本篇参考张开涛《跟我学Shiro》
文章目录
Shiro 简介
- Apache Shiro 是 Java 的一个安全权限框架
- Shiro 可以非常容易地开发出足够好地应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境中。
- Shiro 可以完成:认证、授权、加密、会话管理、与Web继承、缓存等。
- 下载:http://shiro.apache.org/
- Authentication:相当于身份认证,对登陆地用户进行验证看看你是否拥有相应地身份;
- Authorization:相当于授权,比如说验证某个已经认证的用户是否拥有某个权限(通俗的讲就是判断用户是否能做事情),常见的例如:验证某个用户是否拥有某个角色。或者更细分的来说:验证某个用户对某个资源是否具有权限;
- Session Manager:会话管理,就是用户登陆后就是一次会话,在没有退出前,它的所有信息都存储在会话中;
- Cryptography:加密,保护数据的安全性,比如密码加密存储到数据库中,而不是明文存储;
- Web Support:Web支持,可以轻松的集成到 Web 环境中;
- Caching:缓存,比如用户登陆成功后,用户的个人信息都在缓存中,不用经常查询,提高效率的一种方式;
- Concurrency:shiro 支持多线程应用的并发验证,比如在一个线程中开启另一个线程,能把权限自动传播过去。
- Testing:提供测试支持;
- Run As:允许一个用户假装为另一个用户的身份进行访问;
- Remember Me:相当于表单登陆中的 “记住密码”性质一样,即登陆过一次后,下次再来的话就不用登陆了。
比较重要的一点:Shiro 不会去维护用户、维护权限;这些需要自己去设计/提供;然后通过相应的接口注入给 Shiro 即可。
Shiro 的工作流程
- Subject:相当了当前用户,这个用户并不一定是具体的人,与当前应用交互的任何东西都可以称之为 Subject;
所有的 Subject 都绑定到 SecurityManager ,与 Subject 的所有交互都会委托给 SecurityManager;可以将 Subject 看作是一个门面;SecurityManager 才是实际的执行这; - SecurityManager:
它是一个安全管理器,所有与安全有关的操作都会与 SecurityManager 交互;并且它还管理着所有 Subject;可以把 SecurityManager 看作是 Shiro 的核心对象,它主要负责和其它组件进行交互,可以将它比作 SpringMVC 中的 DispatcherServlet 前端控制器; - Realm:
Shiro 从 Realm 获取安全数据(例如用户、角色、权限),就是说 SecurityManager 要验证用户身份,就需要从 Realm 中获取相应的用户进行比较来确认用户身份是否合法;也需要从 Realm拿到用户相应的角色/权限进行验证用户是否能够进行操作;可以把 Realm 比作 DataSource,即安全数据源。
一个简单的 Shiro 应用是如何执行的呢?
- 首先应用代码通过 Subject 来进行认证和授权,而 Subject 又委托给 SecurityManager;
- 我们需要给 Shiro 的 SecurityManager 注入 Realm,从而让 SecurityManager 能得到合法的用户及其权限进行判断。