shiro 是一个功能强大和易于使用的Java安全框架,为开发人员提供一个直观而全面的解决方案的认证,授权,加密,会话管理
1、shiro主要的功能
三个核心组件:Subject, SecurityManager 和 Realms.
Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
2、shiro 的其它几个特点
• Web Support:Web支持,可以非常容易的集成到Web环境;
• Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
• Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
• Testing:提供测试支持;
• Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
• Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
3、shiro的架构
其中:
• Subject:主体,相当与是请求过来的"用户"
• SecurityManager: 是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行拦截并控制;它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理
• Authenticator:认证器,负责主体认证的,即确定用户是否登录成功,我们可以使用 Shiro 提供的方法来认证,有可以自定义去实现,自己判断什么时候算是用户登录成功
• Authrizer:授权器,即权限授权,给 Subject 分配权限,以此很好的控制用户可访问的资源
• Realm:一般我们都需要去实现自己的 Realm ,可以有1个或多个 Realm,即当我们进行登录认证时所获取的安全数据来源(帐号/密码)
• SessionManager:为了可以在不同的环境下使用 session 功能,shiro 实现了自己的 sessionManager ,可以用在非 web 环境下和分布式环境下使用
• SessionDAO:对 session 的 CURD 操作
• CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;
• Cryptography:密码模块,Shiro提高了一些常见的加密组件用于如密码加密/解密的。
4、shiro 的主要功能 - 身份认证
1 Subject 认证
身份认证就是在应用中谁能证明他就是他本人,一般会使用用户名和密码作为认证信息。
2 Subject 认证主体
Subject 认证主体包含两个信息:
• Principals:身份,即用户名
• Credentials:凭证,即密码
3 认证流程
认证流程
- 用户发送请求进行 Subject 认证(调用 subject.login(token))
- SecurityManager 会去 Authenticator(认证器)中查找相应的 Realms(可能不止一个)源
- Realms 可以根据不同类型的 Realm 中去查找用户信息,并进行判断是否认证成功
5、shiro的使用场景
Shiro作为一个完善的权限框架,可以应用在多种需要进行身份认证和访问授权的场景,例如:
(1). 在独立应用中使用shiro
(2). 在web应用中使用shiro
(3). 在spring框架中集成shiro
1957
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
