Apache Shiro(一)——Shiro簡介
Apache Shiro官網:http://shiro.apache.org
Apache Shiro 是 Java 的一個安全(許可權)框架。Shiro 可以非常容易的開發出足夠好的應用,其不僅可以用在JavaSE 環境,也可以用在 JavaEE 環境。Shiro可以完成:認證、授權、加密、會話管理、與Web 整合、快取等功能。
功能簡介
Authentication:身份認證/登入,驗證使用者是不是擁有相應的身份;
Authorization:授權,即許可權驗證,驗證某個已認證的使用者是否擁有某個許可權;即判斷使用者是否能進行什麼操作,如:驗證某個使用者是否擁有某個角色。或者細粒度的驗證某個使用者對某個資源是否具有某個許可權;
Session Manager
Cryptography:加密,保護資料的安全性,如密碼加密儲存到資料庫,而不是明文儲存;
Web Support:Web 支援,可以非常容易的整合到Web 環境;
Caching:快取,比如使用者登入後,其使用者資訊、擁有的角色/許可權不必每次去查,這樣可以提高效率;
Concurrency:Shiro 支援多執行緒應用的併發驗證,即如在一個執行緒中開啟另一個執行緒,能把許可權自動傳播過去;
Testing:提供測試支援;
Run As:允許一個使用者假裝為另一個使用者(如果他們允許)的身份進行訪問;
Remember Me
Shiro 架構
Shiro 架構(Shiro外部來看)
從外部來看Shiro ,即從應用程式角度的來觀察如何使用 Shiro 完成工作:
Subject:應用程式碼直接互動的物件是 Subject,也就是說 Shiro 的對外API 核心就是 Subject。Subject 代表了當前“使用者”, 這個使用者不一定是一個具體的人,與當前應用互動的任何東西都是 Subject,如網路爬蟲,機器人等;與 Subject 的所有互動都會委託給 SecurityManager;Subject 其實是一個門面,SecurityManager 才是實際的執行者;
SecurityManager:安全管理器;即所有與安全有關的操作都會與SecurityManager 互動;且其管理著所有 Subject;可以看出它是 Shiro的核心,它負責與 Shiro 的其他元件進行互動,它相當於 SpringMVC 中DispatcherServlet 的角色;
Realm:Shiro 從 Realm 獲取安全資料(如使用者、角色、許可權),就是說SecurityManager 要驗證使用者身份,那麼它需要從 Realm 獲取相應的使用者進行比較以確定使用者身份是否合法;也需要從 Realm 得到使用者相應的角色/許可權進行驗證使用者是否能進行操作;可以把 Realm 看成 DataSource。
Shiro 架構(Shiro外部來看)
從內部來看,Shiro的架構如下圖所示:
Subject:任何可以與應用互動的“使用者”;
SecurityManager :相當於SpringMVC 中的 DispatcherServlet;是 Shiro 的心臟;所有具體的互動都通過 SecurityManager 進行控制;它管理著所有 Subject、且負責進行認證、授權、會話及快取的管理;
Authenticator:負責 Subject 認證,是一個擴充套件點,可以自定義實現;可以使用認證策略(Authentication Strategy),即什麼情況下算使用者認證通過了;
Authorizer:授權器、即訪問控制器,用來決定主體是否有許可權進行相應的操作;即控制著使用者能訪問應用中的哪些功能;
Realm:可以有 1 個或多個 Realm,可以認為是安全實體資料來源,即用於獲取安全實體的;可以是JDBC 實現,也可以是記憶體實現等等;由使用者提供;所以一般在應用中都需要實現自己的 Realm;
SessionManager:管理 Session 生命週期的元件;而 Shiro 並不僅僅可以用在 Web環境,也可以用在如普通的 JavaSE 環境;
CacheManager:快取控制器,來管理如使用者、角色、許可權等的快取的;因為這些資料基本上很少改變,放到快取中後可以提高訪問的效能;
Cryptography:密碼模組,Shiro 提高了一些常見的加密元件用於如密碼加密/解密。