Shiro是什么?
shiro是Apache提供的一个强大且易用的Java安全框架,执行身份验证,授权、密码和会话管理。
优势:
使用shiro的易于理解的API,可以快速、轻松的获取任何应用程序。
Shiro特性以及理解:
Shiro特性及理解
Authentication : 身份认证/登录,验证用户是不是拥有相应的身份。
Authorization: 授权,即验证权限,验证某个已认证的用户是否拥有某个权限,即判断用户是否能做事情,常见的如:验证某个用户
是否拥有某个角色,或者细粒度的验证某个用户对某个资源是否有某个权限。
Session Management: 会话管理,即用户登录,就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通的javaSE环境,也可以是Web环境。
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support: Web支持,可以非常容易的集成到Web环境中
Caching: 缓存,比如用户登录后,其用户信息,拥有的角色/权限不必每次去查,提高效率。
Concurrency: Shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去
Testing: 提供测试支持
Run As: 允许一个用户假装为另一个用户(如果他们允许)的身份进行访问
Rember Me: 记住我,这是非常常见的功能,即一次登录后,下次再来的话不用登录了
Shiro核心三大组件:
Shiro框架的核心三大组件分别是:
Subject、 SecurityManager和Realms
Subject:
Subject 是与程序进行交互的对象,可以是人也可以是服务或者其他,通常就理解为用户
所有Subject实例都必须绑定到一个SecurityManager上。程序与一个Subject交互,运行时shiro会自动转化为
与SecurityManager交互的特定subject的交互
SecurityManager组件:
SecurityManager是Shiro的核心,初始化时协调各个模块运行。
一旦SecurityManager协调完毕, SecurityManager 会被单独留下, 且程序只需要去操作Subject即可,无需
操作SecurityManager。 当程序正与一个 Subject 进行交互时,实质上是SecurityManager在处理Subject安
全操作
SecurityManager是所有Subject的管理者,可以把它看做成是一个shiro框架的全局管理组件,用于调用各种
shiro框架的服务
Realms组件:
Realms在Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”
Realms获取安全数据来判断subject是否能够登录, Subject拥有什么权限
像其它组件一样, Realms也是由SecurityManager控制
Shiro完成工作的基本流程: