【shiro进阶】--- shiro架构

最新推荐文章于 2023-01-02 16:40:31 发布
最新推荐文章于 2023-01-02 16:40:31 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010773667/article/details/50672586
版权

  Apache Shiro是很流行的一个java安全框架,可以帮助我们完成认证、授权、加密、会话管理、与web继承、缓存

等操作。虽然没有Spring Security的功能那么强大,但是在实际工作中很多时候使用小而简单的shiro就足够了。

 在开始学习shiro之前,我们先从宏观上介绍一下shiro的架构,让大家对shiro有个整体印象。

 对于一个好的框架,要满足对外能够提供简单易用的API,对内应该有一个可扩展的架构。任何框架都不能满足所

有需求,所以对内要可以非常容易插入用户自定义实现。那么我们就分别从外部和内部看一下shiro架构。

外部架构


  从外部即从应用程序的角度来观察shiro架构可以看到,应用代码直接交互的对象是Subject,也就是说shiro的对

外API核心为Subject;


Subject

  主体,代表当前“用户"。这里的"用户"是一个抽象概念,不一定是具体的某个人,与当前应用交互的任何东西都

是一个Subject。


SecurityManager

  安全管理器,相当于SpringMVC中的DispatcherServlet前端控制器,是shiro的核心;所有具体的交互都通过

securityManager进行控制。

  每个subject都必须与一个securityManager进行绑定,我们访问subject对象其实都是在于securityManager的特

定subject进行交互;另外,securityManager还负责进行认证和授权、及会话、缓存的管理。


Realm

  Realm实质上是一个安全相关的DAO,充当shiro与应用安全数据间的桥梁,封装了数据源的连接细节,并在需要

时将相关数据提供给shiro,因此可以把它看成DataSource安全数据源。

  shiro从realm获取安全数据(如用户、角色、权限),也就是说如果securityManager要验证用户身份,它需要从

Realm获取相应的用户信息进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用

户是否能进行操作;


由此可以看出,shiro不提供维护用户/权限,而是通过Realm让开发人员自己注入。

也就是对我们而言,最简单的一个shiro应用

1、应用代码通过subject来进行认证和授权,而subject又委托给securityManager;

2、我们需要给shiro的securityManager注入Realm,从而让securityManager能得到合法的用户及其权限进行判断。


  通过以上两点,从某些角度或许我们可以简单地把它理解为是一种MVC的实现:subject是负责与外界交互的视图

层U层,securityManager是负责处理一系列操作的业务逻辑层B层,Realm是负责与数据库交互的数据访问层D层。


内部架构




  同上述说明类似,subject是应用代码交互的主体;securityManager典型的外观模式,是所有交互的核心;Realm

是安全实体数据源。

  需要注意的是,Realm是可插拔的可以有1个或多个,且支持多种实现:可以是JDBC实现,也可以是LDAP实现,或

者内存实现等等。shiro不知道你的用户、权限存储在哪及以何种格式存储,所以我们一般在应用中都需要实现自己

的Realm;


Authenticator

  对“Who are you ?”进行核实。通常涉及用户名和密码。负责收集principals 和 credentials,并将它们提交

给应用系统。如果提交的 credentials 跟应用系统中提供的 credentials吻合,就能够继续访问,否则需要重新提

交 principals 和 credentials,或者直接终止访问。


Authorizer

  身份份验证通过后,由这个组件对登录人员进行访问控制的筛查,比如“who can dowhat”, 或者“who can do

which actions”。Shiro 采用“基于 Realm”的方法,即用户(又称Subject)、用户组、角色和 permission 的聚

合体。

SessionManager

 session控制器,管理session的生命周期。shiro可以用在web、J2SE、EJB等很多环境,因此shiro抽象了一个自己

的session来管理主体与应用之间交互的数据。例如,一台web服务器,一台EJB服务器,我们想把两台服务器的会话

数据放到一个地方,这时候就可以实现自己的分布式会话,如把数据放到memcached服务器。

sessionDAO

  DAO我们都不陌生。比如我们想把session保存到数据库,可以实现自己的sessionDAO;如果想把session存

memcached中,那么可以实现自己的Memcached SessionDAO.

