Shiro learning - 入门学习 Shiro中的基础知识(1)

Shiro入门学习

一 、什么是Shiro?

  看一下官网对于 what is Shiro ? 的解释

  Apache Shiro (pronounced “shee-roh”, the Japanese word for ‘castle’) is a powerful and easy-to-use Java security framework (java安全管理框架)that performs authentication(认证), authorization (授权), cryptography (加密), and session management (会话管理)and can be used to secure any application - from the command line applications, mobile applications to the largest web and enterprise applications.

  通过官网的解释,我们可以获得一些信息。

  • Shiro是java安全管理框架
  • Shiro主要可以完成authentication(认证), authorization (授权), cryptography (加密), and session management (会话管理)
  • Shiro可以被用于任何应用,无论是web应用还是手机应用,命令行应用,还是企业应用。

Shiro基本功能图

 

  Shiro的功能不止只有认证,授权,加密,绘画管理。还包括缓存,与web集成等。

  总结: Shiro是一个基于java开源免费的安全管理框架,Shiro不仅可可以在JavaSE环境下使用,也可以在JavaEE环境下使用,Shiro 可以完成认证、认证、授权、加密、绘画管理、缓存、web集成等。

 

二、Spring Security 和 Shiro两者有什么区别呢?

  其实学习Shiro的时候,会很容易想起以前学过的另一种java安全管理框架,那就是Spring Security.

  • 根据时间线来说的话,Spring Security出现的更早。
  • Spring Security依赖Spring,但是Shiro不必依赖Spring,可选择范围广
  • Spring Security相对于Shiro来说,学习成本更高,更为复杂

  这些区别决定了Shiro是使用范围更广,更灵活。因此学习Shiro还是很有必要的。

三、Shiro功能学习

  • Authentication(认证)

  对用户的身份进行认证,判断用户是否有相应的身份。比如说,我输入用户名和密码后,验证我这个用户是否存在在数据库中。不存在那就代表,我没有”身份“。

  • Authorization (授权)

  到了授权这一步的时候,用户当然已经经过了上面的”认证“了。授权也也就是权限验证,验证用户是否有某个权限。

  比如我们访问某视频软件的VIP资源的时候,那么系统当然会验证我们是否有权限访问这个资源,这就是权限验证。因为每个系统的权限不一样,有可能这个系统某些资源是只能VIP访问,那个系统某些资源是只能管理员访问。存在多样性,那么关于权限验证的规则当然就需要程序员自己来完成了。

  • session manager (会话管理): 用户登录就是一次会话,会话存放着用户的信息直到用户退出。这里的Session Manager和Java 中的Session概念上没有任何关系。
  • Cryptography (加密): 加密,Shiro中提供了很多中加密的具体实现,比如MD5之类的。可以很好的保护数据的安全性
  • Web Support (Web 支持): Web 支持,可以非常容易的集成到Web 环境;
  • Caching (缓存): Shiro为了提高效率,还支持缓存。比如用户登录后,其用户信息不用每次去查,直接从缓存中获取
  • Concurrency (多线程): shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
  • Testing: 提供测试支持;
  • Run As: 允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
  • Remember Me: 记住我,一次登录后,下次再来的话不用登录了。但是必须注意的是,remember me 并不会记住用户的具体信息

四、Shiro框架学习

 

 

  • Subject

  Subject主体,是Shiro中的一个接口。Subject记录了当前操作用户

  • SecurityManager

    

  SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口。

  安全验证器,是Shiro的核心。用来管理所有Subject的安全认证。SecurityManager可以完成对Subject的认证和授权等。实际上是SecurityManager调用Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理。

 

  • realm

 

  Realm叫做领域,相当于是数据源。当使用SecurityManager对Subject进行安全管理认证的时候,就需要从Realm中获取用户的信息。 

  注意:不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码

  •  Authenticator

  Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。

  •  Authorizer

  Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。

posted @ 2018-11-26 16:12  amberbar  阅读(655)  评论(0编辑  收藏  举报