Shiro -- (一)簡介

簡介:前端

  Apache Shiro 是一個強大易用的 Java 安全框架,提供了認證、受權、加密和會話管理等功能,對於任何一個應用程序,Shiro 均可以提供全面的安全管理服務。而且相對於其餘安全框架,Shiro 要簡單的多。數據庫

 

 

Authentication:身份認證 / 登陸,驗證用戶是否是擁有相應的身份;緩存

Authorization:受權,即權限驗證,驗證某個已認證的用戶是否擁有某個權限;即判斷用戶是否能作事情,常見的如:驗證某個用戶是否擁有某個角色。或者細粒度的驗證某個用戶對某個資源是否具備某個權限;安全

Session Manager:會話管理,即用戶登陸後就是一次會話,在沒有退出以前,它的全部信息都在會話中;會話能夠是普通 JavaSE 環境的,也能夠是如 Web 環境的;服務器

Cryptography:加密,保護數據的安全性,如密碼加密存儲到數據庫,而不是明文存儲;網絡

Web Support:Web 支持,能夠很是容易的集成到 Web 環境;多線程

Caching:緩存,好比用戶登陸後,其用戶信息、擁有的角色 / 權限沒必要每次去查,這樣能夠提升效率;架構

Concurrency:shiro 支持多線程應用的併發驗證,即如在一個線程中開啓另外一個線程,能把權限自動傳播過去;併發

Testing:提供測試支持;框架

Run As:容許一個用戶僞裝爲另外一個用戶(若是他們容許)的身份進行訪問;

Remember Me:記住我,這個是很是常見的功能,即一次登陸後,下次再來的話不用登陸了。

記住一點,Shiro 不會去維護用戶、維護權限;這些須要咱們本身去設計 / 提供;而後經過相應的接口注入給 Shiro 便可。

從應用程序角度的來觀察如何使用 Shiro 完成工做:

 

 

能夠看到:應用代碼直接交互的對象是 Subject,也就是說 Shiro 的對外 API 核心就是 Subject;其每一個 API 的含義:

Subject:主體,表明了當前 「用戶」,這個用戶不必定是一個具體的人,與當前應用交互的任何東西都是 Subject,如網絡爬蟲,機器人等;即一個抽象概念;全部 Subject 都綁定到 SecurityManager,與 Subject 的全部交互都會委託給 SecurityManager;能夠把 Subject 認爲是一個門面;SecurityManager 纔是實際的執行者;

SecurityManager:安全管理器;即全部與安全有關的操做都會與 SecurityManager 交互;且它管理着全部 Subject;能夠看出它是 Shiro 的核心,它負責與後邊介紹的其餘組件進行交互,若是學習過 SpringMVC,你能夠把它當作 DispatcherServlet 前端控制器;

Realm:域,Shiro 從從 Realm 獲取安全數據(如用戶、角色、權限),就是說 SecurityManager 要驗證用戶身份,那麼它須要從 Realm 獲取相應的用戶進行比較以肯定用戶身份是否合法;也須要從 Realm 獲得用戶相應的角色 / 權限進行驗證用戶是否能進行操做;能夠把 Realm 當作 DataSource,即安全數據源。

也就是說對於咱們而言,最簡單的一個 Shiro 應用:

  1. 應用代碼經過 Subject 來進行認證和受權,而 Subject 又委託給 SecurityManager;

  2. 咱們須要給 Shiro 的 SecurityManager 注入 Realm,從而讓 SecurityManager 能獲得合法的用戶及其權限進行判斷。

從以上也能夠看出,Shiro 不提供維護用戶 / 權限,而是經過 Realm 讓開發人員本身注入。

接下來咱們來從 Shiro 內部來看下 Shiro 的架構,以下圖所示:

Subject:主體,能夠看到主體能夠是任何能夠與應用交互的 「用戶」;

SecurityManager:至關於 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher;是 Shiro 的心臟;全部具體的交互都經過 SecurityManager 進行控制;它管理着全部 Subject、且負責進行認證和受權、及會話、緩存的管理。

Authenticator:認證器,負責主體認證的,這是一個擴展點,若是用戶以爲 Shiro 默認的很差,能夠自定義實現;其須要認證策略(Authentication Strategy),即什麼狀況下算用戶認證經過了;

Authrizer:受權器,或者訪問控制器,用來決定主體是否有權限進行相應的操做;即控制着用戶能訪問應用中的哪些功能;

Realm:能夠有 1 個或多個 Realm,能夠認爲是安全實體數據源,即用於獲取安全實體的;能夠是 JDBC 實現,也能夠是 LDAP 實現,或者內存實現等等;由用戶提供;注意:Shiro 不知道你的用戶 / 權限存儲在哪及以何種格式存儲;因此咱們通常在應用中都須要實現本身的 Realm;

SessionManager:若是寫過 Servlet 就應該知道 Session 的概念,Session 呢須要有人去管理它的生命週期,這個組件就是 SessionManager;而 Shiro 並不只僅能夠用在 Web 環境,也能夠用在如普通的 JavaSE 環境、EJB 等環境;全部呢,Shiro 就抽象了一個本身的 Session 來管理主體與應用之間交互的數據;這樣的話,好比咱們在 Web 環境用,剛開始是一臺 Web 服務器;接着又上了臺 EJB 服務器;這時想把兩臺服務器的會話數據放到一個地方,這個時候就能夠實現本身的分佈式會話(如把數據放到 Memcached 服務器);

SessionDAO:DAO 你們都用過,數據訪問對象,用於會話的 CRUD,好比咱們想把 Session 保存到數據庫,那麼能夠實現本身的 SessionDAO,經過如 JDBC 寫到數據庫;好比想把 Session 放到 Memcached 中,能夠實現本身的 Memcached SessionDAO;另外 SessionDAO 中可使用 Cache 進行緩存,以提升性能;

CacheManager:緩存控制器,來管理如用戶、角色、權限等的緩存的;由於這些數據基本上不多去改變,放到緩存中後能夠提升訪問的性能

Cryptography:密碼模塊,Shiro 提升了一些常見的加密組件用於如密碼加密 / 解密的。

相關文章
相關標籤/搜索