版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u010675669/article/details/89475025
Apache Shiro简介
什么是Apache Shiro?
Apache Shiro是一个功能强大且灵活的开源安全框架,可以清晰地处理身份验证,授权,企业会话管理和加密。
Apache Shiro的首要目标是易于使用和理解。安全有时可能非常复杂,甚至是痛苦的,但并非必须如此。框架应尽可能掩盖复杂性,并提供简洁直观的API,以简化开发人员确保其应用程序安全的工作。
以下是Apache Shiro可以做的一些事情:
- 验证用户以验证其身份
- 为用户执行访问控制,例如:
- 确定是否为用户分配了某个安全角色
- 确定是否允许用户执行某些操作
- 在任何环境中使用Session API,即使没有Web容器或EJB容器也是如此。
- 在身份验证,访问控制或会话生命周期内对事件做出反应。
- 聚合用户安全数据的1个或多个数据源,并将其全部显示为单个复合用户“视图”。
- 启用单点登录(SSO)功能
- 无需登录即可为用户关联启用“记住我”服务
......
以及更多 - 全部集成到一个易于使用的内聚API中。
Shiro尝试为所有应用程序环境实现这些目标 - 从最简单的命令行应用程序到最大的企业应用程序,而不强制依赖其他第三方框架,容器或应用程序服务器。当然,该项目旨在尽可能地融入这些环境,但它可以在任何环境中开箱即用。
Apache Shiro功能
Apache Shiro是一个具有许多功能的综合应用程序安全框架。下图显示了Shiro关注其能量的位置,此参考手册将以类似方式组织:
Shiro针对Shiro开发团队所称的“应用程序安全的四大基石” - 身份验证,授权,会话管理和加密:
-
身份验证:有时称为“登录”,这是证明用户是他们所说的人的行为。
-
授权:访问控制的过程,即确定“谁”可以访问“什么”。
-
会话管理:即使在非Web或EJB应用程序中,也可以管理特定于用户的会话。
-
密码学:使用加密算法保持数据安全,同时仍然易于使用。
还有其他功能可以在不同的应用程序环境中支持和强化这些问题,尤其是:
- Web支持:Shiro的Web支持API可帮助轻松保护Web应用程序。
- 缓存:缓存是Apache Shiro API中的第一层公民,可确保安全操作保持快速高效。
- 并发:Apache Shiro支持具有并发功能的多线程应用程序。
- 测试:存在测试支持以帮助您编写单元和集成测试,并确保您的代码按预期受到保护。
- “运行方式”:允许用户假定其他用户的身份(如果允许)的功能,有时在管理方案中很有用。
- “记住我”:记住用户在会话中的身份,因此他们只需要在必要时登录。