笔记整理自 b站 楠哥教你学Java
1. 什么是 Shiro
- Shiro 是一款主流的 Java 安全框架,不依赖任何容器,可以运行在 Java SE 和Java EE 项目中
- 主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作
- 总之,Shiro 就是用来解决安全管理的系统化框架
2. Shiro 核心组件
- UsernamePasswordToken :Shiro 用来封装用户登录信息,使用用户登录信息来创建令牌 Token
- SecurityManager :Shiro 的核心部分,负责安全认证和授权
- Subject :Shiro 的一个抽象概念,包含了用户信息
- Realm :开发者自定义模块,根据项目需求,验证和授权的逻辑全部写在 Realm 里面
- AuthenticationInfo :用户的角色信息集合,认证时使用
- AuthoritarianInfo :角色的权限信息集合,授权时使用
- 用户、角色、权限的关系:给角色赋予权限(一对多或一对一),给用户赋予角色(一对多或一对一)
- DefaultWebSecurityManager :安全管理器,开发者自定义的 Realm 需要注入到 DefaultWebSecurityManager 中进行管理才能生效
- ShiroFilterFactoryBean :过滤器工厂,Shiro 的基本运行机制是开发者制定规则,Shiro 去执行,具体的执行操作就是由 ShiroFilterFactoryBean 创建一个个 Filter 对象来完成
- Shiro 的运行机制如下图所示:
3. 整合 Shiro
集成 Shiro,pom 坐标:
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.5.3</version>
</dependency>