Shiro的核心概念
核心类
整体类图如下图所示:
| 类名 | 作用 |
|---|---|
| Authentication | 身份认证,也就是登录,验证用户是不是拥有相应的身份 |
| Authorization | 授权,也就是权限验证,验证某个已认证的用户是否拥有某个权限 |
| Session Manager | 会话管理,就是用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话当中 |
| Cryptography | 加密,保护数据的安全性 |
| Web Support | Web 的支持,可以非常容易的集成到 Web环境 |
| Caching | 缓存,比如用户登录后的用户信息、拥有的角色和权限不必每次去查,这样可以提高效率 |
| Concurrency | Shiro 支持 多线程应用 的并发验证,如在一个线程中开启另一个线程,能把权限自动传播过去 |
| Testing | 提供了测试的支持 |
| Run As | 允许一个用户假装为另一个用户(如果他们允许)的身份进行访问 |
| Remember Me | 记住我,这个是非常常见的功能,即一次登录之后,下次再来的话就不用在登录了 |
主要概念
Subject
当前的操作用户,可以是人,爬虫,当前正在跟软件交互的东西,在 Shiro 当中我们可以统称 Subject 为 "用户" 在代码的任何地方,你都能轻易的获得 Shiro Subject,一旦获得 Subject,你就可以立即获得你希望用 Shiro 为当前用户做的 90% 的事情,也就是说你就可以使用 Shiro 为当前的用户做 90% 的事情了,登录、退出、访问会话、执行授权检查等。
SecurityManager
SecurityManager 则管理所有用户的安全操作,引用了多个内部嵌套的安全组件,是 Shiro 框架的核心,你可以把它看成是一个 DispatcherServlet 前端控制器,用于调度各种 Shiro 框架的服务
Realms
Realms 则是用户的信息认证器和用户的权限认证器,执行认证(登录)和授权(访问控制)时,Shiro 会从应用配置的 Realm 中查找很多内容,Realm 可以理解为读取用户信息、角色及权限的 DAO,SecurityManager 要验证用户的身份与权限,那么它需要从 Realm 中获取相应的信息进行比较来确定用户的身份是否合法,可以把 Realm 看成 DataSource,安全数据源。
Shiro的架构
| 组件名 | 作用 |
|---|---|
| Subject(主体) | 主体可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权才可以进行访问 |
| SecurityManager(安全管理器) | 对主体进行认证和授权都是通过 SecurityManager 进行的 |
| Authenticator(认证器) | 主体进行认证最终通过 Authenticator 来进行认证的 |
| Authorizer(授权器) | 主体进行授权最终通过 Authenticator 来进行授权的 |
| SessionManager(会话管理) | Web 应用中一般是用 Web容器对 Session 进行管理,Shiro 也提供了一套Session管理的方式 |
| SessionDao | 通过 SessionDao 管理 Session数据 |
| CacheManager(缓存管理器) | 主要对 Session 和授权数据进行缓存,比如将授权数据通过 CacheManager 进行缓存管理,和 Ehcache 整合对缓存数据进行管理 |
| Realm(领域) | 相当于数据源,通过 Realm 存取认证、授权相关的数据 |
| Cryptography(密码管理) | 提供了一套加密和解密的组件,方便开发,比如提供常用的散列、加密和解密等功能 |
