apache shiro就java的安全權限框架
shiro可以非常容易的開發出足夠好的應用,其不僅可用在java se環境,也可以用在java ee環境
shiro可以完成,認證,授權,加密,會話管理,與web集成,緩存等 spring scurity
下載地址:http://shiro.apache.org
session management管Session ,即可以用java ee的Session,也可以用於cryptography 加密
web support 可以
主要功能
認證方式
authentication:身份認證、登錄,驗證用戶是不是擁有相應的身份。
會話管理:授權,即權限驗證,驗證某個已認證是否擁有某個權限,即判斷用戶是否能進行什麼操作,如:驗證某個用戶是否擁有某個角色,或者細粒度的驗證某個用戶對某個資源是否具有某個權限。
session manager:會話管理,即用戶登錄後,就是一次會話,在沒有退出之前,它的所有信息都在會話中,會話可以是普通java se環境,也可以是web環境的。
cryptography:加密,保護數據的安全性,如密碼加密存儲到數據庫,而不是明文存儲
支持特性
網絡支持:web 支持,可以非常容易的集成到Web環境
緩存:比如用戶登錄後,其用戶信息,擁有的角色/權限不必每次去查,這樣可以提高效率。
併發:shiro支持多線程應用併發驗證,即如在一個線程中開啓一個線程 ,能把權限自動傳播過去。
測試:提供測試支持
運行:允許一個用戶假裝爲另一個用戶,的身份進行訪問。
記住賬號:remberme,記住我,這個是非常常見的功能,即一次登錄後,下次再來的話不用登錄了。
shiro架構(shiro外部來看)
從外部來看Shiro,即從應用程序的角度來觀察如何使用shiro完成工作
application code ---->subject --->shiro security manager ---->realm
從內部看