多说一句,在学习shiro之前,我觉得应该先用 filter ,自己动手写过粗粒度的权限系统,而不要一上来就使用框架。
shiro简介
shiro系出名门Apache,是一个权限框架。- 可以在
javaSE、javaEE环境中使用。 shiro可以完成认证,授权,加密,会话管理,缓存等功能;- 与
spring security比较,不落下风,更胜一筹,胜在简洁易用,胜在不依赖任何框架,spring security依赖于spring,但是spring security可以控制粒度更细。。。
功能介绍
-
Authentication登陆/身份认证在登陆的时候,验证某个用户是否拥有相应的身份,也就是是否是系统的使用人员;
-
Authorization授权/权限认证验证某个已经认证通过,成功登陆的用户,是否拥有某个权限,一般是判断该身份拥有的角色的权限;
-
Session Manger会话管理用户登陆以后,在没有退出之前,用户的所有信息都保存在会话中,如果是在
WEB环境中,则是HttpSession,如果实在JavaSE环境中,则是由shiro提供的session; -
Cryptography加密对数据进行加密。比如讲密码加密存进数据库里面;
-
Web Support Web支持Web支持,很容易的集成到Web环境中 ; -
Caching缓存用户登录以后,对其信息,比如角色/权限信息进行缓存,下次再用的时候,不用再去查数据库,可以提供效率 ;
-
Concurrency多线程认证Shiro支持多线程的并发认证,即一个线程中开启另外一个线程,可以将权限传播过去 ; -
Testing提供测试支持;
-
Run As允许一个用户伪装成另外一个用户的身份进行访问,如果允许的话 ;
-
Remember Me记住我,成功登陆一次以后,下次不再需要登陆 ;
从外部看 Shiro 架构
-
Application Code即应用程序代码 ;
-
Subject与应用程序代码直接交互的对象就是
Subject,代表当前用户 ,在shiro看来,任何东西,只要你与应用程序代码进行交互了,就把你看做是一个Subject,不管你是具体的人,还是只是爬虫,统统都看作Subject。Subject其实像一个对外暴露接口一样,只是门面,任何具体的操作,都交给了后面的SecurityManager; -
SecurityManager安全管理器,所有安全相关的操作,都会与它进行交互,比如认证、授权等功能;
它是
Subject背后的大BOSS,管理所有的Subject,也是整个Shiro的中央枢纽,类比于springMvc的 前端控制器;。连接
Subject与Realm,负责与Shiro的其他组件进行交互 ; -
RealmSecurityManager下面务实的小弟,整个Shiro需要获取权限、身份等安全数据的时候,都需要从Realm这里获取,它可以看着是一个 数据源 ;
从内部看 Shiro 架构
-
Subject任何与应用进行交互的存在
-
SecurityManagerShiro的话事人,中央枢纽,负责进行认证、授权、会话、缓存等功能 ; -
Authenticator负责对
Subject进行认证,内部可以自定义认证策略(Authentication Strategy) ; -
Authorizer授权器,对
Subject进行权限的判定 ,判断是否拥有某个权限; -
Realm安全数据的来源,可以拥有多个
Realm,可以从内存中获取,也可以从数据库获取,由使用者进行提供,因此一般在应用需要实现自己的Realm; -
SessionManager管理
Session的生命周期; -
CacheManager缓存控制器,管理缓存的安全数据,比如用户的角色、权限等信息
-
Cryptography
密码模块,Shiro 提供了常见的加密组件;