1、shiro框架核心配置

Spring的配置文件中配置的一个bean,org.apache.shiro.spring.web.ShiroFilterFactoryBean(协调办公室，真正意义掌握安全控制权限)

2、web.xml文件为什么还要配置一个DelegatingFilterProxy

DelegatingFilterProxy：用来到spring容器中去找与filter-name下相同名字的bean实例。降低耦合。

3、web.xml的shiroFilter与spring配置的shiroFilter关系

web容器启动加载web.xml，创建shiroFilter,根据shiroFilter的name去spring的IOC容器中寻找与shiroFilter相同的名字的bean实例.并且将安全控制权限交给bean实例处理。

4、从DelegatingFilterProxy的shiroFilter到Spring IOC配置的ShiroFilter控制权限转移过程

DelegatingFilterProxy类主要结构(一个属性，两个方法)：

//为DelegatingFilterProxy初始化的shiroFilter Bean名字
private String targetBeanName;
//获取到的spring中shiro的核心过滤器
private volatile Filter delegate;
//寻找需要转移的shiroFilter bean 并且完成控制权的转移
@Override
protected void initFilterBean() throws ServletException {
        synchronized (this.delegateMonitor) {
            if (this.delegate == null) {
                // If no target bean name specified, use filter name.
                if (this.targetBeanName == null) {
                    this.targetBeanName = getFilterName();
                }
                // Fetch Spring root application context and initialize the delegate early,
                // if possible. If the root application context will be started after this
                // filter proxy, we'll have to resort to lazy initialization.
                WebApplicationContext wac = findWebApplicationContext();
                if (wac != null) {
                    this.delegate = initDelegate(wac);
                }
            }
        }
    }
    //如果没有设置需要转移控制权的bean，targetBeanName == null 没有告知我们DelegatingFilterProxy要寻找的bean，那么就会调用getFilterName()方法
    //如果filterConfig不为空，寻找filterConfig中的filterName作为返回值，然后到IOC容器中寻找返回的filterName对应的bean实例
    //如果告知targetBeanName，那么到IOC容器中寻找bean实例
    protected final String getFilterName() {
        return (this.filterConfig != null ? this.filterConfig.getFilterName() : this.beanName);
    }

//servlet容器到IOC容器的关联，根据以上方法获取到的shiroFilter Bean的名字，到Spring中寻找到Bean实例，完成控制权的转移   
@Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {

        // Lazily initialize the delegate if necessary.
        Filter delegateToUse = this.delegate;
        if (delegateToUse == null) {
            synchronized (this.delegateMonitor) {
                if (this.delegate == null) {
                    WebApplicationContext wac = findWebApplicationContext();
                    if (wac == null) {
                        throw new IllegalStateException("No WebApplicationContext found: " +
                                "no ContextLoaderListener or DispatcherServlet registered?");
                    }
                    this.delegate = initDelegate(wac);
                }
                delegateToUse = this.delegate;
            }
        }

        // Let the delegate perform the actual doFilter operation.
        invokeDelegate(delegateToUse, request, response, filterChain);
    }   

5、URL使用ant风格模式

? 匹配一个字符
admin?.jsp–admin1.jsp not admin123.jsp
* 一个或多个字符 :
admin*–admin1.jsp and admin123.jsp
** 匹配0个或多个路径，
/** = authc
在web根目录中所有的资源需要授权访问
URL匹配顺序，采取第一次匹配优先的方式
/bb/** = filter1
/bb/aa = filter2
/**=authc
采用第一种/bb

6、Shiro在web环境中的认证

-JSP,包含用户登录的信息，form表单
-Spring MVC控制器：处理用户的请求
-获取用户输入的登陆信息
–shiro API来完成用户的认证
1、获取Subject类型的实例
Subject currentUser = SecurityUtils.getSubject();
2、判断用户是否已经认证过
currentUser.isAuthenticated();
3、使用UsernamePasswordToken对象封装用户名及密码
4、使用Subject实例中的login（token）
currentUser.login(token);(自动帮我们寻找在IOC容器中配置的realm)
Realm指从数据库中获取安全数据的，在realm中完成真实数据的查询，
数据存在的话会封装一个SimpleAuthencationInfo返回。

7、如何确定shiro在什么时候进行密码比对？

第一种方式通过debug(麻烦)
第二种方式，在拿用户的token和从数据查询的数据比对的时候，肯定会比对密码，那么比对密码肯定会调用token的getPassword()方法，在该方法打断点；
通过Debug发现：
对比的操作是：doCredentialMatch(token,info);
1token指用户输入的内容：UsernamePasswordToken
2info指SimpleAuthencationInfo封装了查询之后的结果

