Shiro简介

最新推荐文章于 2023-06-29 18:53:35 发布
最新推荐文章于 2023-06-29 18:53:35 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: cas 文章标签: shiro 框架 安全 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanghongjie0302/article/details/49280237
版权

    最近在做一个项目,很大的一个项目,授权这一部分由我负责,所以还是决定站在巨人的肩膀上,看看有没有安全框架。一下确实有很多,像springsecurity 3.x ,spring的acegi,apache shiro等等,前两个都是依赖于spring 的,而apache shiro是在开源社区比较火的一个框架,用的人也比较多,资料也很多,所以还是采用第三方的apache shiro。
那么我们就说一下什么是安全框架?
安全框架,包括了登录验证,用户授权… ,如果一个系统没有这些东西,那么将完成了的系统发布到网上,后果简直不可以想象。那么武我们的安全框架,说白了,就是保证咱们的系统的安全的,进入系统要进行登录验证,凭据通过以后,我们还要对用户进行授权,因为咱们的系统不可能所有的人都可以看到所有的所有的操作页面,应该更加的职责单一化。
    我们来看一下shiro框架,Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。这不就是我们想要的嘛,而且Shiro的API也是非常简单。
  
Subject
     Subject一词是一个安全术语,其基本意思是“当前的操作用户”。称之为“用户”并不准确,因为“用户”一词通常跟人相关。在安全领域,术语“Subject”可以是人,也可以是第三方进程、后台帐户(DaemonAccount)、定时作业(CornJob)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。
SecurityManager
    Subject的“幕后”推手是SecurityManager。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。它是Shiro框架的核心,充当“保护伞”,引用了多个内部嵌套安全组件,它们形成了对象图。但是,一旦SecurityManager及其内部对象图配置好,它就会退居幕后,应用开发人员几乎把他们的所有时间都花在SubjectAPI调用上。
一个应用几乎总是只有一个SecurityManager实例。它实际是应用的Singleton(尽管不必是一个静态Singleton)。跟Shiro里的几乎所有组件一样,SecurityManager的缺省实现是POJO,而且可用POJO兼容的任何配置机制进行配置- 普通的Java代码、SpringXML、YAML、.properties和.ini文件等。基本来讲,能够实例化类和调用JavaBean兼容方法的任何配置形式都可使用。
Realms
    Shiro的第三个也是最后一个概念是Realm。Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当与像用户帐户这类安全相关数据进行交互,执行认证(登录)和授权(访问控制)时,Shiro会从应用配置的Realm中查找很多内容。
从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现,象其他内部组件一样,由SecurityManager来管理如何使用Realms来获取安全的身份数据。

Shiro完整架构图: 
 
Authenticator:认证
认证就是核实用户身份的过程。对“Who are you ?”进行核实。通常涉及用户名和密码。
这个组件负责收集principals 和 credentials,并将它们提交给应用系统。如果提交的 credentials 跟应用系统中提供的 credentials吻合,就能够继续访问,否则需要重新提交 principals 和 credentials,或者直接终止访问。
 
Authorizer :授权
授权实质上就是访问控制。身份份验证通过后,由这个组件控制用户能够访问应用中的哪些内容,比如资源、Web页面等等。 
Shiro采用“基于 Realm”的方法,即用户(又称 Subject)、用户组、角色和permission 的聚合体。
 
SessionManager:
Shiro为任何应用提供了一个会话编程范式,保证了独立性,对容器没有依赖。所以,对于使用会话的应用开发来说,不必被迫使用Servlet或EJB容器了。或者,如果正在使用这些容器,现在也可以选择在任何层统一一致的使用会话API,取代Servlet或EJB机制。 
 
CacheManager:对Shiro的其他组件提供缓存支持。 

 

