一:Shiro
1.shiro是一个安全框架 使用shiro可以非常容易开发出足够好的应用,可以帮助我们完成:认证 授权 加密 会话管理 与web集成 缓存等。
2.Shiro的三个核心组件
*Subject:即”当前操作用户“,但在shiro中不仅仅指人还指第三方进程 后台账户 或其他类似事物。仅仅意味着”当前跟软件交互的东西“。
*SecurityManager:是shiro框架的核心 ,用来管理内部组件实例 提供安全管理的各种服务。
*Realm:充当Shiro与应用安全数据间的”桥梁“或者连接器。当用户执行认证(登录)和授权(访问控制)时,shiro会从应用配置的realm中查找用户及其权限信息。
二 shiro的运行过程
* 程序员自己编写的代码 在程序中需要进行权限控制 需要调用Subject的API
* Subject主体代表当前用户,所有的Subject都绑定到SecurityMananger。可以理解为Subject是个门面 而真正执行的是SecurityMananger。
* SecurityMananger(安全管理器) 所有与安全有关的操作都会与SecurityMananger交互,并且管理所有的Subject。
* Realm(域) shiro是从realm中获取安全数据(用户 角色 权限) 。就是说SecurityMananger要验证用户身份,那么默认要从realm中获取相应的用户进行比较以确定用户 身份是否合法。也需要从realm得到用户相应的角色、权限进行验证用户是否能进行操作。可以把realm看作是安全数据源。
三:shiro 的四种权限控制方式
* url级别权限控制
* 方法注解权限控制
* 代码级别控制权限
* 页面标签权限控制