一、首先什么是Shiro?
Shiro是JAVA世界中新近出现的权限框架,较之JAAS和Spring Security,Shiro在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势。
shiro是apache下面的一个开源项目,下面是其网站上对其的一段说明:
Apache Shiro is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.
弱弱的翻译一下:apache shiro是一个强大且易于使用的java安全框架,使 用它可以进行
1:认证
2:鉴权
3:加密
4:会话管理
通过shiro简单易懂的api,可以简单快速的为任何应用程序提供安全保护。
二、Apache shiro 能做什么?
支持认证跨一个或多个数据源(LDAP,JDBC,kerberos身份等)
执行授权,基于角色的细粒度的权限控制。
增强的缓存的支持。
支持web或者非web环境,可以在任何单点登录(SSO)或集群分布式会话中 使用。
主要功能是:认证,授权,会话管理和加密。
三、Shiro 主要有四个组件
·SecurityManager
典型的 Facade,Shiro 通过它对外提供安全管理的各种服务。 ·
Authenticator
对“Who are you ?”进行核实。通常涉及用户名和密码。
这 个组件负责收集 principals 和 credentials,并将它们提交给应用系 统。如果提交的 credentials 跟应用系统中提供的 credentials 吻合,就能够 继续访问,否则需要重新提交 principals 和 credentials, 或者直接终止访 问。 ·
Authorizer
身份份验证通过后,由这个组件对登录人员进行访问控制的筛查,比如 “who can do what”, 或者“who can do which actions”。 Shiro 采用“基于 Realm”的方法,即用户(又称 Subject)、用户组、角 色和 permission 的聚 合体。 ·
Session Manager
这个组件保证了异构客户端的访问,配置简单。它是基于 POJO/J2SE 的,不跟任何的客户端或者协议绑定。
四、Shiro运行原理
Application Code:应用程序代码,就是我们自己的编码,如果在程序中需 要进行权限控制,需要调用Subject的API. Subject:主体,代表的了当前用户。所有的Subject都绑定到 SecurityManager,与Subject的所有交互都会委托给SecurityManager,可以将 Subject当成一个门面,而真正执行者是SecurityManager.
SecurityManage:安全管理器,所有与安全有关的操作都会与 SecurityManager交互,并且它管理所有的Subject.
Realm:域 shiro是从Realm来获取安全数据(用户,角色,权限)。就是 说 SecurityManager 要验证用户身份, 那么它需要从 Realm 获取相应的用户进行比较以确定 用户身份是否合法;也需要从 Realm 得到用户相应的角色/权限进行验证用户 是否能进行操作; 可以把 Realm 看成 DataSource,即安全数据源
五、Shiro为程序共提供了四种权限控制方式
url级别权限控制
方法注解权限控制
代码级别权限控制
页面标签权限控制