张宏杰
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
shiro用户动态权限、在线用户管理
n3387916的博客
08-30 1396
本文讲解如何对在线用户进行动态权限管理,用户无需退出登录即可实现动态权限
Apache Shiro 框架简介
01-11
一、什么是Shiro  Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:  认证 – 用户身份识别,常被称为用户“登录”; 授权 – 访问控制; 密码加密 – 保护或隐藏...
1 shiro简介.mp4
05-19
Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,在此分享给大家!
安全认证框架Shiro详解
weixin_46178852的博客
05-14 2400
1. RBAC权限设计模型1.1. RBAC模型关键元素1.1.1. 权限1.1.2. 用户1.1.3. 角色1.1.4. 组1.2. 关键元素关系图1.3. 设计权限表结构1.3.1. RBAC权限设计(传统5张表) 1. RBAC权限设计模型         基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。\
shiro框架 02使用shiro进行用户的认证和用户权限控制
qq_38757863的博客
06-29 352
instanceof是Java的一个保留关键字,左边是对象,右边是类,返回类型是Boolean类型。它的具体作用是测试左边的对象是否是右边类或者该类的子类创建的实例对象,是,则返回true,否则返回false。在此对象中定义相关方法,处理客户端的登陆请求,例如获取用户名,密码等然后提交该 shiro 框架进行认证。在用户数据层对象 SysUserDao 中,按特定条件查询用户信息,并对其进行封装。本模块的业务在 Realm 类型的对象中进行实现,我们编写 realm 时,要继承。
Springboot整合shiro:实现用户登录和权限验证
猪大肠的博客
08-25 5783
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。当然类型大家也可以使用spring security;因为我平时开发的项目都是中小型的,所以使用shiro对于业务来说已经够用了,那么下面是我整理的整合记录; 一、什么是Shiro 这里大家需要先认识一下它的三个重要的组件; 1.1、Subject 即当前的操作用户,就是当前登录的用户; 1.2、SecurityManager 该组件是用来管理所有的操作用户的安全操作 1.3、Realm 该组件需要我们自定义,主
Apache Shiro 使用手册(三)Shiro 授权
kdboy的专栏
08-23 343
授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。 如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等。 [size=large][b][color=darkblue]一、授权的三要素[/color][/b][/size] 授权有着三个核心元素:权限、角色和用户。 [color=darkblue][b]权限[/b...
关于用户,用户组,角色和权限
stardust_oak的专栏
11-05 4101
<br />1 一个用户只属于一个用户组<br />2 一个角色包含多个权限,<br />3 一个用户自身(非继承)可以有多个角色,也可以有多个权限<br />4 一个用户组可以有多个角色,也可以有多个权限<br />5 一个权限也可以属于多个角色。<br /><br />6 一个用户的角色和权限来自两部分,一部分继承于所有父用户组的角色和权限,另一部分来自特别为其分配的角色和权限<br />7 一个用户组可以排除(exclude)一个角色, 而一旦在其子用户组或者在某个用户身上加入(include)这个角
Shiro 的学习总结
Eaphy's Blog
04-28 3164
一个简单的shiro应用流程,就是通过Subject来进行认证和授权,而Subject又委托给SecurityManager,然后向SecurityManager注入Realm,从而让SecurityManager能得到合法的用户及其权限进行判断。 Subject :包含 principals(身份)、credentials(凭证)两部分;SecurityManager :它管理着所有Subject
尚硅谷Shiro视频教程
02-17
尚硅谷_Shiro_简介 · 02.尚硅谷_Shiro_HelloWorld · 03.尚硅谷_Shiro_集成 Spring · 04.尚硅谷_Shiro_工作流程(1) · 05.尚硅谷_Shiro_DelegatingFilterProxy · 06. 尚硅谷_Shiro_权限 URL 配置细节 · 07...
shiroweb案例
03-01
shiro安全框架集成web简介,用户初步了解shiro的简单案例
Mvc4单点登录之三Cas 客户端配置
01-23 8405
上一篇博客讲解了cas服务端的配置,这篇博客为大家讲一下cas 客户端的配置! 第一步建项目        自己新建一个mvc的项目。如图所示!             第二步添引用        将上一篇博客开头中让下载的文件,下载下来后,将dotnet-client-1.0.2-bin 文件中的 DotNetCasClient.dll文件复制到bin文件夹下,并添加DotNetC
Mvc4单点登录之一Cas简单介绍
01-23 4617
CAS从结构上看包括两部分,CAS Server为需要独立部署的 Web 应用,CAS Client 为非常多的客户端提供支持,这个客户端指单点登录系统中的各个 Web 应用,包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。 CAS 原理和协议 CAS Server 需要独立部署,主要负责对用户的认证工作;
单点登录之 Cas优化篇
07-28 4423
最近做高校云平台,因为在这套平台下有多个系统在一起运行着,各个系统间都有一定的联系,所以该云平台采用单点登录,采用的cas。但是当我们系统开发完成以后,在进行考试测试的时候,同时大约有300多人同时进行登陆,输入网址以后根本
Mvc4单点登录之二 Cas server端配置
01-23 3416
上一篇博客Mvc4单点登录之一Cas简单介绍简单的介绍了cas的工作原理!这篇文章介绍一下Cas Server端的配置。       首先要说明Cas server 是一个java程序,所以首先要确定你的电脑上安装了JDK, 并且安装了Tomcat 服务器,如果不会装的话,那么可以从网上查一下资料,一把一把的!例如,我将tomcat安装在了E:\apache-tomcat-7.0.52。
Mvc4单点登录之四 配置Cas服务端,返回更多的用户信息!
01-31 3253
.Net单点登录详解 (SSO) Mvc4单点登录之一Cas简单介绍 Mvc4单点登录之二 Cas server端配置            Mvc4单点登录之三Cas 客户端配置            前几篇博客大致的介绍了,cas的使用,在这篇博客当中,将为大家介绍一下如何配置服务端,让用户登录之后,返回更多的用户信息! 一、首先需
Apache Shiro是什么
最新发布
07-29
- *2* [Apache Shiro简介](https://blog.csdn.net/MIKE2333/article/details/120392611)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值