Apache Shiro (一)

  参考博客: http://jinnianshilongnian.iteye.com/blog/2018398

1、shiro简介

  Apache shiro 是一个JAVA框架,可用于身份难和授权。shiro基本功能如下:

    身份验证、授权、会话管理、加密、web支持、caching、concurrency(shiro支持多线程应用的并发难,即如在一个线程中开启另一个线程,能把权限自动传播过去)、Testing(提供测试支持)、Run As(允许一个用户假装为另一个用户的身份进行访问)、Remember Me:记住我。

    eg: Shiro不会维护用户、维护权限;这些需要我们自己去设计/提供;然后通过相应的接口注入给Shiro

  好的框架:从外部看应该具有非常简单易于使用的API,且API契约明确;从内部来看的话,其应该有一个可扩展的架构,即非常容易插入用户自定义实现,因为任何构架都不能满足需要。

  谁使用Shiro--》应用程序。从应用程序的角度来说Shiro。交互使用subject(主体),Realm(域),SecurityManager(安全管理器)。通俗一些的话,subject是行政部门与外界联系,Realm是整个公司的业务数据,工作主要由公司的核心部门(SecurityManager)支持。

  eg:最简单的一个Shiro应用:

    1. 应用代码通过Subject来进行认证和授权,而Subject又委托给SecurityManger;

    2.我们需要给Shiro的SecurityManager注入Realm,从而让SecurityManger能得到合法的用户及其权限进行判断。

  shrio 不提供维护用户权限,而是通过Realm让开发人员自己注入。

  Shiro如何工作--》Security Manager 如何与其他组件交互的?

    Authenticator(认证器):需要认证策略,可以自定义。

    Realm(数据源):可以有一个或多个。安全实体数据源.JDBC,LDAP,内存等。由用户提供。eg:Shiro不知道你的用户/权限存储在哪以及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm;

    SessionManager(会话管理):Shrio抽象一个自己的Session来管理主体与应用之间交互的数据;这样的话,比如我们在WEB环境用,刚开始是一台WEB服务器;接着又上了台EJB服务器;这时想把两台服务器的会话数据放在一个地方,这个时候就可以实现自己的分布式会话了(如把数据放到Memcached服务器)

    SessionDao:写到数据库。想把session 放到 memcached中,可以实现自己的Memcached SessionDao;另外SessionDAO可以使用Cache进行缓存,以提高性能;

     cacheMember:缓存控制器.

    Cryptography:密码模块.

    总结:shiro就是使用subject与外界进行联系。用户通过Realm写入控制的授权用户与权限。shiro使用SecurityManger通过与其内部的其他组件的交互实现功能的。

时间: 2024-10-27 16:59:12

Apache Shiro (一)的相关文章

Apache Shiro 使用手册(一)Shiro架构介绍

一.什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户"登录": 授权 - 访问控制: 密码加密 - 保护或隐藏数据防止被偷窥: 会话管理 - 每用户相关的时间敏感的状态. 对于任何一个应用程序,Shiro都可以提供全面的安全管理服务.并且相对于其他安全框架,Shiro要简单的多. 二.Shiro的架构介绍 首先,来了解一下Shiro的三个核心组件:Subject. Security

在 Web 项目中应用 Apache Shiro

Apache Shiro 是功能强大并且容易集成的开源权限框架,它能够完成认证.授权.加密.会话管理等功能.认证和授权为权限控制的核心,简单来说,"认证"就是证明你是谁? Web 应用程序一般做法通过表单提交用户名及密码达到认证目的."授权"即是否允许已认证用户访问受保护资源.关于 Shiro 的一系列特征及优点,很多文章已有列举,这里不再逐一赘述,本文重点介绍 Shiro 在 Web Application 中如何实现验证码认证以及如何实现单点登录. 用户权限模型

