今天小编给大家分享shiro入门基础知识,希望能对家人们有帮助。如果小编哪里写有问题,欢迎指明,愿闻其详。
1. shiro简介
shiro是apache的一个权限管理的轻量级框架,实现 用户认证、用户授权。是一个权限框架,它和spring依赖过于紧密, shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理。
c/s系统 客户端/服务器模式
C/S模式有以下特点:
1、C/S模式将应用与服务分离,系统具有稳定性和灵活性。
2、C/S模式配备的是点对点的结构模式,适用于局域网,有可靠的安全性 。
3、由于客户端实现与服务器端的直接连接,没有中间环节,因此响应速度快。
4、在C/S模式中,作为客户机的计算机都要安装客户机程序,一旦软件系统升级,每台客户机都要安装客户机程序,系统升级和维护较为复杂。
b/s 是browser/server指浏览器和服务器端,在客户机端不用装专门的软件,只要一个浏览器即可.
应用场景:
- 在独立应用中使用
- 在web中使用
- 在spring框架中集成。
shiro 解决应用安全的四要素:
- 认证 - 用户身份识别,常被称为用户“登录”
- 授权 - 访问控制
- 密码加密 - 保护或隐藏数据防止被偷窥
- 会话管理 - 与用户相关的时间敏感的数据
2. shiro优势
- 易用: 相当于其他安全框架,shiro比较简单易用
- 广泛: 使用非常广泛,资料好找
- 灵活: 可以工作在很多工作环境,web,ejb,ioc等等
- web支持: 对web的支持好,允许你基于应用 URL 和 Web 协议(如 REST)创建灵活的安全策略,同时还提供了一套控制页面输出的 JSP 标签库
- 支持:应用广泛,是 Apache 软件基金会成员
shiro访问授权时序图
2.1shiro主要对象
- suject:安全管理器
- SecurityManager: 配置所有用户的安全规则
- Realm: 为SecurityManager提供数据源,这个数据源可以是配置文件,与mvc中dao层做的事情差不多
2.2三明治结构
- Subject:开发人员使用,登陆,权限......
- SecurityManager:安全管理器,封装大量接口方法,主要做事的
- Realm:提供数据给安全管理器
3.1 Subject(管理员)
subject 被Shiro 描述为一个主体,例如:我们开发的系统需要通过支付宝支付,那么系统对于支付宝来说就是一个主体。所以主体是一个抽象的概念。
在考虑安全时,最常考虑的两个问题,1)当前用户是谁(即,认证) 2)当前用户能被允许做什么?(即:授权)。
3.2 SecurityManager(安全管理器)
如果说Subject关注当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
SecurityManager 是 Shiro 框架的核心,充当“保护伞”引用了多个内部嵌套安全组件,
以ini配置文件为例:
// 1.装入 INI 配置
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//2. 创建 SecurityManager
SecurityManager securityManager = factory.getInstance();
//3. 使其可访问
SecurityUtils.setSecurityManager(securityManager);
3.3 Realm(连接器,提供数据)
Realm 充当了 Shiro 与应用安全数据间的“桥梁”或者“连接器"。
Realm 实际上就是一个安全相关的 DAO: Shiro 内置了一些Realm ,支持多种数据源的连接,如JDBC、LDAP、INI文件的连接等。另外,可以自定义Realm 实现,方便个性化的应用场景。
执行流程
subject将登陆请求发送给SecurityManager,SecurityManager将用户信息发给Reaml,Reaml从数据库获取数据返回SecurityManager,最后返回给subject,判断是否合法用户。