版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/qq_38087648/article/details/79976645
shiro
权限管理框架 spring:spring secruity
shiro不依赖于spring->web应用权限管理 shiro->实现系统权限管理,提高开发效率,降低开发成本。
(session与cookie)
session:保存在服务器端,标识用户会话控制
cookie:识别特定的用户,在cookie中记录session ID,实现session跟踪,cookie实现记住我功能
shiro框架:
subject
subject:主体,可以是用户或程序,主体访问系统,系统需要对主体进行认证
security Manager
security Manager:安全管理层,主体进行认证授权,通过管理器进行
Authenticator:认证器,主体进行认证通过Authenticator进行
Authorizer:授权器,主体进行授权通过Authorizer进行
session Manager:web应用中一般用web容器对session管理,shiro提供session管理方式
session DAO:通过sessiondao管理session数据,针对个性化session数据需要sessionDAO
cache Manager:缓存管理器,主要对session和授权数据进行缓存,将授权数据存进cache Manager进行缓存管理
realm
realm:领域,相当于数据源,通过realm存取认证,授权相关数据
注意:在realm中存在认证和授权的逻辑
cryptography
cryptography:安全,密码管理,提供加密解密组件
shiro认证与授权:
认证流程:
构造Security Manager环境->subject.login()(提交认证)->Security Manager.login()(执行认证)-
>Authenticator(执行认证)->realm根据身份获取验证信息