参考博客: http://jinnianshilongnian.iteye.com/blog/2018398
1、shiro简介
Apache shiro 是一个JAVA框架,可用于身份难和授权。shiro基本功能如下:
身份验证、授权、会话管理、加密、web支持、caching、concurrency(shiro支持多线程应用的并发难,即如在一个线程中开启另一个线程,能把权限自动传播过去)、Testing(提供测试支持)、Run As(允许一个用户假装为另一个用户的身份进行访问)、Remember Me:记住我。
eg: Shiro不会维护用户、维护权限;这些需要我们自己去设计/提供;然后通过相应的接口注入给Shiro
好的框架:从外部看应该具有非常简单易于使用的API,且API契约明确;从内部来看的话,其应该有一个可扩展的架构,即非常容易插入用户自定义实现,因为任何构架都不能满足需要。
谁使用Shiro--》应用程序。从应用程序的角度来说Shiro。交互使用subject(主体),Realm(域),SecurityManager(安全管理器)。通俗一些的话,subject是行政部门与外界联系,Realm是整个公司的业务数据,工作主要由公司的核心部门(SecurityManager)支持。
eg:最简单的一个Shiro应用:
1. 应用代码通过Subject来进行认证和授权,而Subject又委托给SecurityManger;
2.我们需要给Shiro的SecurityManager注入Realm,从而让SecurityManger能得到合法的用户及其权限进行判断。
shrio 不提供维护用户权限,而是通过Realm让开发人员自己注入。
Shiro如何工作--》Security Manager 如何与其他组件交互的?
Authenticator(认证器):需要认证策略,可以自定义。
Realm(数据源):可以有一个或多个。安全实体数据源.JDBC,LDAP,内存等。由用户提供。eg:Shiro不知道你的用户/权限存储在哪以及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm;
SessionManager(会话管理):Shrio抽象一个自己的Session来管理主体与应用之间交互的数据;这样的话,比如我们在WEB环境用,刚开始是一台WEB服务器;接着又上了台EJB服务器;这时想把两台服务器的会话数据放在一个地方,这个时候就可以实现自己的分布式会话了(如把数据放到Memcached服务器)
SessionDao:写到数据库。想把session 放到 memcached中,可以实现自己的Memcached SessionDao;另外SessionDAO可以使用Cache进行缓存,以提高性能;
cacheMember:缓存控制器.
Cryptography:密码模块.
总结:shiro就是使用subject与外界进行联系。用户通过Realm写入控制的授权用户与权限。shiro使用SecurityManger通过与其内部的其他组件的交互实现功能的。