拦截404页面时tomcat抛出异常: org.apache.shiro.UnavailableSecurityManagerException

404页面中包含shiro标签,当访问404页面时,抛出异常: 原因:shiro拦截器配置缺少 标红部分,缺少红色部分导致在serverlet在拦截404页面的时候没有经过shiro  从而使shiro标签解析失败引发错误. <filter-mapping>    <filter-name>shiroFilter</filter-name>    <url-pattern>/*</url-pattern> <dispatcher>RE

Apache Shiro系列(1)

Apache Shiro是啥呢,安全框架. 360百科是这么描述的:        Apache Shiro(日语"堡垒(Castle)"的意思)是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用.移动应用到大型网络及企业应用. Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API: 认证 - 用户身份识别,常被称为用户"登录"; 授权 - 访问控制; 密码加密 - 保护或隐

Apache Shiro 使用手册(二)Shiro 认证

认证就是验证用户身份的过程.在认证过程中,用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法.最常见的"实体/凭证"组合便是"用户名/密码"组合. 一.Shiro认证过程 1.收集实体/凭据信息 Java代码   //Example using most common scenario of username/password pair: UsernamePasswordToken token = new Userna

Apache Shiro系列四:Shiro的架构

Shiro的设计目标就是让应用程序的安全管理更简单.更直观. 软件系统一般是基于用户故事来做设计.也就是我们会基于一个客户如何与这个软件系统交互来设计用户界面和服务接口.比如,你可能会说:“如果用户登录了我们的系统,我就给他们显示一个按钮,点击之后可以查看他自己的账户信息.如果没有登录,我就给他显示一个注册按钮.” 上述应用程序在很大程度上是为了满足用户的需求而编写的,即便这个“用户”不是人,而是一个其他的软件系统.你仍然是按照谁当前正在与你的系统交互的逻辑来编写你的逻辑代码. Shiro的设计

Apache Shiro学习笔记(九)Spring集成

鲁春利的工作笔记,好记性不如烂笔头 Integrating Apache Shiro into Spring-based Applications Shiro 的组件都是JavaBean/POJO 式的组件,所以非常容易使用Spring进行组件管理,可以非常方便的从ini配置迁移到Spring进行管理,且支持JavaSE应用及Web 应用的集成. Web Applications 1.web.xml <!-- The filter-name matches name of a 'shiroFil

Caused by: java.lang.ClassNotFoundException: org.apache.shiro.spring.LifecycleBeanPostProcessor

1.错误描述 Caused by: java.lang.ClassNotFoundException: org.apache.shiro.spring.LifecycleBeanPostProcessor at org.codehaus.plexus.classworlds.strategy.SelfFirstStrategy.loadClass(SelfFirstStrategy.java:50) at org.codehaus.plexus.classworlds.realm.ClassRe

Apache shiro(4)-缓存

shiro的可以权限控制内容包括:URL地址.Web页面的元素.以及方法,即shiro对用户权限的控制是细粒度的.从用户的一次访问来说,他可能需要最多经过三种.多次的验证.这里的多次怎么说呢?如果说Web页面的有10个元素加了Shiro标签,则一个页面的加载就需要10次验证.一句话:Shiro验证用户权限的频率很高,即访问数据库取得用户权限信息的频率很高.同时,用户的权限信息,是基本稳定的.很明显,这样的情景需要--缓存. shiro对缓存的支持 shiro并没有实现缓存的功能,shiro的缓存

SpringMVC+Apache Shiro+JPA(hibernate)整合配置

序: 关于标题: 说是教学,实在愧不敢当,但苦与本人文笔有限,实在找不到更合理,谦逊的词语表达,只能先这样定义了. 其实最真实的想法,只是希望这个关键词能让更多的人浏览到这篇文章,也算是对于自己写文章的一个肯定吧.^_^! 关于内容: 再写这系列文章之前,本人和许多人一样都是伸手党,并深深的了解咱伸手党且英文较差的朋友对于新知识的学习及获取中文资料少的痛苦.所以本着"取之于民,共享与民"的原则,记录下实际工作中对SpringMVC+Shiro整合应用的部分心得.本人技术水平有限,仅希望