Shiro簡介

Apache Shiro是Java的一個安全框架。目前，使用Apache Shiro的人越來越多，因為它相當簡單，對比Spring Security，可能沒有Spring Security做的功能強大，但是在實際工作時可能並不需要那麼複雜的東西，所以使用小而簡單的Shiro就足夠了。對於它倆到底哪個好，這個不必糾結，能更簡單的解決專案問題就好了。

Shiro架構與功能介紹

1.認證與授權相關基本概念

兩個基本的概念

安全實體：系統需要保護的具體物件資料

許可權：系統相關的功能操作，例如基本的CRUD

Authentication：身份認證/登入，驗證使用者是不是擁有相應的身份；

Authorization：

Session Manager：會話管理，即使用者登入後就是一次會話，在沒有退出之前，它的所有資訊都在會話中；會話可以是普通JavaSE環境的，也可以是如Web環境的；

Cryptography：加密，保護資料的安全性，如密碼加密儲存到資料庫，而不是明文儲存；

Web Support：Web支援，可以非常容易的整合到Web環境；

Caching：快取，比如使用者登入後，其使用者資訊、擁有的角色/許可權不必每次去查，這樣可以提高效率；

Concurrency：shiro支援多執行緒應用的併發驗證，即如在一個執行緒中開啟另一個執行緒，能把許可權自動傳播過去；

Testing：提供測試支援；

Run As：允許一個使用者假裝為另一個使用者（如果他們允許）的身份進行訪問；

Remember Me：記住我，這個是非常常見的功能，即一次登入後，下次再來的話不用登入了。

2.Shiro四大核心功能:Authentication,Authorization,Cryptography,Session Management

Shiro架構

3.Shiro三個核心元件：Subject, SecurityManager 和 Realms.

Subject：主體，代表了當前“使用者”，這個使用者不一定是一個具體的人，與當前應用互動的任何東西都是Subject，如網路爬蟲，機器人等；即一個抽象概念；所有Subject都繫結到SecurityManager，與Subject的所有互動都會委託給SecurityManager；可以把Subject認為是一個門面；SecurityManager才是實際的執行者；

SecurityManager：安全管理器；即所有與安全有關的操作都會與SecurityManager互動；且它管理著所有Subject；可以看出它是Shiro的核心，它負責與後邊介紹的其他元件進行互動，如果學習過SpringMVC，你可以把它看成DispatcherServlet前端控制器；

Realm：域，Shiro從從Realm獲取安全資料（如使用者、角色、許可權），就是說SecurityManager要驗證使用者身份，那麼它需要從Realm獲取相應的使用者進行比較以確定使用者身份是否合法；也需要從Realm得到使用者相應的角色/許可權進行驗證使用者是否能進行操作；可以把Realm看成DataSource，即安全資料來源。

Spring Security簡介

Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反轉Inversion of Control ,DI:Dependency Injection 依賴注入）和AOP（面向切面程式設計）功能，為應用系統提供宣告式的安全訪問控制功能，減少了為企業系統安全控制編寫大量重複程式碼的工作。它是一個輕量級的安全框架，它確保基於Spring的應用程式提供身份驗證和授權支援。它與Spring MVC有很好地整合，並配備了流行的安全演算法實現捆綁在一起。安全主要包括兩個操作“認證”與“驗證”（有時候也會叫做許可權控制）。“認證”是為使用者建立一個其宣告的角色的過程，這個角色可以一個使用者、一個裝置或者一個系統。“驗證”指的是一個使用者在你的應用中能夠執行某個操作。在到達授權判斷之前，角色已經在身份認證過程中建立了。

它的設計是基於框架內大範圍的依賴的，可以被劃分為以下幾塊。

• Web/Http 安全：這是最複雜的部分。通過建立 filter 和相關的 service bean 來實現框架的認證機制。當訪問受保護的 URL 時會將使用者引入登入介面或者是錯誤提示介面。

• 業務物件或者方法的安全：控制方法訪問許可權的。

• AuthenticationManager：處理來自於框架其他部分的認證請求。

• AccessDecisionManager：為 Web 或方法的安全提供訪問決策。會註冊一個預設的，但是我們也可以通過普通 bean 註冊的方式使用自定義的 AccessDecisionManager。

• AuthenticationProvider：AuthenticationManager 是通過它來認證使用者的。

• UserDetailsService：跟 AuthenticationProvider 關係密切，用來獲取使用者資訊的。

Shiro和Spring Security比較

1. Shiro比Spring更容易使用，實現和最重要的理解

2. Spring Security更加知名的唯一原因是因為品牌名稱
   

3. “Spring”以簡單而聞名，但諷刺的是很多人發現安裝Spring Security很難

4. 然而，Spring Security卻有更好的社群支援
   

5. Apache Shiro在Spring Security處理密碼學方面有一個額外的模組

6. Spring-security 對spring 結合較好，如果專案用的springmvc ，使用起來很方便。但是如果專案中沒有用到spring，那就不要考慮它了。
   

7. Shiro 功能強大、且 簡單、靈活。是Apache 下的專案比較可靠，且不跟任何的框架或者容器繫結，可以獨立執行