- Shiro实现有限制的访问
- 轻量级的安全框架
Shiro 是 apache 旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架,使用 shiro 就可以非常快速的完成认证、授权等功能的开发,降低系统成本。
用户资源访问控制,流程分析:
在概念层,Shiro 架构包含三个主要的理念: Subject,SecurityManager 和
Realm。
Subject是一个主体就是用户身份的一个象征 他可以是一段程序
比如说我们刷脸做指纹认证都叫subject
SecurityManager 叫做安全管理器
我们通过subject这个对象把用户的权限信息和要认证的身份信息交给我们的安全管理器SecurityManager
SecurityManager 可以通过内部的组件完成相应的授权他有认证管理器还有授权管理器
做认证的时候一部分数据应该是页面上提交的数据另一部分是从数据库查出来的数据 如果有权限则授权访问 没有就不让访问
从数据库取到的数据是从Realm中获取
Subject负责提交数据
Realm需要自己写 其他的不用改
引入shiro
- 说说 shiro 的核心组件
通过 Shiro 框架进行权限管理时,要涉及到的一些核心对象,主要包括: 认证管理对象,授权管理对象,会话管理对象,缓存管理对象,加密管理对象以及 Realm 管理对象(领域对象:负责处理认证和授权领域的数据访问题)
- Subject(主体):与软件交互的一个特定的实体(用户、第三方服务等)。
- SecurityManager(安全管理器) :Shiro 的核心,用来协调管理组件工作。
- Authenticator(认证管理器):负责执行认证操作
- Authorizer(授权管理器):负责授权检测
- SessionManager(会话管理):负责创建并管理用户 Session 生命周期,提供一个强有力的 Session 体验。
- SessionDAO:代表 SessionManager 执行 Session 持久(CRUD)动作, 它允许任何存储的数据挂接到 session 管理基础上。
- CacheManager(缓存管理器):提供创建缓存实例和管理缓存生命周期的功能
- Cryptography(加密管理器):提供了加密方式的设计及管理。
- Realms(领域对象):是 shiro 和你的应用程序安全数据之间的桥梁。
- 说说 shiro 的认证流程
身份认证:判定用户是否是系统的合法用户。
用户访问系统资源时的认证(对用户身份信息的认证)流程如下:
具体流程分析如下:
1)系统调用 subject 的 login 方法将用户信息提交给 SecurityManager 2)SecurityManager 将认证操作委托给认证器对象 Authenticator 3)Authenticator 将身份信息传递给 Realm。
- Realm 访问数据库获取用户信息然后对信息进行封装并返回。
- Authenticator 对 realm 返回的信息进行身份认证。
- 说说 shiro 的授权流程
授权:对用户资源访问的授权(是否允许用户访问此资源) 用户访问系统资源时的授权流程如下:
系统调用 subject 相关方法将用户信息( 例如 isPermitted) 递交给SecurityManager- SecurityManager 将权限检测操作委托给 Authorizer 对象
- Authorizer 将 用 户 信 息 委 托 给 realm. 4)Realm 访问数据库获取用户权限信息并封装。
5) Authorizer 对用户授权信息进行判定。