荣艳冬　冯建平

摘要：权限管理系统是现代软件项目中必不可少的子系统，用户通常要求权限管理系统是细粒度和松耦合，尽量减少在权限系统开发中花费更多的精力。Java项目中通常会将重复使用的技术封装为框架，然后将框架挂接到实际项目中，从而大幅度提高项目制作效率和代码质量。该文主要讨论Shiro框架在企业中的应用，文章主要从Shiro的体系结构、构建和具体应用三个方面进行了详细的阐述，通过对比阐明了Shiro框架在技术和使用等方面的优势。

关键词：权限；JavaEE；框架；Shiro

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2015）22-0067-02

权限管理是指根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问自己被授权的资源。在软件项目中，几乎所有的系统都需要权限管理系统。但是权限管理系统的设计是一件非常复杂的事情，它需要遵从这样几条原则：一是必须保障系统使用的安全，能够覆盖系统所有功能，所以通常要求权限管理系统是细粒度的；二是能够方便快捷的进行系统权限的分配，不受到用户数量和用户使用功能的限制，其中最长采用的是基于角色的访问控制模型（RBAC）；三是权限系统和业务相分离，无论从代码层面，还是应用层面，权限系统的开发和使用不受到业务的限制。

1 Java项目权限框架概述

Java项目中除了自己开发权限框架外，经常会使用一些开源的权限框架，或者是在这些开源的框架上进行二次开发，使用权限框架可以大大简化权限系统的开发，能够满足大多数企业项目复杂的需求。常见的框架技术有Spring Security、AcegiSecurity、Kasai、ralasafe和Shiro等，每种框架都具有自己的特点，也存在不能进行细粒度控制、功能简单、无法满足用户的需求和易用性差等缺点。

Shiro是众多框架中表现相对较好的一个，它是由Apache公司的开发的Java权限框架，它是基于RBAC的细粒度框架，从依赖关系来讲，它不依赖任何框架技术，可以独立被使用，也可以和其他框架结合使用；从应用范围来讲，它既可以被应用到Web开发，也可以被应用到客户端开发；从具体应用来讲，它的配置非常简单，易用性很强，本文重点讨论如何使用Shiro构建权限管理系统。

2 使用Shiro构建权限系统

2.1 Shiro框架的体系结构

1）认证（Authentication），它的功能是判断用户身份是否合法，通俗来讲是登录功能，这是权限系统最为基础的功能，Shiro允许用户对认证方法重写，从而根据项目的业务需求实现认证。

2）授权（Authorization），这部分功能是权限系统的核心功能，Shiro是基于RBAC模型进行授权，它最基础的内容是权限点，这也是细粒度控制的体现。通过授权，Shiro框架将预先定义好的权限点和角色分配给用户，用户在认证通过后，Shiro框架会约束用户对于系统访问的权限。

3）会话管理（Session Management），Web项目中通常具备会话管理功能，例如：Java Web中通常使用HttpSession类进行会话管理，Shiro框架构建了专门的会话管理机制，Web项目中的会话可以由它代为管理，即使不具备会话管理功能的客户端项目，Shiro的会话管理功能也可以使用，这使得Shiro用户在会话管理层面无需关心是何种类型的项目，这也是Shiro框架易用性的重要体现。

4）加密（Cryptography），权限系统中数据加密是必不可少的内容，Shiro试图简化加密和解密操作，它引入了CipherService API，让用户只需提供密钥就可以根据需要进行加密和解密。此外，Shiro封装了诸如md5和sha等常用的加密算法，方便用户进行调用。

5）其他功能，除了核心功能外，Shiro还提供了几项非常实用的特征，包括Web支持、缓存功能、多线程并发验证、测试工具等。

2.2 构建权限框架

Shiro框架是RBAC模型，而且是细粒度权限管理，其构建的基础是权限点，角色和用户等权限数据都是基于权限点进行建立。用户可以通过重写AuthorizingRealm类和修改配置文件实现Shiro框架服务于业务系统，以下是具体构建的流程：

1）定义权限数据

权限数据通常与被存储在数据库中，也可以用其他的形式存储。在具体建立时通常需要构建权限点数据、角色数据和用户数据，权限点数据和角色数据是多对多关系，角色数据和用户数据也是多对多关系，权限点数据最为核心的内容是权限字符串，通常形式是“fjqx：zjqx”，冒号前代表父级权限，后面是子集权限，无论是在页面还是在程序代码中，都是通过这个串标识系统功能，这个串对应的权限点被赋予了哪个用户，哪个用户才拥有访问这个系统功能的权限。

2）配置Shiro过滤器

以Web开发为例，Shiro权限框架的基础是过滤器，过滤器根据认证和授权的设定，决定用户访问系统的权限，Shiro提供IniShiroFilter类完成这项工作。由于Shiro提供了对于Spring和Struts等框架的支持，所以针对于不同类型的框架，过滤器配置有一定的差异。

3）继承AuthorizingRealm类

继承AuthroizedingRealm类，重写“doGetAuthorizationInfo”和“doGetAuthenticationInfo”方法是Shiro开发的核心，通过对这两个方法的重写，用户可以根据自己业务的实际情况编写认证和授权功能。例如：用户数据和授权数据如果存储在数据库中，这两个方法中就可以读取数据库，完成认证和授权的编写。

4）URL配置

URL配置可以设定系统URL认证路由情况和访问权限，通过配置“loginURL”、“successURL”、“unauthorizedUrl”等参数决定系统认证入口、认证成功和认证失败的URL流向。通过给系统URL设定”authc”、“anon”、“logout”等值，确定哪些URL需要认证才可以访问，哪些路径可以匿名访问，哪些路径是注销链接。

2.3 Shiro的实际应用

1）用户认证

用户认证和传统的用户登录有一定的差别，首先需要利用Shiro提供的UsernamePasswordToken类和输入的用户名验证信息构建认证令牌，然后使用Subject类的login方法进行令牌的验证，从而判定登录是否成功。

2）授权的应用

授权的应用主要体现在三个方面：一是URL控制；二是页面级元素的控制；三是代码级权限控制。URL通过配置文件决定访问的方式和权限，页面级元素和代码级权限控制主要通过权限字符串，在Web开发，可以通过标签的方式在页面中进行HTML元素的控制，代码级权限可以通过isPermitted（权限字符串）、isRole（角色字符串）等方法进行权限控制。

3 结束语

Shiro权限框架是开源的，它提供了简洁和实用的权限管理功能，它在用户界面、访问路径和代码层面都提供了访问控制，能够做到真正安全的访问控制。Shiro所有的技术都是围绕认证和授权这两个核心，根据系统的需要可以重写认证和授权，这提供给用户更加灵活的权限管理。但是，项目的需求通常会非常复杂，Shiro在具体应用的时候还需要根据项目的实际需求对Shiro源代码进行相应的调整，再结合Shiro的特点完成具体任务。

参考文献：

[1] 黄经赢.基于Shiro框架的细粒度权限控制系统的设计与实现[J].广东技术师范学院学报：自然科学，2013（7）：20-23.

[2] 杨运平， 吴智俊.Apache Shiro安全框架在技术转移服务系统中的应用[J].计算机与现代化，2014（3）：157-160.

[3] 梁云娟.使用SpringSecurity开发安全的Java程序[J].河南师范大学学报：自然科学版，2012，4（40）：148-150.