本篇基于:二、Sprinboot 整合 beetl 模板引擎
shiro是什么?
Shiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、密码学和会话管理。使用Shiro易于理解的API,您可以快速且轻松地保护任何应用程序——从最小的移动应用程序到最大的web和企业应用程序。
Shiro提供了应用程序安全API来执行以下方面(我喜欢将其称为应用程序安全性的4个基石:
Authentication——证明用户身份,通常称为用户登录。
Authorization——访问控制
Cryptography——保护或隐藏数据
Session Management——会话管理。管理用户特定的会话
Shiro还支持一些辅助功能,如web应用程序安全性、单元测试和多线程支持,但这些功能的存在是为了加强上述四个主要关注点。
认证:
身份验证是验证用户身份的过程。也就是说,当用户使用一个应用程序进行身份验证时,他们就会证明他们实际上就是他们所说的那个人。这有时也被称为“登录”。这通常是一个三步骤的过程。
- 收集用户的识别信息,称为主体,以及支持身份证明,称为凭证。
- 向系统提交主体和凭证。
- 如果提交的凭证与系统期望的用户标识(主体)相匹配,则用户被认为是经过身份验证的
授权:
授权本质上是访问控制——控制您的用户在您的应用程序中可以访问的内容,例如资源、web页面等。大多数用户通过使用诸如角色和权限之类的概念来执行访问控制。也就是说,用户通常被允许做一些事情,而不是根据分配给他们的角色和/或权限。然后,您的应用程序可以根据这些角色和权限的检查控制哪些功能被公开。正如您所期望的,Subject API允许您很容易地执行角色和权限检查。
会话管理:
Apache Shiro在安全框架的世界中提供了一些独特的东西:在任何应用程序和任何架构层中都可以使用一致的会话API。也就是说,Shiro为任何应用程序提供了会话编程范式——从小型的守护程序独立应用程序到最大的集群web应用程序。这意味着,如果希望使用会话的应用程序开发人员不再需要使用Servlet或EJB容器,如果他们不需要的话
域:
shiro和应用程序的权限数据之间的桥梁,为shiro提供安全数据。 SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。
Subject (org.apache.shiro.subject.Subject)
与应用交互的主体,例如用户,第三方应用等。
SecurityManager (org.apache.shiro.mgt.SecurityManager)
SecurityManager是shiro的核心,负责整合所有的组件,使他们能够方便快捷完成某项功能。例如:身份验证,权限验证等。
Authenticator (org.apache.shiro.authc.Authenticator)
认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了。
Authorizer (org.apache.shiro.authz.Authorizer)
来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能。
SessionManager (org.apache.shiro.session.mgt.SessionManager)
会话管理。
SessionDAO (org.apache.shiro.session.mgt.eis.SessionDAO)
数据访问对象,对session进行CRUD。
CacheManager (org.apache.shiro.cache.CacheManager)
缓存管理器。创建和管理缓存,为 authentication, authorization 和 session management 提供缓存数据,避免直接访问数据库,提高效率。
Cryptography (org.apache.shiro.crypto.*)
密码模块,提供加密组件。
Realms (org.apache.shiro.realm.Realm)
可以有1个或多个Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC实现,也可以是LDAP实现,或者内存实现等等;由用户提 供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm。