安全框架
安全框架主要帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。
Shiro
架构:
- Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
- Authorization:授权,及权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
- Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
- Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
- Web Support:Web支持,可以非常容易的集成到Web环境;
- Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次都查,这样可以提高效率;
- Concurrency:Shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
- Testing:提供测试支持;
- Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
- Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
特点:
- 易于理解的Java Security API;
- 简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos、ActiveDirectory等);
- 对角色的简单鉴权(访问控制),支持细粒度的鉴权;
- 支持一级缓存,以提升应用程序的性能;
- 内置的基于POJO企业会话管理,适用于Web以及非Web的环境;
- 异构客户端会话访问;
- 非常简单的加密API;
- 不跟任何的框架或者容器捆绑,可以独立运行。
工作流程
- 应用代码通过Subject来进行认证和授权,而Subject又委托给SecurityManager;
- 我们需要给Shiro的SecurityManager注入Realm,从而让SecurityManager能得到合法的用户及其权限进行判断。
- Subject:当前应用交互的任何东西,都是Subject,代表当前用户;
- SecurityManager(安全管理器):所有与安全有关的操作都会和SecurityManager交互;它管理着所有subject;是Shiro的核心,它负责与后边介绍的其他组件进行交互。可以将它当成前端控制器;
- Realm(安全数据源):SecurityManager要验证用户身份时,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法,也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作。
Spring Security
Spring Security拥有Shiro所有功能,除了不能脱离Spring,而且Spring Security对Oauth、OpenID也有支持,Shiro则需要自己手动实现。Spring Security的权限细粒度更高。
注:
Oauth在“客户端”与“服务提供商”之间,设置了一个授权层(authorization layer)。“客户端”不能直接登录“服务提供商”,只能登录授权层,以此用户与客户端区分开来。“客户端”登录授权层所用的令牌(token),与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有限期。
“客户端”登录授权层以后,“服务提供商”根据令牌的权限范围和有效期,向“客户端”开放用户储层的资料。
OpenID系统的第一部分是身份认证,即如何通过URI来认证用户身份。目前的网站都是依靠用户名和密码来登录认证,这就意味着大家在每个网站需要注册用户名和密码,即便你使用的是同样的密码。如果使用OpenID,你的网站地址(URI)就是你的用户名,而你的密码安全的存储在一个OpenID服务网站上。
综述
- Shiro比Spring Security简单易上手;
- Spring Security属于Spring体系,与Spring无缝整合,如果项目用到Spring,使用起来很方便,但是如果项目没有用到Spring,就不要考虑Spring Security了;
- Spring Security社区比Shiro更加活跃;
- Apache Shiro相对Spring Security处理密码学方面有一个额外的模块;
- Shiro功能强大、简单、灵活。属于Apache开源项目比较可靠,且不跟任何的框架或者容器绑定,可以独立运行。而Spring Security依赖Spring才行。