Apache Shiro是Java的一个安全框架
1.Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证、授权、加密、会话管理、与Web集成、缓存等
2.Shiro使用起来小而简单
3.spring中有spring security ,是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。
4.shiro不依赖于spring,shiro不仅可以实现web应用的权限管理,还可以实现c/s系统,分布式系统权限管理
核心类
Authentication
身份验证,验证用户是否拥有相应的身份。
Authorization
授权,即权限验证,验证某个已经认证了的用户是否拥有某个权限。
Session Manager
会话管理,即用户登录之后就是一次会话。在没有退出之前,它的所有信息都在会话中。
Cryptography
密码学,即加密保护数据的安全性。
Web Support
Web支持,可以非常容易的继承到Web环境。
Caching
缓存,用户登录之后,用户的信息、拥有的角色/权限无需每次去查询,可以提高效率。
Concurrency
并发性,支持多线程应用的并发验证,即在一个线程中开启另外一个线程,能把权限自动传播过去。
Testing
提供测试支持。
Run As
允许一个用户假装为另外一个用户的身份访问(如果他们允许)。
Remember Me
记住我,即一次登录后,下次再来的话不用登录。
主要概念
1.Subject - 主体
表示当前操作的用户,可以是人、爬虫、当前跟用户交互的东西。在Shiro中我们统称为用户,在代码的任何地方都可以获取Subject,获得Subject之后就可以立即获得我们想用Shiro为当前用户做的大部分事情如登录、注销、访问会话、授权检查等。
2.SecurityManager - 控制器
管理所有用户的安全操作,引用了多个内部嵌套安全组件,是Shiro的核心,用于调度Shiro框架的各种服务。
3.Realms
用户的信息认证器和权限认证器。执行认证(登录)和授权(访问权限控制)时,Shiro会从应用配置的Realm中查找很多内容。SecurityManager想要验证用户身份和权限,那么它需要从Realm中获取相应的信息进行比较以确定用户身份是否合法。可以把Realm看作DataSource,即安全数据源。
Shiro架构
①subject:主体
主体可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。
②securityManager:安全管理器
主体进行认证和授权都是通过securityManager进行。
③authenticator: 认证器
主体进行认证最终通过authenticator进行的。
④authorizer: 授权器
主体进行授权最终通过authenticator进行的。
⑤sessionManager:会话管理
web应用中一般是用web容器对session进行管理,shiro也提供一套session管理的方式。
⑥sessionDao:通过sessionDao管理session数据
⑦cacheManager: 缓存管理器
主要对session和授权数据进行缓存,比如将授权数据通过cacheManager进行缓存管理,和 ehcache整合对缓存数据进行管理。
⑧realm: 领域
相当于数据源,通过realm存取认证、授权相关数据。
⑨cryptography: 密码管理
提供了一套加密/解密的组件,方便开发。比如 提供常用的散列、加/解密等功能。
认证
1.身份认证,就是判断一个用户是否为合法用户的处理过程
2.通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确
关键对象
①Subject:主体
用户
②Principal:身份信息
是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等
③credential:凭证信息
是只有主体自己知道的安全信息,如密码、证书等。
授权
1.授权,即访问控制,控制谁能访问哪些资源。
2.主体进行身份认证后需要分配权限,方可访问系统的资源,对于某些资源没有权限是无法访问的。
散列密码
散列算法一般用于生成数据的摘要信息,是一种不可逆的算法
一般适合存储密码之类的数据,常见的散列算法如MD5、SHA等