文章目录
Shiro安全框架
Shiro是什么
Shiro是Java的一个安全框架。是一个功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证、授权、加密机会话管理等功能。使用Shiro就可以非常快速的完成认证、授权等功能的开发。
具体流程图如下:
Shiro简要架构
Shiro架构包含三个主要的理念,如图所示:
其中:
1.Subject:主体对象,负责提交用户认证和授权信息。
2.SecurityManager:安全管理器,负责认证,授权等业务的实现。
3.Realm:领域对象,负责从数据层获取业务数据。
Shiro详细架构
Shiro进行授权管理是,要涉及到一些核心对象,主要包括:认证管理对象,授权管理对象,会话管理对象,缓存管理对象,加密管理对象以及Realm管理对象(领域对象:负责处理认证和授权领域的数据访问)等,其具体架构如图:
其中:
- Subject(主体):与软件交互的一个特定的实体(用户、第三方服务等)。
- SecurityManager(安全管理器) :Shiro 的核心,用来协调管理组件工作。
- Authenticator(认证管理器):负责执行认证操作。
- Authorizer(授权管理器):负责授权检测。
- SessionManager(会话管理):负责创建并管理用户 Session 生命周期,提供一个强有力的 Session 体验。
- SessionDAO:代表 SessionManager 执行 Session 持久(CRUD)动作,它允许任何存储的数据挂接到 session 管理基础上。
- CacheManager(缓存管理器):提供创建缓存实例和管理缓存生命周期的功能。
- Cryptography(加密管理器):提供了加密方式的设计及管理。
- Realms(领域对象):是shiro和你的应用程序安全数据之间的桥梁。
认证管理器(Authenticator)
认证流程分析:
1.用户发送登录按钮后,系统调用subject的login方法将用户提交的信息交给securityManager。
2.SecurityManager将认证操作委托给认证管理器对象Authenticator。
3.Authenticator将用户输入的身份信息传递给Realm领域对象。
4.Realm访问数据库获取用户信息然后对信息进行封装并返回。
5.Authenticator对realm返回的信息进行身份认证。
授权管理器(Authorizer)
授权流程分析:
1.系统调用subject相关方法将用户信息(例如isPermitted)递交给SecurityManager。
2.SecurityManager将权限检测操作委托给Authorizer对象。
3.Authorizer将用户信息传递给realm。
4.Realm访问数据库获取权限信息缤纷封装。
5.Authorizer对用户授权信息进行判定。
缓存管理器(CacheManager)
当我们进行授权操作时,每次都会从数据库查询用户权限信息,为了提高授权性能,可以将用户权限信息查询出来以后进行缓存,下次授权时从缓存取数据即可。
实现该功能需要进行相关的操作配置,具体配置自行完成。
对于shiro框架而言,还可以借助第三方缓存产品,如redis,对用户的权限信息进行cache操作。
Shiro记住我
调用UsernamePasswordToken对象里的setRememberMe方法,参数设置为true,需要在配置类
UsernamePasswordToken token=
new UsernamePasswordToken(username, password);
token.setRememberMe(true);
**new** UsernamePasswordToken(username, password);
token.setRememberMe(true);