原文装载自:https://www.cnblogs.com/maofa/p/6407102.html 非常感谢作者
一、Shiro 简介
springmvc 整合 shiro,shiro 是一个强大易用的 Java 安全框架,提供认证、授权、加密和会话管理等功能。
1、定义
- Authentication:身份认证/登录,验证用户身份的合法性
- Authorization:授权,即权限验证,判断用户是佛拥有相应权限,或者是某个用户是否拥有某个角色
- SecurityManager:会话管理,用户每登录一次就是一次会话
- Cryptography:加密,保护数据的安全性,密码加密保存到数据库,而不是明文存储
- Web Support: Web 支持
- Caching:缓存,可以提高运行效率
- Concurrency:shiro 支持多线程应用的并发验证
- Testing:测试支持
- Run As:允许一个用户假装另一个用户的身份进行访问
- Remenber Me:记住用户名和密码
2、Shiro 是如何完成工作的
应用程序直接交互的对象是 Subject,Shiro 的对外 API 核心就是 Subject:每个 API 的含义:
- Subject:主体,代表了当前用户,所有的 Subject 都绑定到 SecurityManager,SecurityManager 是实际执行者
- SecurityManager:安全管理器,所有的安全操作都会与 SecurityManager 交互,管理着所有的 Subject,是 Shiro 的核心,负责与其他后边介绍的组件进行交互,类似于 SpringMVC 中的 DispatcherServlet 前端控制器
- Realm:域,Shiro 从 Realm 虎丘安全数据(如用户、角色、权限),就是说 SecurityManager要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源
Shiro 架构:
- Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”
- SecurityManager:相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher;是 Shiro的心脏;所有具体的交互都通过 SecurityManager 进行控制;它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理
- Authenticator:认证器,负责主体认证,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了
- Anthorizer:授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能
- Realm:可以有 1 个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是 JDBC 实现,也可以是 LDAP 实现,或者内存实现等等;由用户提供;注意:Shiro 不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的 Realm
- SessionManager:会话管理器,想把两台服务器的会话数据放到一个地方,这个时候就可以实现自己的分布式会话(如把数据放到 Memcached 服务器)
- SessionDAO:DAO 大家都用过,数据访问对象,用于会话的 CRUD,比如我们想把 Session 保存到数据库,那么可以实现自己的 SessionDAO,通过如 JDBC 写到数据库;比如想把 Session 放到 Memcached 中,可以实现自己的 Memcached SessionDAO;另外 SessionDAO 中可以使用 Cache 进行缓存,以提高性能
- CacheManager:缓存管理器,来管理用户、角色、权限等的缓存;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能
- Cryptography:密码模块