Shiro -- (一)簡介

簡介：

　　Apache Shiro 是一個強大易用的 Java 安全框架，提供了認證、受權、加密和會話管理等功能，對於任何一個應用程序，Shiro 均可以提供全面的安全管理服務。而且相對於其餘安全框架，Shiro 要簡單的多。

 

 

Authentication：身份認證 / 登陸，驗證用戶是否是擁有相應的身份；

Authorization：受權，即權限驗證，驗證某個已認證的用戶是否擁有某個權限；即判斷用戶是否能作事情，常見的如：驗證某個用戶是否擁有某個角色。或者細粒度的驗證某個用戶對某個資源是否具備某個權限；

Session Manager：會話管理，即用戶登陸後就是一次會話，在沒有退出以前，它的全部信息都在會話中；會話能夠是普通 JavaSE 環境的，也能夠是如 Web 環境的；

Cryptography：加密，保護數據的安全性，如密碼加密存儲到數據庫，而不是明文存儲；

Web Support：Web 支持，能夠很是容易的集成到 Web 環境；

Caching：緩存，好比用戶登陸後，其用戶信息、擁有的角色 / 權限沒必要每次去查，這樣能夠提升效率；

Concurrency：shiro 支持多線程應用的併發驗證，即如在一個線程中開啓另外一個線程，能把權限自動傳播過去；

Testing：提供測試支持；

Run As：容許一個用戶僞裝爲另外一個用戶（若是他們容許）的身份進行訪問；

Remember Me：記住我，這個是很是常見的功能，即一次登陸後，下次再來的話不用登陸了。

記住一點，Shiro 不會去維護用戶、維護權限；這些須要咱們本身去設計 / 提供；而後經過相應的接口注入給 Shiro 便可。

從應用程序角度的來觀察如何使用 Shiro 完成工做：

 

 

能夠看到：應用代碼直接交互的對象是 Subject，也就是說 Shiro 的對外 API 核心就是 Subject；其每一個 API 的含義：

Subject：主體，表明了當前 「用戶」，這個用戶不必定是一個具體的人，與當前應用交互的任何東西都是 Subject，如網絡爬蟲，機器人等；即一個抽象概念；全部 Subject 都綁定到 SecurityManager，與 Subject 的全部交互都會委託給 SecurityManager；能夠把 Subject 認爲是一個門面；SecurityManager 纔是實際的執行者；

SecurityManager：安全管理器；即全部與安全有關的操做都會與 SecurityManager 交互；且它管理着全部 Subject；能夠看出它是 Shiro 的核心，它負責與後邊介紹的其餘組件進行交互，若是學習過 SpringMVC，你能夠把它當作 DispatcherServlet 前端控制器；

Realm：域，Shiro 從從 Realm 獲取安全數據（如用戶、角色、權限），就是說 SecurityManager 要驗證用戶身份，那麼它須要從 Realm 獲取相應的用戶進行比較以肯定用戶身份是否合法；也須要從 Realm 獲得用戶相應的角色 / 權限進行驗證用戶是否能進行操做；能夠把 Realm 當作 DataSource，即安全數據源。

也就是說對於咱們而言，最簡單的一個 Shiro 應用：

1. 應用代碼經過 Subject 來進行認證和受權，而 Subject 又委託給 SecurityManager；

2. 咱們須要給 Shiro 的 SecurityManager 注入 Realm，從而讓 SecurityManager 能獲得合法的用戶及其權限進行判斷。

從以上也能夠看出，Shiro 不提供維護用戶 / 權限，而是經過 Realm 讓開發人員本身注入。

接下來咱們來從 Shiro 內部來看下 Shiro 的架構，以下圖所示：

Subject：主體，能夠看到主體能夠是任何能夠與應用交互的 「用戶」；

SecurityManager：至關於 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher；是 Shiro 的心臟；全部具體的交互都經過 SecurityManager 進行控制；它管理着全部 Subject、且負責進行認證和受權、及會話、緩存的管理。

Authenticator：認證器，負責主體認證的，這是一個擴展點，若是用戶以爲 Shiro 默認的很差，能夠自定義實現；其須要認證策略（Authentication Strategy），即什麼狀況下算用戶認證經過了；

Authrizer：受權器，或者訪問控制器，用來決定主體是否有權限進行相應的操做；即控制着用戶能訪問應用中的哪些功能；

Realm：能夠有 1 個或多個 Realm，能夠認爲是安全實體數據源，即用於獲取安全實體的；能夠是 JDBC 實現，也能夠是 LDAP 實現，或者內存實現等等；由用戶提供；注意：Shiro 不知道你的用戶 / 權限存儲在哪及以何種格式存儲；因此咱們通常在應用中都須要實現本身的 Realm；

SessionManager：若是寫過 Servlet 就應該知道 Session 的概念，Session 呢須要有人去管理它的生命週期，這個組件就是 SessionManager；而 Shiro 並不只僅能夠用在 Web 環境，也能夠用在如普通的 JavaSE 環境、EJB 等環境；全部呢，Shiro 就抽象了一個本身的 Session 來管理主體與應用之間交互的數據；這樣的話，好比咱們在 Web 環境用，剛開始是一臺 Web 服務器；接着又上了臺 EJB 服務器；這時想把兩臺服務器的會話數據放到一個地方，這個時候就能夠實現本身的分佈式會話（如把數據放到 Memcached 服務器）；

SessionDAO：DAO 你們都用過，數據訪問對象，用於會話的 CRUD，好比咱們想把 Session 保存到數據庫，那麼能夠實現本身的 SessionDAO，經過如 JDBC 寫到數據庫；好比想把 Session 放到 Memcached 中，能夠實現本身的 Memcached SessionDAO；另外 SessionDAO 中可使用 Cache 進行緩存，以提升性能；

CacheManager：緩存控制器，來管理如用戶、角色、權限等的緩存的；由於這些數據基本上不多去改變，放到緩存中後能夠提升訪問的性能

Cryptography：密碼模塊，Shiro 提升了一些常見的加密組件用於如密碼加密 / 解密的。