shiro將安全認證相關的功能抽取出來組成一個框架,使用shiro就可以非常快速的完成認證、授權等功能的開發,降低系統成本。
shiro使用廣泛,shiro可以運行在web應用,非web應用,集羣分佈式應用中越來越多的用戶開始使用shiro。
java領域中spring security(原名Acegi)也是一個開源的權限管理框架,但是spring security依賴spring運行,而shiro就相對獨立,最主要是因爲shiro使用簡單、靈活,所以現在越來越多的用戶選擇shiro,它是一個強大而靈活的開源安全框架,它乾淨利落地處理身份認證,授權,企業會話管理和加密。Apache Shiro 的首要目標是易於使用和理解。安全有時候是很複雜的,甚至是痛苦的,但它沒有必要這樣。框架應該儘可能掩蓋複雜的地方,露出一個乾淨而直觀的 API,來簡化開發人員在使他們的應用程序安全上的努力。
1.shiro 可以做的事情:
驗證用戶來覈實他們的身份對用戶執行訪問控制,如:
- 判斷用戶是否被分配了一個確定的安全角色
- 判斷用戶是否被允許做某事
- 在任何環境下使用 Session API,即使沒有 Web 或 EJB 容器。
- 在身份驗證,訪問控制期間或在會話的生命週期,對事件作出反應。
- 聚集一個或多個用戶安全數據的數據源,並作爲一個單一的複合用戶“視圖”。
- 啓用單點登錄(SSO)功能。
- 爲沒有關聯到登錄的用戶啓用"Remember Me"服務
- …
以及更多——全部集成到緊密結合的易於使用的 API 中。
2.四大基石
Shiro 把 Shiro 開發團隊稱爲“應用程序的四大基石”——身份驗證,授權,會話管理和加密作爲其目標。
- Authentication:有時也簡稱爲“登錄”,這是一個證明用戶是他們所說的他們是誰的行爲。
- Authorization:訪問控制的過程,也就是絕對“誰”去訪問“什麼”。
- Session Management:管理用戶特定的會話,即使在非 Web 或 EJB 應用程序。
- Cryptography:通過使用加密算法保持數據安全同時易於使用。
- Web Support:Shiro 的 web 支持的 API 能夠輕鬆地幫助保護 Web 應用程序。
- Caching:緩存是 Apache Shiro 中的第一層公民,來確保安全操作快速而又高效。
- Concurrency:Apache Shiro 利用它的併發特性來支持多線程應用程序。
- Testing:測試支持的存在來幫助你編寫單元測試和集成測試,並確保你的能夠如預期的一樣安全。
- "Run As":一個允許用戶假設爲另一個用戶身份(如果允許)的功能,有時候在管理腳本很有用。
- "Remember Me":在會話中記住用戶的身份,所以他們只需要在強制時候登錄。
3.完整架構
3.1.Subject
Subject即主體,外部應用與subject進行交互,subject記錄了當前操作用戶,將用戶的概念理解爲當前操作的主體,可能是一個通過瀏覽器請求的用戶,也可能是一個運行的程序。 Subject在shiro中是一個接口,接口中定義了很多認證授相關的方法,外部程序通過subject進行認證授,而subject是通過SecurityManager安全管理器進行認證授權
3.2 SecurityManager
SecurityManager即安全管理器,對全部的subject進行安全管理,它是shiro的核心,負責對所有的subject進行安全管理。通過SecurityManager可以完成subject的認證、授權等,實質上SecurityManager是通過Authenticator進行認證,通過Authorizer進行授權,通過SessionManager進行會話管理等。
SecurityManager是一個接口,繼承了Authenticator, Authorizer, SessionManager這三個接口。
3.3 Authenticator
Authenticator即認證器,對用戶身份進行認證,Authenticator是一個接口,shiro提供ModularRealmAuthenticator實現類,通過ModularRealmAuthenticator基本上可以滿足大多數需求,也可以自定義認證器。
3.4 Authorizer
Authorizer即授權器,用戶通過認證器認證通過,在訪問功能時需要通過授權器判斷用戶是否有此功能的操作權限。
3.5 realm
Realm即領域,相當於datasource數據源,securityManager進行安全認證需要通過Realm獲取用戶權限數據,比如:如果用戶身份數據在數據庫那麼realm就需要從數據庫獲取用戶身份信息。
注意:不要把realm理解成只是從數據源取數據,在realm中還有認證授權校驗的相關的代碼。
3.6 sessionManager
sessionManager即會話管理,shiro框架定義了一套會話管理,它不依賴web容器的session,所以shiro可以使用在非web應用上,也可以將分佈式應用的會話集中在一點管理,此特性可使它實現單點登錄。
3.7 SessionDAO
SessionDAO即會話dao,是對session會話操作的一套接口,比如要將session存儲到數據庫,可以通過jdbc將會話存儲到數據庫。
3.8 CacheManager
CacheManager即緩存管理,將用戶權限數據存儲在緩存,這樣可以提高性能。
3.9 Cryptography
Cryptography即密碼管理,shiro提供了一套加密/解密的組件,方便開發。比如提供常用的散列、加/解密等功能。