shiro(一)_架構介紹
阿新 • • 發佈:2019-02-12
一、什麼是Shiro
Apache Shiro是一個強大易用的Java安全框架,提供了認證、授權、加密和會話管理等功能:
二、Shiro的架構介紹
首先,來了解一下Shiro的三個核心元件:Subject, SecurityManager 和 Realms. 如下圖:
Subject:即“當前操作使用者”。但是,在Shiro中,Subject這一概念並不僅僅指人,也可以是第三方程序、後臺帳戶(Daemon Account)或其他類似事物。它僅僅意味著“當前跟軟體互動的東西”。但考慮到大多數目的和用途,你可以把它認為是Shiro的“使用者”概念。
Subject代表了當前使用者的安全操作,SecurityManager則管理所有使用者的安全操作。
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通過SecurityManager來管理內部元件例項,並通過它來提供安全管理的各種服務。
Realm: Realm充當了Shiro與應用安全資料間的“橋樑”或者“聯結器”。也就是說,當對使用者執行認證(登入)和授權(訪問控制)驗證時,Shiro會從應用配置的Realm中查詢使用者及其許可權資訊。
從這個意義上講,Realm實質上是一個安全相關的DAO:它封裝了資料來源的連線細節,並在需要時將相關資料提供給Shiro。當配置Shiro時,你必須至少指定一個Realm,用於認證和(或)授權。配置多個Realm是可以的,但是至少需要一個。
Shiro內建了可以連線大量安全資料來源(又名目錄)的Realm,如LDAP、關係資料庫(JDBC)、類似INI的文字配置資源以及屬性檔案等。如果預設的Realm不能滿足需求,你還可以插入代表自定義資料來源的自己的Realm實現。
Shiro完整架構圖:
除前文所講Subject、SecurityManager 、Realm三個核心元件外,Shiro主要元件還包括:
Authenticator :認證就是核實使用者身份的過程。這個過程的常見例子是大家都熟悉的“使用者/密碼”組合。多數使用者在登入軟體系統時,通常提供自己的使用者名稱(當事人)和支援他們的密碼(證書)。如果儲存在系統中的密碼(或密碼錶示)與使用者提供的匹配,他們就被認為通過認證。
Authorizer :授權實質上就是訪問控制 - 控制使用者能夠訪問應用中的哪些內容,比如資源、Web頁面等等。
SessionManager :在安全框架領域,Apache Shiro提供了一些獨特的東西:可在任何應用或架構層一致地使用Session API。即,Shiro為任何應用提供了一個會話程式設計正規化 - 從小型後臺獨立應用到大型叢集Web應用。這意味著,那些希望使用會話的應用開發者,不必被迫使用Servlet或EJB容器了。或者,如果正在使用這些容器,開發者現在也可以選擇使用在任何層統一一致的會話API,取代Servlet或EJB機制。
CacheManager :對Shiro的其他元件提供快取支援。
Apache Shiro是一個強大易用的Java安全框架,提供了認證、授權、加密和會話管理等功能:
- 認證 - 使用者身份識別,常被稱為使用者“登入”;
- 授權 - 訪問控制;
- 密碼加密 - 保護或隱藏資料防止被偷窺;
- 會話管理 - 每使用者相關的時間敏感的狀態。
對於任何一個應用程式,Shiro都可以提供全面的安全管理服務。並且相對於其他安全框架,Shiro要簡單的多。
二、為什麼選擇shiro
或許有人要問,我一直在使用 Spring,應用程式的安全元件早已選擇了 Spring Security,為什麼還需要 Shiro ?當然,不可否認 Spring Security 也是一款優秀的安全控制組件。本文的初衷不是讓您必須選擇 Shiro 以及必須放棄 Spring Security,秉承客觀的態度,下面對兩者略微比較:
- 簡單性,Shiro 在使用上較 Spring Security 更簡單,更容易理解。
- 靈活性,Shiro 可執行在 Web、EJB、IoC、Google App Engine 等任何應用環境,卻不依賴這些環境。而 Spring Security 只能與 Spring 一起整合使用。
- 可插拔,Shiro 乾淨的 API 和設計模式使它可以方便地與許多的其它框架和應用進行整合。Shiro 可以與諸如 Spring、Grails、Wicket、Tapestry、Mule、Apache Camel、Vaadin 這類第三方框架無縫整合。Spring Security 在這方面就顯得有些捉衿見肘。
二、Shiro的架構介紹
首先,來了解一下Shiro的三個核心元件:Subject, SecurityManager 和 Realms. 如下圖:
Subject:即“當前操作使用者”。但是,在Shiro中,Subject這一概念並不僅僅指人,也可以是第三方程序、後臺帳戶(Daemon Account)或其他類似事物。它僅僅意味著“當前跟軟體互動的東西”。但考慮到大多數目的和用途,你可以把它認為是Shiro的“使用者”概念。
Subject代表了當前使用者的安全操作,SecurityManager則管理所有使用者的安全操作。
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通過SecurityManager來管理內部元件例項,並通過它來提供安全管理的各種服務。
Realm: Realm充當了Shiro與應用安全資料間的“橋樑”或者“聯結器”。也就是說,當對使用者執行認證(登入)和授權(訪問控制)驗證時,Shiro會從應用配置的Realm中查詢使用者及其許可權資訊。
從這個意義上講,Realm實質上是一個安全相關的DAO:它封裝了資料來源的連線細節,並在需要時將相關資料提供給Shiro。當配置Shiro時,你必須至少指定一個Realm,用於認證和(或)授權。配置多個Realm是可以的,但是至少需要一個。
Shiro內建了可以連線大量安全資料來源(又名目錄)的Realm,如LDAP、關係資料庫(JDBC)、類似INI的文字配置資源以及屬性檔案等。如果預設的Realm不能滿足需求,你還可以插入代表自定義資料來源的自己的Realm實現。
Shiro完整架構圖:
除前文所講Subject、SecurityManager 、Realm三個核心元件外,Shiro主要元件還包括:
Authenticator :認證就是核實使用者身份的過程。這個過程的常見例子是大家都熟悉的“使用者/密碼”組合。多數使用者在登入軟體系統時,通常提供自己的使用者名稱(當事人)和支援他們的密碼(證書)。如果儲存在系統中的密碼(或密碼錶示)與使用者提供的匹配,他們就被認為通過認證。
Authorizer :授權實質上就是訪問控制 - 控制使用者能夠訪問應用中的哪些內容,比如資源、Web頁面等等。
SessionManager :在安全框架領域,Apache Shiro提供了一些獨特的東西:可在任何應用或架構層一致地使用Session API。即,Shiro為任何應用提供了一個會話程式設計正規化 - 從小型後臺獨立應用到大型叢集Web應用。這意味著,那些希望使用會話的應用開發者,不必被迫使用Servlet或EJB容器了。或者,如果正在使用這些容器,開發者現在也可以選擇使用在任何層統一一致的會話API,取代Servlet或EJB機制。
CacheManager :對Shiro的其他元件提供快取支援。