今天想总结一下在项目中使用Shiro的一些事情,一方面给小伙伴们统一思想,另一方面,也为自己做个笔记,以免将来又忘了。
这上官方给出的一个架构图。怎么理解呢?其实作为使用者,我们关心的它是否满足我们的需求,那么从这张图上可以看出,首先认证(Authentication)和授权(Authorization)它是支持的,这也是我们最关心的部分。
SessionManagement,官方文档说它提供了一个强大的企业级的完整的Session解决方案,好吧,我们暂时没用,因为大多数情况下,我们会在WEB应用中使用,习惯了原来的会话管理,不想改变太多。
Cryptography,封装了很多很强大的加解密工具方法,但是我们也没有用上,也许下次研究一下。
这张图是从内部解读Shiro的框架结构,我们关注两点,一是上面的淡黄色的部分,每类应用里面都有一个Subject(指明当前登录用户),是需要我们在代码中经常使用的,然后SecurityManager我们打交道不多,往下紫色那个Pluggable Realms,是一个安全域的插件集,这里才有真正的安全逻辑(为什么张三可以登录,为什么李四可以删数据,等等,都是realm说了算)。
这张图大家也经常看到,它从一个方面说明了Shiro的简单易用。我们的APP只需要与Subject打交道,其它事情都交给他做了,它委托securityManager进行管理,后者呢,又去找真正的后台realm,咨询安全方面的事情(可不可以认证通过,他有什么样的授权等)。