1、Shiro簡介

【1】什么是Shiro?

Shiro是apache旗下一個開源框架，它將軟件系統的安全認證相關的功能抽取出來，實現用戶身份認證，權限授權、加密、會話管理等功能，組成了一個通用的安全認證框架。

【2】Shiro 的特點

Shiro 是一個強大而靈活的開源安全框架，能夠非常清晰的處理認證、授權、管理會話以及密碼加密。如下是它所具有的特點：

· 易于理解的 Java Security API;

· 簡單的身份認證(登錄)，支持多種數據源(LDAP，JDBC 等);

· 對角色的簡單的簽權(訪問控制)，也支持細粒度的鑒權;

· 支持一級緩存，以提升應用程序的性能;

· 內置的基于 POJO 企業會話管理，適用于 Web 以及非 Web 的環境;

· 異構客戶端會話訪問;

· 非常簡單的加密 API;

· 不跟任何的框架或者容器捆綁，可以獨立運行。

2、核心組件

Shiro架構圖

·Subject

Subject主體，外部應用與subject進行交互，subject將用戶作為當前操作的主體，這個主體：可以是一個通過瀏覽器請求的用戶，也可能是一個運行的程序。Subject在shiro中是一個接口，接口中定義了很多認證授相關的方法，外部程序通過subject進行認證授，而subject是通過SecurityManager安全管理器進行認證授權。

·SecurityManager

SecurityManager權限管理器，它是shiro的核心，負責對所有的subject進行安全管理。通過SecurityManager可以完成subject的認證、授權等，SecurityManager是通過Authenticator進行認證，通過Authorizer進行授權，通過SessionManager進行會話管理等。SecurityManager是一個接口，繼承了Authenticator, Authorizer, SessionManager這三個接口。

·Authenticator

Authenticator即認證器，對用戶登錄時進行身份認證

·Authorizer

Authorizer授權器，用戶通過認證器認證通過，在訪問功能時需要通過授權器判斷用戶是否有此功能的操作權限。

·Realm(數據庫讀取+認證功能+授權功能實現)

Realm領域，相當于datasource數據源，securityManager進行安全認證需要通過Realm獲取用戶權限數據

比如：

如果用戶身份數據在數據庫那么realm就需要從數據庫獲取用戶身份信息。

注意：

不要把realm理解成只是從數據源取數據，在realm中還有認證授權校驗的相關的代碼。

·SessionManager

SessionManager會話管理，shiro框架定義了一套會話管理，它不依賴web容器的session，所以shiro可以使用在非web應用上，也可以將分布式應用的會話集中在一點管理，此特性可使它實現單點登錄。

·SessionDAO

SessionDAO即會話dao，是對session會話操作的一套接口

比如:

可以通過jdbc將會話存儲到數據庫；也可以把session存儲到緩存服務器。

·CacheManager

CacheManager緩存管理，將用戶權限數據存儲在緩存，這樣可以提高性能。

·Cryptography

Cryptography密碼管理，shiro提供了一套加密/解密的組件，方便開發。比如提供常用的散列、加/解密等功能。


猜你喜歡

什么是權限管理?權限管理有哪些分類?

用戶身份認證流程

系統權限授權和授權邏輯流程

Java高級軟件工程師課程