Apache Shiro 是java平台下的一个 安全框架。对比 Spring Security ,Apache Shiro简单好用。Spring Security相对复杂,但是实际工作中并不需要那么复杂的东西。所以使用 Shiro 的人也越来越多了。
1,Shiro能做什么?
①验证用户来核实他们的身份
②对用户进行访问控制
③在任何环境下使用 Session API,即使没有 Web 或 EJB 环境
④聚集一个或多个 用户安全数据 的数据源,并作为一个单一的 复合用户 “视图”
⑤启用单点登录(SSO)登录
⑥为没有登录的用户启用“Remember me”服务
⑦为登录用户启用“Run As...”服务
Authentication : 身份认证/登录。验证用户身份。
Authorization : 授权/权限验证。验证已认证用户是否拥有某个权限或角色。
Session Manager : 会话管理。会话可以是普通 JavaSE 环境,也可以是 JavaWeb 环境。Shiro内部实现了一套Session会话机制,在Web环境下默认使用Servlet容器的实现。
Cryptography : 加密,如密码加密。
Web Support : Web支持,可以非常容易的集成到Web环境。
Caching : 缓存支持。缓存认证用户的权限/角色信息。
Concurrency : shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限/角色自动传递过去。
Tesing:提供测试支持。
Run As:允许一个用户伪装为另一个用户(如果他们允许)的身份进行访问。
Remember Me : 记住我,即一次登陆后,下次再来的话不需要登陆。
2,Shiro是如何工作的?
①从外部来看Shiro的工作流程
Subject:主体,代表了当前登录用户
SecurityManager:安全管理器,Shiro核心组件。管理着所有Subject,并且所有安全相关的操作都会与该组件进行交互。
Realm : 域,Shiro 从 Realm 中获取安全数据(用户,角色,权限),也就是说SecurityManager要验证用户身份,那么它必须从 Realm 中获取相应的数据进行比较以确定登录用户的身份是否合法。可以把 Realm 看成是 DataSource,即安全数据源。
注意:Shiro不会维护用户/权限角色等信息,而是通过 Realm 让开发人员自己去注入。
②从内部来看Shiro的工作流程
Authenticator : 认证器,负责Subject的认证,这是一个扩展点,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了。
Authrizer : 授权器,或称访问控制器,用来决定Subject是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能。
SessionDAO : DAO嘛,数据访问对象,用户会话的CRUD。可以自定义自己的 SessionDAO,通过JDBC将写到数据库,或者写到Redis缓存中。
CacheManager : 缓存控制器,管理用户,角色,权限等数据的缓存;因为这些数据基本上很少去改变,放到缓存中可以提高访问的性能。
