Shiro - 安全框架核心类及相关概念概述

Apache Shiro是Java的一个安全框架

1.Shiro是一个强大的简单易用的Java安全框架，主要用来更便捷的认证、授权、加密、会话管理、与Web集成、缓存等

2.Shiro使用起来小而简单

3.spring中有spring security ,是一个权限框架，它和spring依赖过于紧密，没有shiro使用简单。

4.shiro不依赖于spring，shiro不仅可以实现web应用的权限管理，还可以实现c/s系统，分布式系统权限管理

 

核心类

Authentication

身份验证，验证用户是否拥有相应的身份。

Authorization

授权，即权限验证，验证某个已经认证了的用户是否拥有某个权限。

Session Manager

会话管理，即用户登录之后就是一次会话。在没有退出之前，它的所有信息都在会话中。

Cryptography

密码学，即加密保护数据的安全性。

Web Support

Web支持，可以非常容易的继承到Web环境。

Caching

缓存，用户登录之后，用户的信息、拥有的角色/权限无需每次去查询，可以提高效率。

Concurrency

并发性，支持多线程应用的并发验证，即在一个线程中开启另外一个线程，能把权限自动传播过去。

Testing

提供测试支持。

Run As

允许一个用户假装为另外一个用户的身份访问（如果他们允许）。

Remember Me

记住我，即一次登录后，下次再来的话不用登录。

 

主要概念

1.Subject - 主体

表示当前操作的用户，可以是人、爬虫、当前跟用户交互的东西。在Shiro中我们统称为用户，在代码的任何地方都可以获取Subject，获得Subject之后就可以立即获得我们想用Shiro为当前用户做的大部分事情如登录、注销、访问会话、授权检查等。

2.SecurityManager - 控制器

管理所有用户的安全操作，引用了多个内部嵌套安全组件，是Shiro的核心，用于调度Shiro框架的各种服务。

3.Realms

用户的信息认证器和权限认证器。执行认证（登录）和授权（访问权限控制）时，Shiro会从应用配置的Realm中查找很多内容。SecurityManager想要验证用户身份和权限，那么它需要从Realm中获取相应的信息进行比较以确定用户身份是否合法。可以把Realm看作DataSource，即安全数据源。

 

Shiro架构

①subject:主体

主体可以是用户也可以是程序，主体要访问系统，系统需要对主体进行认证、授权。

②securityManager:安全管理器

主体进行认证和授权都是通过securityManager进行。

③authenticator: 认证器

主体进行认证最终通过authenticator进行的。

④authorizer: 授权器

主体进行授权最终通过authenticator进行的。

⑤sessionManager:会话管理

web应用中一般是用web容器对session进行管理，shiro也提供一套session管理的方式。

⑥sessionDao:通过sessionDao管理session数据

⑦cacheManager: 缓存管理器

主要对session和授权数据进行缓存，比如将授权数据通过cacheManager进行缓存管理，和 ehcache整合对缓存数据进行管理。

⑧realm: 领域

相当于数据源，通过realm存取认证、授权相关数据。

⑨cryptography: 密码管理

提供了一套加密/解密的组件，方便开发。比如 提供常用的散列、加/解密等功能。

 

认证

1.身份认证,就是判断一个用户是否为合法用户的处理过程

2.通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确

关键对象

①Subject:主体

用户

②Principal：身份信息

是主体（subject）进行身份认证的标识，标识必须具有唯一性，如用户名、手机号、邮箱地址等

③credential：凭证信息

是只有主体自己知道的安全信息，如密码、证书等。

 

授权

1.授权，即访问控制，控制谁能访问哪些资源。

2.主体进行身份认证后需要分配权限，方可访问系统的资源，对于某些资源没有权限是无法访问的。

 

散列密码

散列算法一般用于生成数据的摘要信息，是一种不可逆的算法

一般适合存储密码之类的数据，常见的散列算法如MD5、SHA等