一、简单介绍一下Shiro框架
Apache Shiro是java的一个安全框架。使用shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。
三个核心组件:Subject、SecurityManager、Realms
Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程,后台账户(Deamon Accout)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的用户概念。
Subjuect代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
Realm:Realm充当了Shiro与引用安全数据间的“桥梁”或者“连接器”。也就是说,当用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户机器权限信息。
二、Shiro主要的四个组件
1、SecurityManager:典型的Facade,Shiro通过他对外提供安全管理的各种服务
2、Authernticator:对“who are you”进行核实。通常涉及用户名和密码。这个组件负责收集principals和credentials,并将它们提交给应用系统。如果提交的credentials跟应用系统中提供的credentials温和,就能够继续访问,否则需要重新提交principals和credentials,或者直接终止访问。
3、Authorizer:身份验证通过后,由这个组件对登录人员进行访问控制的筛选,比如“who can do what”或者“who can do which actions”。Shiro采用基于Realm的方法,即用户(Subject)、用户组、角色和permission的聚合体。
4、Session Manager:这个组件保证了异构客户端的访问,配置简单。它是基于POJO/J2SE的,不跟任何的客户端或者协议绑定。
三、Shiro的运行原理
-
Application Code:应用程序代码,就是我们自己的编码,如果在程序中需要进行权限控制,需要调用Subject的API。
-
Subject主体:代表的当前用户。所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager,可以将Subject当成一个门面,而真正的执行者是Securitymanager。
-
SecurityManager:安全管理器,所有与安全有关的操作都会与SecurityManager交互,并且它管理所有的Subject。
-
Realm:Shiro是从Realm来获取安全数据(用户、角色、权限)。就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以吧Realm看成DataSource,即安全数据源。
四、Shiro的四重权限控制方式
-
url级别权限控制
-
方法注解权限控制
-
代码级别权限控制
-
页面标签权限控制
五、授权实现的流程
1、什么是粗颗粒和细颗粒权限?
对资源类型的管理称为粗颗粒度权限控制,即只控制到菜单、按钮、方法,粗粒度的例子比如:用户具有用户管理的权限,具有导出订单明细的权限。对资源实例的控制称为细颗粒度权限管理,即控制都数据级别的权限,比如:用户只允许修改本部门的员工信息,用户只允许到处自己创建的订单明细。
总结:
-
粗颗粒权限:针对url连接的控制
-
细颗粒权限:针对数据级别的控制
2、粗颗粒和细颗粒如何授权?
对于粗颗粒度的授权可以很容易做系统架构级别的功能,即系统功能操作使用的统一的粗颗粒度的权限管理。
对于细颗粒度的授权不建议做成系统架构级别的狗能,因为对数据级别的控制是系统的业务需求,随着业务需求的变更,业务功能变化的可能性最大建议对数据级别的权限控制在业务层个性化开发。
-
粗颗粒权限:可以使用过滤器统一拦截url
-
细颗粒权限:在service中控制,在程序级别来控制,个性化编程。
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