8、加密（MD5,SHA1）

1、存储用户密码的时候，对用户输入的明文进行加密，Hibernate当中涉及Md5加密的操作;
2、Shiro底层提供进行密码比对：比如对接收到前端用户输入的值进行MD5的加密，可以通过配置Realm中的属性完成
下面介绍在Spring IOC中如何为前端输入的密码设置加密器：

<!-- 自定义shiroRealm -->
    <bean id="shiroDbRealm" class="com.baisq.shiro.ShiroDbRealm">
        <property name="credentialsMatcher">
            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <property name="hashAlgorithmName" value="MD5"></property>
                <property name="hashIterations" value="1024"></property>
            </bean>
        </property>
    </bean>

credentialsMatcher:加密器，
–实现类：因为是对密码密,使用org.apache.shiro.authc.credential.HashedCredentialsMatcher即可
–属性注入：
hashAlgorithName: 加密算法 md5
hashIterations: 当前md5算法需要迭代的次数
hashSalted:盐

9、盐值加密：原有算法加密的基础上。（让相同的密码在数据库存储的也不一致，进一步确保数据的安全性）

前端token当中获取的密码应该进行盐值加密(前提是数据库中的密文是盐值加密)

//使用userName作为生成盐
//ByteSource提供了静态内部类
//传入盐值加密
ByteSource salt = ByteSource.Util.bytes(userName);
//封装数据库的查询出的真实信息时传入盐值salt,用于在和前端传的token中的密码比对时加入
SimpleAuthenticationInfo authInfo = new SimpleAuthenticationInfo(userName, sh, salt, realmName);

10、开发人员角度使用shiro

1、通过SecurityUtils获取Subject类型的实例
2、判断当前Subject是否认证过
3、调用Subject的login(token)方法
UsernamePasswordToken：前端用户输入的值
4、自定义Realm:获取数据库当中的数据
如果比对成功：不会出现任何异常，返回用户真实的认证信息
认证失败：出现一个认证失败异常
5、还要了解Spring IOC bean的配置

11、架构角度学习shiro认证的源码解析

需要注意:如果一个shiro在认证时不止使用了一个realm
那么调用doMutiRealmAuthentication(realms,authenticationtoken)

11、多Realm获取数据

为什么要使用？(更加安全比如从mysql oracle两个数据库中获取数据,并且在不同数据库的密文使用了不同的算法)
第一种方式
1、书写多个realm实现类
2、SpringIOC容器中完成相应bean的设置
3、securityManager的bean中设置一个realms，并且通过spring 的list集合标签完成多个realm bean的注入

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!-- 第一种方式 -->
        <property name="realms">
            <list>
                <ref bean = "firstRealm"/>
                <ref bean = "secondRealm"/>
            </list>
        </property>
    </bean>

第二种方式
1、需要配置一个认证器，ModularRealmAuthenticator（如果没有找到会使用shiro底层一个默认的认证器）
2、bean的realms属性完成注入

<!-- 多realm使用authenticator -->
    <bean id="authenticator" class=" org.apache.shiro.authc.pam.ModularRealmAuthenticator">
        <property name="realms">
            <list>
                <ref bean="firstRealm"/>
                <ref bean="secondRealm"/>
            </list>
        </property>
        <property name="authenticationStrategy" ref="allSuccessfulStrategy"></property>
    </bean>

3、securityManager当中注入authenticator属性，告诉安全管理器我们具体使用的认证器实例

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="authenticator" ref="authenticator"></property>
</bean>

12、认证策略

应用场景

1两个realm,前端用户输入的账号密码需要与realm1 和realm2比对，最终如何判断成功呢？
答：
可以通过认证策略识别如何算认证成功。
AtleastOneSuccessfulStrategy:多个realm,只要有一个认证成功，代表登陆成功;
AllSuccessfulStrategy:全部realm认证成功，才会认证成功;

使用

2如何修改shiro的认证策略
自定义的认证器中加入一个属性：

<!-- 多realm使用authenticator -->
    <bean id="authenticator" class=" org.apache.shiro.authc.pam.ModularRealmAuthenticator">
        <property name="realms">
            <list>
                <ref bean="firstRealm"/>
                <ref bean="secondRealm"/>
            </list>
        </property>
        <property name="authenticationStrategy" ref="allSuccessfulStrategy"></property>
    </bean>
    <bean id="allSuccessfulStrategy" class="org.apache.shiro.authc.pam.AllSuccessfulStrategy"></bean>

shiro项目demo代码地址

https://github.com/fontain1128/baisq-shiro/tree/master