CacheManager

  缓存控制器,来管理如用户、角色、权限等的缓存。这些数据很少改变,放到缓存中后可以提高访问性能。可以

放在SessionDAO中使用。

Cryptography

密码模块,shiro提供了一些常见的加密组件用于如密码加密解密的。


由上可以看出,shiro既对外提供了简单易用的API,对内又可以扩展自己的实现,是一个很好的安全框架。


记住一点:shiro不会维护用户、维护权限;这些需要我们自己去设计提供,然后通过相应的接口注入给shiro即可。


爱吃黄瓜拉皮的小妞
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
shiro数据库设计 五张表
11-07
shiro权限框架数据库设计,附少量数据,仅供测试,非实际项目
shiro-example
05-24
2. **Shiro架构组件** - **Subject**:代表当前用户,是Shiro的核心,它封装了与安全相关的操作。 - **Realms**:提供认证和授权的具体实现,类似于数据源,从特定的数据存储(如数据库)中获取用户信息。 - **...
二十三、shiro安全框架详解(一)
kejizhentan的博客
01-02 1339
shiro权限框架详解第一部分
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2852
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
shiroFilter生命周期
祈祷之手
06-27 2143
基本说明 filter执行的是代理bean的id为shiroFilter相应的方法 接下来看看 shiroFilter 是什么 再来分析shiroFilter 这个实现了 javax.servlet.Filter 的生命周期 spring 配置信息 <bean id="shiroFilter" class="org.apache.shiro.spring.web.Shir...
我的NodeJS学习之路7(权限认证)
刘泽美的博客
02-07 2195
本文来介绍系统中用到的权限认证的知识。 首先简单介绍一下passportjs。 Passport做登录验证具有:灵活性、模块化、丰富的中间件等特点,更加详细的介绍请参考:http://idlelife.org/archives/808 如何在项目中使用passport? 注意:关于passport的配置信息要放置在app.js所有的路由请求上面,这样才能对所有的路由进行过滤。 1. 安装集成 ...
shiro资料shiro资料
04-26
`Apache_Shiro参考手册中文版`和`深入浅出学Shiro`这两本书籍将引导你逐步了解Shiro架构设计、核心组件的实现细节以及如何扩展Shiro以满足特定需求。通过阅读`shiro源码分析(pdf+word)`,你可以深入探究Shiro的...
springMVC+shiro简单demo
07-11
SpringMVC 和 Shiro 是两个在 Java Web 开发中广泛使用的框架,它们分别负责不同的职责。SpringMVC 是 Spring 框架的一部分,主要用于...对于学习和进阶,理解 SpringMVC 的组件协作和 Shiro 的安全模型是至关重要的。
java进阶提高学习教程-17后端技术.pptx
最新发布
10-30
Java进阶提高学习教程-17后端技术 Java作为一种流行的编程语言,在企业级应用开发中扮演着重要角色。本章节将深入探讨Java后端技术的发展历程、常用的框架技术、Spring与Spring Boot、模板Thymeleaf、ORM技术等内容...
online-shoppingweb
04-04
2. **MVC架构**:"online-shoppingweb"很可能采用了Model-View-Controller(MVC)设计模式,这是一种常见的Web应用程序架构,可以将业务逻辑、数据和用户界面分离,提高代码的可维护性和可扩展性。 3. **数据库交互...
shiro权限管理基本原理和实现的整理
StreamlineWq的博客
05-31 3971
shiro权限管理基本原理和实现的整理 引言:这两天学习了一个对权限管理的新的框架shiro,在这里做一个总结,既为了帮助有需要的人,也方便自己以后来回顾。 本篇文章主要针对下面几个关键点来说明: 1. shiro简介 2. 集成spring,快速搭建环境 3. shiro认证(即登录,重点) 4. shiro授权(重点) 5. shiro会话管理(Session) 6. shiro缓存(reme...
shiro无状态配置及demo
臣本布衣,躬耕于南阳
08-05 5416
<!-- Realm实现 --> <bean id="statelessRealm" class="com.tairanchina.account.secuity.StatelessRealm"> <property name="cachingEnabled" value="false"/> </bean...
Shiro-Realm
汪小哥
12-18 4642
Realm:域,Shiro 从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看 成DataSource , 即安全数据源。如我们之前的ini 配置方式将使用 org.apache.shiro
shiro基本配置
ksj_j的博客
01-21 1331
shiro:web配置 contextConfigLocation classpath:spring-shiro.xml 加载shiro配置文件 <!-- 这里的filter-name 要和spring 的applicationContext-shiro.xml 里的 org.apache.shiro.spring.web.ShiroFilterFa
Shiro基于组织机构的登录验证
weixin_33906657的博客
03-28 174
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro初体验(现在工作时间紧,以后有时间再仔细整理)
大气的名字
11-11 138
https://blog.csdn.net/sidanchen/article/details/79496589   https://blog.csdn.net/albertfly/article/details/79206385
Shiro的实现机制(源码解析)
夏牧子的博客
04-02 5749
文章目录什么是shiro? 什么是shiro? shiro
Shiro安全框架入门篇(登录验证实例详解与源码)
weixin_30838873的博客
02-03 3987
一、Shiro框架简单介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做...
第四节 Shiro核心知识之架构图交互和四大模块讲解
菜鸟联盟
08-24 294
1,简介:讲解Shiro架构图交互和四大核心模块 身份认证,授权,会话管理和加密 直达Apache Shiro官网http://shiro.apache.org/introduction.html 什么是身份认证 Authentication,身份证认证,一般就是登录 什么是授权 Authorization,给用户分配角色或者访问某些资源的权限 什么是会话管理 Session Management, 用户的会话管理员,多数情况下是web session .
shiro-spring-boot-starter
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值