1.简述
Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证、权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。
官网地址:https://github.com/apache/shiro
Shiro的优点:
- 功能强大、 简单、灵活, 不跟任何的框架或者容器绑定,可以独立运行。
Shiro的缺点:
- 社区不灵活,本身并没有实现缓存,需自行实现。
Shiro特点:
- 易于理解的 Java Security API。
- 简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos,ActiveDirectory 等)。
- 对角色的简单的签权(访问控制),支持细粒度的签权。
- 支持一级缓存,以提升应用程序的性能。
- 内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境。
- 异构客户端会话访问。
- 非常简单的加密API。
- 不跟任何的框架或者容器捆绑,可以独立运行。
2.Shiro概要架构
Shiro架构包含三个主要的理念:
- Subject:主体对象,负责提交用户认证和授权信息。
- SecurityManager:安全管理器,负责认证,授权等业务实现。
- Realm:领域对象,负责从数据层获取业务数据。
3.Shiro详细架构
核心对象:认证管理对象、授权管理对象、会话管理对象、缓存管理对象、加密管理对象、realm管理对象(领域对象:负责处理认证和授权领域的数据访问问题)。
subject:与软件交互的一个特定实体(用户、第三方服务)。
SecurityManager(安全管理):Shiro的核心,用来协调管理组件工作。
Authenticator(认证管理):负责执行认证操作。
Authorizer(授权管理):负责执授权检测。
SessionManager(会话管理):负责创建并管理用户Session生命周期,提供一个强有力的Session体验。
SessionDAO:代表SessionManager执行Session持久(CRUD)动作,它允许任何存储的数据挂接到Session管理基础上。
CacheManager(缓存管理):提供创建缓存实例和管理缓存生命周期的功能。
Cryptography(加密管理):提供了加密方式的设计及管理。
Realms(领域对象):Shrio和应用程序安全数据之间的桥梁。
4.shiro认证过程
认证步骤说明:
- 首先调用Subject.login(token)进行登录,其会自动委托给SecurityManager,调用之前必须通过SecurityUtils.setSecurityManager()设置。
- SecurityManager负责真正的身份验证逻辑,它会委托给Authenticator进行身份验证。
- Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现。
- Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证。
- Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回或抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。
5.用户访问流程
