一、Shiro安全框架-简介和架构

最新推荐文章于 2024-06-18 10:17:47 发布
最新推荐文章于 2024-06-18 10:17:47 发布
阅读量443 收藏
点赞数 3
分类专栏: Shiro安全框架 文章标签: 安全 java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_nonym/article/details/121688376
版权

一、Shiro安全框架-简介和架构

写在前面

最近在看Shrio安全框架,于是记录一下,欢迎大家学习讨论。

1.Shiro简介

1.1.什么是Shiro?

Apache Shiro是一个强大灵活的开源安全框架,提供认证、授权、会话管理以及密码加密等功能。

Apache Shiro 首要的目标是易于使用和理解。安全相关的操作有时很复杂很麻烦,不过这完全没必要,一个安全框架应该尽可能隐藏这其中的复杂性并提供一套简洁直观的 API 来简化开发人员在这方面的工作。

1.2.Shiro的功能

Shrio功能图
Shiro的功能如上图所示:

Shiro的主要功能就是所谓的“应用安全的四大基础” ——认证,授权,会话管理与密码加密:

  • Authentication(认证):就是我们常说的“登录”,永安里验证用户身份。
  • Authorization(授权):访问控制,用于验证已经认证通过的用户是否拥有某个权限,比如某个用户能访问某些资源资源,不同的身份的用户能访问的资源不一样。
  • Session Management(会话管理):管理用户相关的Session,用户的一次登录就是一次会话,在没有退出登录之前,用户的所有信息都存在会话中。
  • Cryptography(加密):保证数据的安全性,Shrio内置多种加密方式,比如Base 64和16进制字符串编码和解码,可以非常方便地使用各种加密算法保证数据的安全。

另外Shiro还支持一些其他的特性:

  • Web Support(Web支持):Shiro自带的支持Web的API可以很容易地集成到web环境中。
  • Caching(缓存):Shiro会将已经登录的用户信息缓存起来,这样就不用每次都去查,提高效率。
  • Concurrency(并发性):Shiro的并发功能支持开发多线程的应用。
  • Testing(测试):Shiro支持单元测试和集成测试。
  • Run As(以…身份运行):允许一个用户使用另外某个用户的身份执行操作,这个功能常用于管理场景中比如“以管理员身份运行”。
  • Remember Me(记住我):用户选择“记住我”选项后,后面访问便不需要再登陆,即可以跨会话访问,只在某些特殊情况下才需要强制登录,比如token失效。

2.Shiro的架构

接下来我们通过外部架构和详细架构来看看Shiro安全框架的架构

2.1.外部架构

Shiro的架构主要有三个顶级接口概念:Subject, SecurityManager和Realms,如下图所示:

Shiro外部架构

  • Subject(主题):指当前执行的“用户”,但是在Shiro中“用户”不一定特质人,它可以是一个人,也可以是三方服务,也可以是网络爬虫等等,Subject指的是与当前应用正在交互的任何事务。需要注意的是所有的Subject实例都必须绑定到Security Manager,对Subject的操作会转为Subejct和Security Manager之间的交互。
  • Security Manager(安全管理器):Security Manager是Shiro架构的核心,它负责管理所有的Subejct,并且协调其他内部组件的相互协作,不过一旦Security Manager配置好后我们便可以不用再去管它,我们只需要操作Subject即可,但是我们需要知道当我们在对Subject进行各种操作的时候,在背后做苦力劳动的却是Security Manager(ps:像不像我们程序员,可怜的崽)。
  • Realm(领域):Realm在Shiro和我们的安全数据(用户、角色、权限等信息)之间扮演“桥梁”的角色,当需要用到安全数据的时候,比如进行身份认证或授权的时候,Shiro会从应用配置中的一个或者多个Realm中来查找到对应的用户、角色、权限等信息,我们也可以直接把Realm看作为一个安全数据源,配置Shiro时,必须至少得有一个Realm以用于认证或授权。

2.2.内部结构

下图是Shiro的详细内部结构:

Shrio内部架构

  • Subjet:与Shiro交互的实体(用户、三方服务等)。
  • Security Manager:Security Manager是Shiro的大脑,它起到协调内部组件之间的作用,并且管理这所有的Shiro用户。
  • Authticator:认证器,是用于执行用户的认证行为的组件,当用户登录时,登录的逻辑操作是由Authticator来执行的。
  • Authentication Strategy:当有多个Realm的时候,由Authentication Strategy来决定什么样的条件算成功,什么样的条件算失败。
  • Authorizer:授权器,用来控制用户的访问权限,最终决定用户是否能访问某个资源。Authorizer也会与底层的数据源交互来获取角色和权限信息。
  • Session Manager:会话管理器,可以用来创建用户会话,并且维护其生命周期。
  • Session DAO:Session DAO用来帮Session Manager执行会话的存储操作,我们可以通过实现Session DAO来将Session保存在数据库中。
  • Cache Manager:缓存管理器,用来创建和管理缓存的数据源实例,数据源一般不会经常改变,这样可以有效提高性能。
  • Realm:Realm上面我们已经介绍过了,Shiro在进行认证、授权等操作的时候,都会去一个或者多个Realm中获取安全数据。
  • Cryptography:密码模块,Shrio内置多种加密方式,比如Base 64和16进制字符串编码和解码,可以非常方便地使用各种加密算法保证数据的安全。

