1.什么是Shiro
shiro是Apach的一个开源框架,是一个权限管理的框架,实现用户的认证,用户的授权。
spring中也有一个一个权限框架,原名叫Acegi,但是它和Spring依赖的非常紧密,没有shiro使用简单。shiro不以来spring,shiro不仅可以实现web的权限管理,也可以实现C/S或者分布式的权限管理,shiro是属于轻量级框架,越来越多的企业开始使用shiro。
使用shiro做权限管理,可以提高开发效率,从而降低开发成本。
2.shiro的架构
subject:主体,主要指用户或者程序。
subject 是shiro的一个接口,此接口主要包含了一些认证和授权的方法,而subject是用过Security Manage 安全管理器来进行认证和授权。
Security Manage 安全管理器:主体进行认证和授权都是通过这个Security Manage来进行,它管理了认证器和授权器。
Authentication :认证器,shiro内部其实是主体通过它来进行进行用户认证,
Authorizer:授权器,主体授权最终是通过这个Authorizer来进行授权的。
Session Manage :管理Session,在一般的B/S应用中都是通过web容器来管理Session的,这个Session Manage 是shiro 提供的一个Session 管理机制,那么Shiro为什么不用web容器的Session,非要自己定义一个Session Manage来进行Session管理,是因为使用Shiro做权限的不仅只有web应用。与之对于的有一个Session DAO
的存在。
Session DAO:通过Session DAO 管理Session数据,相当于在内存中写数据,针对个性化的Session数据存储需要使用到SessionDAO。
Cache Manage:缓冲管理器,主要是用来对Session数据和授权数据进行数据缓冲。因为在web应用中session就是存放在内存中的,同样shiro的sesssion机制中也提供将Session缓冲,这就是Cache Manage,可以将其与其他缓冲框架进行整合,例如 Ehcache。
Relam:相当于数据源,因为进行认证或者授权都需要查数据库,shiro都需要通过Realm存取认证和授权的相关数据。
注意:Authentication 和 Authorizer 认证和授权都是接口,他们有很多方法,其中就包含调用Realm来进行授权和认证。最终认证和授权的逻辑都会在自定义的Realm中进行实现。
cryptography: 密码管理, shiro提供的一套 散列 加密/解密 的组件,比如MD5,SHA。MD5没法解密,所以MD5属于散列加密。