凯少

  博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理
Apache Shiro 是java平台下的一个 安全框架。对比 Spring Security ,Apache Shiro简单好用。Spring Security相对复杂,但是实际工作中并不需要那么复杂的东西。所以使用 Shiro 的人也越来越多了。
 
1,Shiro能做什么?
     ①验证用户来核实他们的身份
     ②对用户进行访问控制
     ③在任何环境下使用 Session API,即使没有 Web 或 EJB 环境
     ④聚集一个或多个 用户安全数据 的数据源,并作为一个单一的 复合用户 “视图”
     ⑤启用单点登录(SSO)登录
     ⑥为没有登录的用户启用“Remember me”服务
     ⑦为登录用户启用“Run As...”服务
  

     

     Authentication : 身份认证/登录。验证用户身份。
     Authorization : 授权/权限验证。验证已认证用户是否拥有某个权限或角色。
     Session Manager : 会话管理。会话可以是普通 JavaSE 环境,也可以是 JavaWeb 环境。Shiro内部实现了一套Session会话机制,在Web环境下默认使用Servlet容器的实现。
     Cryptography : 加密,如密码加密。
     Web Support : Web支持,可以非常容易的集成到Web环境。
     Caching : 缓存支持。缓存认证用户的权限/角色信息。
     Concurrency : shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限/角色自动传递过去。
     Tesing:提供测试支持。
     Run As:允许一个用户伪装为另一个用户(如果他们允许)的身份进行访问。
     Remember Me : 记住我,即一次登陆后,下次再来的话不需要登陆。
 
 
2,Shiro是如何工作的?
     ①从外部来看Shiro的工作流程
  
          Subject:主体,代表了当前登录用户
          SecurityManager:安全管理器,Shiro核心组件。管理着所有Subject,并且所有安全相关的操作都会与该组件进行交互。
          Realm : 域,Shiro 从 Realm 中获取安全数据(用户,角色,权限),也就是说SecurityManager要验证用户身份,那么它必须从 Realm 中获取相应的数据进行比较以确定登录用户的身份是否合法。可以把 Realm 看成是 DataSource,即安全数据源。
          
          注意:Shiro不会维护用户/权限角色等信息,而是通过 Realm 让开发人员自己去注入。          
 
 
     ②从内部来看Shiro的工作流程
  
          Authenticator : 认证器,负责Subject的认证,这是一个扩展点,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了。
          Authrizer : 授权器,或称访问控制器,用来决定Subject是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能。
          SessionDAO : DAO嘛,数据访问对象,用户会话的CRUD。可以自定义自己的 SessionDAO,通过JDBC将写到数据库,或者写到Redis缓存中。
          CacheManager : 缓存控制器,管理用户,角色,权限等数据的缓存;因为这些数据基本上很少去改变,放到缓存中可以提高访问的性能。
 
 
 
posted on 2017-05-15 17:26  凯少  阅读(272)  评论(0编辑  收藏  举报