Shiro简介
一.Shiro简介
Apache Shiro 是一个强大易用的Java完全框架,提供了认证授权,会话管理,加密,对任意一个程序Shrio都可以提供全面的安全管理.对比Spring Security 可能没有 Spring Security 功能强大,但是我们在实际的工作中可能并不需要那么复杂的功能,所以使用简单易用的Shiro就足够了
Shiro的特性
1.四大基石:
Shiro把Shiro开发团队称为“应用程序的四大基石”——身份验证,授权,会话管理和加密作为其目标。
-
Authentication:有时也简称为“登录”,这是一个证明用户是他们所说的他们是谁的行为。
-
Authorization:访问控制的过程,也就是绝对“谁”去访问“什么”。
-
Session Management:管理用户特定的会话,即使在非 Web 或 EJB 应用程序。
-
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储。
也提供了额外的功能来支持和加强在不同环境下
- Web Support:Shiro的web支持的API能够轻松地帮助保护 Web 应用程序。
- Caching:缓存是Apache Shiro中的第一层公民,来确保安全操作快速而又高效。
- Concurrency:Apache Shiro利用它的并发特性来支持多线程应用程序。
- Testing:测试支持的存在来帮助你编写单元测试和集成测试,并确保你的能够如预期的一样安全。
- “Run As”:一个允许用户假设为另一个用户身份(如果允许)的功能,有时候在管理脚本很有用。
- “Remember Me”:在会话中记住用户的身份,所以他们只需要在强制时候登录。
Shiro的构架
Subject
在我们的教程中已经提到,Subject实质上是一个当前执行用户的特定的安全“视图”。鉴于"User"一词通常意味着一个人,而一个Subject可以是一个人,但它还可以代表第三方服务,daemon account,cron job,或其他类似的任何东西——基本上是当前正与软件进行交互的任何东西。
所有Subject实例都被绑定到(且这是必须的)一个SecurityManager上。当你与一个Subject交互时,那些交互作用转化为与SecurityManager交互的特定subject的交互作用。
SecurityManager
SecurityManager是Shiro架构的心脏,并作为一种“保护伞”对象来协调内部的安全组件共同构成一个对象图。然而,一旦SecurityManager和它的内置对象图已经配置给一个应用程序,那么它单独留下来,且应用程序开发人员几乎使用他们所有的时间来处理Subject API。
稍后会更详细地讨论SecurityManager,但重要的是要认识到,当你正与一个Subject进行交互时,实质上是幕后的 SecurityManager处理所有繁重的Subject安全操作。这反映在上面的基本流程图。
Realms
Realms担当Shiro和你的应用程序的安全数据之间的“桥梁”或“连接器”。当它实际上与安全相关的数据如用来执行身份验证(登录)及授权(访问控制)的用户帐户交互时,Shiro 从一个或多个为应用程序配置的Realm中寻找许多这样的东西。
在这个意义上说,Realm本质上是一个特定安全的DAO:它封装了数据源的连接详细信息,使Shiro所需的相关的数据可用。当配置Shiro时,你必须指定至少一个Realm用来进行身份验证和/或授权。SecurityManager可能配置多个Realms,但至少有一个是必须的。
Shiro提供了立即可用的Realms来连接一些安全数据源(即目录),如LDAP,关系数据库(JDBC),文本配置源,像 INI 及属性文件,以及更多。你可以插入你自己的Realm 实现来代表自定义的数据源,如果默认地Realm不符合你的需求。
像其他内置组件一样,Shiro SecurityManager控制 Realms是如何被用来获取安全和身份数据来代表 Subject 实例的。
273
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
