shiro框架简介

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/jnshu_it/article/details/84075555

这里是修真院后端小课堂，每篇分享文从

【背景介绍】【知识剖析】【常见问题】【解决方案】【编码实战】【扩展思考】【更多讨论】【参考文献】

八个方面深度解析后端知识/技能，本篇分享的是：

【shiro框架简介】

【修真院java小课堂】shiro框架简介

大家好，我是IT修真院北京分院第35期的学员铁木儿，一枚正直纯洁善良的程序员，今天给大家分享一下，修真院官网java任务拓展

（1）背景介绍：

Apache Shiro

读作“sheeroh”，即日语“城”或“堡垒”

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

（2）知识剖析：

核心组件

Subject,SecurityManager,Realms

框架结构

Subject：主体，可以看到主体可以是任何可以与应用交互的“用户”；

SecurityManager：相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher；是Shiro的心脏；所有具体的交互都通过SecurityManager进行控制；它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。

Authenticator：认证器，负责主体认证的，这是一个扩展点，如果用户觉得Shiro默认的不好，可以自定义实现；其需要认证策略（Authentication Strategy），即什么情况下算用户认证通过了；Authrizer：授权器，或者访问控制器，用来决定主体是否有权限进行相应的操作；即控制着用户能访问应用中的哪些功能；

Realm：可以有1个或多个Realm，可以认为是安全实体数据源，即用于获取安全实体的；可以是JDBC实现，也可以是LDAP实现，或者内存实现等等；由用户提供；注意：Shiro不知道你的用户权限存储在哪及以何种格式存储；所以我们一般在应用中都需要实现自己的Realm；

SessionManager：如果写过Servlet就应该知道Session的概念，Session呢需要有人去管理它的生命周期，这个组件就是SessionManager；而Shiro并不仅仅可以用在Web环境，也可以用在如普通的JavaSE环境、EJB等环境；所有呢，Shiro就抽象了一个自己的Session来管理主体与应用之间交互的数据；这样的话，比如我们在Web环境用，刚开始是一台Web服务器；接着又上了台EJB服务器；这时想把两台服务器的会话数据放到一个地方，这个时候就可以实现自己的分布式会话（如把数据放到Memcached服务器）；

SessionDAO：DAO大家都用过，数据访问对象，用于会话的CRUD，比如我们想把Session保存到数据库，那么可以实现自己的SessionDAO，通过如JDBC写到数据库；比如想把Session放到Memcached中，可以实现自己的Memcached SessionDAO；另外SessionDAO中可以使用Cache进行缓存，以提高性能；

CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的；因为这些数据基本上很少去改变，放到缓存中后可以提高访问的性能

（3）常见问题：

除了shrio外还有哪些安全框架

（4）解决方案：

Spring Security

Shiro比Spring更容易使用，实现和最重要的理解 Spring Security更加知名的唯一原因是因为品牌名称 “Spring”以简单而闻名，但讽刺的是很多人发现安装Spring Security很难 然而，Spring Security却有更好的社区支持 Apache Shiro在Spring Security处理密码学方面有一个额外的模块 Spring-security 对spring 结合较好，如果项目用的springmvc ，使用起来很方便。但是如果项目中没有用到spring，那就不要考虑它了。 Shiro 功能强大、且 简单、灵活。是Apache 下的项目比较可靠，且不跟任何的框架或者容器绑定，可以独立运行

（5）编码实战：

（6）拓展思考：

（7）参考文献：

https://mrbird.cc/Spring-Boot-shiro%20Authentication.html

http://jinnianshilongnian.iteye.com/blog/2018936

https://blog.csdn.net/liyuejin/article/details/77838868

（8）更多讨论：

Q1：除了shrio外还有哪些安全框架

A1：

Spring Security

Shiro比Spring更容易使用，实现和最重要的理解 Spring Security更加知名的唯一原因是因为品牌名称 “Spring”以简单而闻名，但讽刺的是很多人发现安装Spring Security很难 然而，Spring Security却有更好的社区支持 Apache Shiro在Spring Security处理密码学方面有一个额外的模块 Spring-security 对spring 结合较好，如果项目用的springmvc ，使用起来很方便。但是如果项目中没有用到spring，那就不要考虑它了。 Shiro 功能强大、且 简单、灵活。是Apache 下的项目比较可靠，且不跟任何的框架或者容器绑定，可以独立运行

Q2：shiro只支持web环境吗
A2：shiro支持javaEE和javaSE环境

Q3：Shiro的token是指什么
A3：在之前的学习中，我们所使用的token是保存在cookie中的一种用户凭证。在shiro中，有自己定义的token，用于在shiro内部储存用户数据，在这一点上倒是相似的，不过shiro中token的内容是规定好的，我们只需要往里传参。

（9）鸣谢：

感谢各位师兄弟观看

（10）结束语：

今天的分享就到这里啦，欢迎大家点赞、转发、留言、拍砖~

PPT链接 视频链接

更多内容，可以加入IT交流群565734203与大家一起讨论交流

这里是技能树·IT修真院：http://www.jsnhu.com，初学者转行到互联网的聚集地