结语

千山万水总是情,给我点赞行不行,人间自有真情在,一键三连会更帅。初写文章,不善表达,多多包涵,本篇文章到这里就结束了,欢迎大家学习讨论。

煤球_Elf
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shrio框架
learning__java的博客
07-10 275
这里是修真院后端小课堂,每篇分享文从 八个方面深度解析后端知识/技能,本篇分享的是: 【shrio框架】 大家好,我是IT修真院深圳分院第十二期学员,一枚正直纯洁善良的JAVA程序员。 今天给大家分享一下,修真院官网JAVA任务十的一个知识点:shrio 1.背景介绍 2.知识剖析 3.常见问题 4.解决方案 5.编码实战 6.扩展思考 7.参考文献 8.更多讨论 1.背景介绍 Apache Sh...
shiro入门
阳某的博客
10-12 1129
目录shiro简介shiro入门案例shiro与web集成 shiro简介 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理...
springboot集成shiros自定义md5加密自定义token认证
最新发布
a360284634的博客
06-18 836
spring boot 集成 shiroshiro介绍,shiro与springSecurity区别,shiro优缺点
安全框架之shrio-简介
shinerio的博客
10-26 1049
本文学习主要参考官方英文文档(博客中已翻译处理)shiro作用:认证、授权、加密、会话管理、与Web集成、缓存等。 你可以用shiro来做以下事情 认证一个用户来核实他的身份 控制用户的一些访问权限,例如: 一个用户是否具有某个安全权限 一个用户是否被允许进行某些操作 在任何场景使用会话API,即使不是web工程或者EJB容器 对认证、控制权限获得等事件或者在一次会话生命周期中起作用 聚集一个或
安全认证框架】- shiro
gyhdxwang的博客
09-14 510
文章目录shiroshiro架构1.建项目,快速开始对Quickstart.java类的分析2.springboot集成shiro shiro shiro架构 1.建项目,快速开始 即把https://github.com/apache/shiro下载下来参照shiro-master\samples\quickstart\来建项目(注意自己添加pom文件的版本)。 或根据 http://shiro.apache.org/10-minute-tutorial.html 建项目 正常运行的结果 对Qu
Shiro(一) : 权限控制介绍
weixin_34277853的博客
07-04 110
为什么80%的码农都做不了架构师?>>> ...
SpringMVC-Mybatis-Shiro-redis-master
01-18
【标题】"SpringMVC-Mybatis-Shiro-redis-...这四个组件相互协作,为复杂的业务场景提供了一套完整的解决方案,有助于提升系统的性能和安全性。同时,这种集成方式也有利于项目的扩展和维护,降低了技术栈的学习成本。
Shiro安全框架
03-01
ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。1.从外部来看...
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
Apache Shiro 框架简介
01-11
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:  认证 – 用户身份识别,常被称为用户“登录”; 授权 – 访问控制; 密码加密 – 保护或隐藏数据防止被偷窥; ...
Shiro框架-史上详解
热门推荐
kentlhxy的博客
05-12 4万+
Shiro   1.权限管理概述 2.Shiro权限框架   2.1 概念   2.2 Apache Shiro 与Spring Security区别 3.Shiro认证   3.1 基于ini认证   3.2 自定义Realm --认证 4.Shiro授权   4.1 基于ini授权   4.2 自定义realm – 授权 5.项目集成shiro 认证-授权注意点   5.1 认证   5.2 授权   5.3 注解@RequiresPermissions()   5.4 标签式权限验证 6.S
shiro 安全(权限)框架
weixin_49107940的博客
11-02 4084
Apache Shiro 是一个功能强大且易于使用的 Java 安全(权限)框架Shiro 可以完成:认证、授权、加密、会话管理、与 Web 集成、缓存 等。借助 Shiro 您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。Shiro 默认的登录认证是不带加密的,如果想要实现加密认证需要自定义登录认证,自定义 Realm。自定义登录认证。
shiro框架
小凯的博客
03-02 1024
Shiro框架的基本介绍与基本使用
Shiro 框架详解
兴趣是最好的老师,勤能补拙
05-11 3769
Shiro 是一个开源的 Java 安全框架,由 Apache 开发和维护。Shiro 可以帮助开发人员快速实现安全特性,包括身份认证、授权、加密和会话管理等。Shiro 的目标是简化 Java 安全编程,并提供更好的开发体验。易于学习和使用:Shiro 设计简单,易于学习和使用。灵活性高:Shiro 可以适用于任何应用场景,支持多种应用程序类型。安全性高:Shiro安全性能比较优越,提供了多种方式来保护应用程序的安全性。
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2865
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
Shiro框架
xixihaha_coder的博客
10-12 2363
Shiro框架
shiro-安全框架
weixin_64353239的博客
07-05 264
=身份认证==,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。==授权,即访问控制==,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值