优质文章,及时送达
前言
Shiro作为解决权限问题的常用框架,常用于解决认证、授权、加密、会话管理等场景。本文将对Shiro的认证和授权原理进行介绍:
Shiro可以做什么?、
Shiro是由什么组成的?
举个Shiro的例子呗?
Shiro认证的原理是咋样的?
Shiro授权的原理是咋样的?
1. Shiro可以做什么?
在构建一个网络应用的时候,权限检验管理作为非常重要的安全措施,需要包含以下几点:
- 用户认证— 用户身份识别。得知道来的人是谁;
- 用户授权— 用户权限访问控制。得知道来的人有没有资格进来,又不是“我家大门常打开”;
- 密码加密— 加密敏感数据,防止被偷窥。就像是家里上锁,上几把锁,原子锁还是电子锁?
- 会话管理— 与用户相关的时间敏感的状态信息。类似于阅后即焚的信件。
Shiro支持以上的功能,而且它提供的API可以帮助我们很容易就开发出足够好的应用。Shiro具备认证、授权、加密、会话管理、集成Web、缓存等功能,相当好用。
2. Shiro是由什么组成的?
下图是Shiro的架构图:
可以看出来,Security Manager是Shiro的核心,连认证、授权、会话管理等都是在这里面执行的。接下来我们来看看这些组件分别是做什么用的:
- Subject:主体,可以是用户或程序,主体可以访问Security Manager以获得认证、授权、会话等服务;
- Security Manager:安全管理器,主体所需的认证、授权功能都是在这里进行的,是Shiro的核心;
Authenticator:认证器,主体的认证过程通过Authenticator进行;
Authorizer:授权器,主体的授权过程通过Authorizer进行;
Session Manager:shiro的会话管理器,与web应用提供的Session管理分隔开;
Session DAO:通过Session DAO管理Session数据,针对个性化的Session数据存储,需要使用到Session DAO;
Cache Manager:缓存管理器,主要对Session和授权数据进行缓存。因为这些数据不怎么改变,为了提高访问速度选择将其缓存起来;
Realm:域,可以有一个或多个域,可通过Realm存储授权和认证的逻辑;
- Cryptography:密码管理,Shiro提供了一套加密/解密的组件,如MD5散列算法等。
3. 举个Shiro的例子呗?
笔者采用Shiro官网给的例子,来梳理Shiro认证、授权的过程:
shiro.ini
创建一个文件shiro.ini,其功用相当于Realm。shiro默认使用的也是IniRealm:
# =============================================================================
# Tutorial INI configuration
#
# Usernames/passwords are based on the classic Mel Brooks' film "Spaceballs" :)
# =============================================================================
# -----------------------------------------------------------------------------
# Users and their (optional) assigned roles
# username = password, role1, role2, ..., roleN
# -----------------------------------------------------------------------------
[users]
root = secret, admin
guest = guest, guest
presidentskroob = 12345, president
darkhelmet = ludicrousspeed, darklord, schwartz
lonestarr = vespa, goodguy, schwartz
# -----------------------------------------------------------------------------
# Roles with assigned permissions
# roleName = perm1, perm2, ..., permN
# -----------------------------------------------------------------------------
[roles]
admin = *
schwartz = lightsaber:*
goodguy = winnebago:drive:eagle5
在上面这串代码中,已经给出了用户和角色信息。root = secret, admin表示,用户名为root,密码是secret,角色是admin;**schwartz = lightsaber:**表示角色schwartz拥有权限lightsaber:。
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
public class Tutorial {
private static final transient Logger log = LoggerFactory.getLogger(Tutorial.class);
public static void main(String[] args) {
log.info("My First Apache Shiro Application");
//引用shiro.ini的配置信息
Factory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//获取SecurityManager安全管理器
SecurityManager securityManager = factory.getInstance;
SecurityUtils.setSecurityManager(securityManager);
// get the currently executing user:
//获取单签主体(用户)
Subject currentUser = SecurityUtils.getSubject;
// Do some stuff with a Session (no need for a web or EJB container!!!)
//获取当前主体的会话
Session session = currentUser.getSession;
session.setAttribute("someKey