现generateId方法，在里面实现生成SessionId的逻辑代码，如下代码所示：

public class TmSessionIdGenerator implements SessionIdGenerator {

@Override

public Serializable generateId(Session session) {

return "自定义SessionID生成策略";

}

}

实现自定义类之后，需要配置到Shiro的SessionDAO管理中，首先要初始化为Bean,如下代码所示，然后再配置到SessionDAO中。

<!-- 配置自定义ID生成 -->

<bean id="sessionIdGenerator" class="org.tm.pro.web.shiro.TmSessionIdGenerator"/>

本次关于Shiro的知识就先介绍到这，如有问题欢迎沟通回复~