前言:第一次知道shiro是2016年夏天,做项目时候我要写springmvc的拦截器,申哥看到后,说这个不安全,就给我捣鼓了shiro,我就看了下,从此认识了shiro。此笔记是根据网上的视频教程记录的,shiro的文档感觉不是很好,所以结合老师的讲课和文档,感觉条理更清晰些。以便日后查阅
shiro:Shiro是一个基于java的开源的安全管理框架。
Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等可用于javase和javaee,还可用于分布式集群环境。
在java的世界中,安全管理框架有spring security 和shiro。Spring security要依赖于spring,并且比较复杂,学习曲线比较高。而shiro较简单和独立。
Shiro结构体系:
shiro有很多名词需要记忆:
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
Cryptography:加密,提供了一些常见的加密算法,在应用中很方便的实现数据安全。使用也很便捷。
Web Support:Web支持,可以非常容易的集成到Web环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;支持多种缓存架构,如ehcache,还支持缓存数据库如redis
Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
注意:Shiro不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过相应的接口注入给Shiro即可。
shiro架构:
执行流程,通俗的说:
Subject接口是shiro对外提供的一个接口,用户或者应用程序把身份和凭证信息传递给Subject,而Subject又委托给SecurityManager(安全管理器),SecurityManager拿到subject的信息,调用对应的认证器(Authenticator),授权器(Authorizer)、session管理器。Authenticator和Authorizer去调用下边的realm(域),和外界的数据源、数据库进行交互,来获取需要的数据。从而让SecurityManager能得到合法的用户及其权限进行判断。
再来一波名词:
Subject:主体,可以是用户,也可以是第三方程序等,subject用户获取主体信息,身份和凭证信息。
SecurityManager:安全管理器,安全管理器是shiro架构的核心。由其协调管理shiro各个组件之间的工作。
Authenticator:认证器,负责验证用户的身份
Authorizer:授权器,负责为合法的用户指定其权限。控制用户可以访问哪些资源。
Realms: 域(一个或多个)
用户通过shiro来完成相关的安全工作。shiro是不会去维护数据信息的,在shiro的工作过程中,数据的查询和获取是通过realm从不同的数据源获取的,可以是JDBC实现,也可以是LDAP实现,或者内存实现等等;由用户提供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm;
至此,shiro简介完毕。接下来学习shiro