【shiro权限管理】1.shiro简介

【shiro权限管理】系列文章转自 光仔December 后面不做赘述

一、简介

在Web系统中我们经常要涉及到权限问题,例如不同角色的人登录系统,他操作的功能、按钮、菜单是各不相同的,这就是所谓的权限。

Apache Shiro是Java的一个安全(权限)框架,Shiro可以完成认证、授权、加密、会话管理、Web集成、缓存等功能。适用于JavaSE和JavaEE。

关于安全框架,还有一个Spring Security框架,不过目前使用率比较高的还是Apache Shiro

官网下载:http://shiro.apache.org/   登录上述网站,可以下载Shiro开发包与文档

Shiro的基本功能点如下图所示:

【shiro权限管理】1.shiro简介
 Shiro的最主要的功能分别是Authentication、Authorization、Session Management、Cryptography、Web Support、Caching、Concurency、Testing、Run As、Remember Me。分别解释一下上面的主要功能:

(1)Authentication

即是“认证”功能,说白了登录。我们可以利用Shiro实现登录效果,通过Shiro帮我们完成密码匹配的工作。

(2)Authorization

即是“授权”功能,当我们点一个链接或按钮的时候,Shiro会帮我们判断操作者有没有权限访问该服务。

(3)Session Management

即是“会话管理”功能,在Web系统下(即JavaEE)环境下,是对Http的Session进行托管。而在JavaSE下是由Shiro单独提供一种Session机制。

(4)Cryptography

即是“加密”功能,我们可以很容易的使用Shiro为密码进行“加盐”加密。

(5)Web Support

对于Web进行支持。Shiro可以很容易的与JavaEE工程进行集成。

(6)Concurency

在多线程的情况下,来进行授权认证。例如在一个线程中开启另外一个线程,能把权限自动传播过去。

(7)Caching

Shiro的缓存模块,让系统的授权机制运行速度更快。

(8)Run As

让已经登录的用户,以另外一个用户的身份来操作当前的项目和系统。

(9)Remember Me

即“记住我”,是一个十分常见的功能,即是一次登录后,下次再次访问则不需要登录。

(10)Testing

Shiro提供测试支持。

 二、Shiro架构
(1)从外部看Shiro
Shiro的架构从外部看如下图:
【shiro权限管理】1.shiro简介
【shiro权限管理】1.shiro简介
 其中Application Code代表应用程序的代码,当一个用户去访问应用程序时,Shiro会生成一个该用户Subject对象,代表的是“current User”,即当前用户对象。而下面的Shiro SecurityManager是一个“大管家”的角色,它管理着Shiro的各个组件,而与Subject的所有交互都会委托给SecurityManager。其实Subject仅仅是一个“门面”,SecurityManager才是实际的执行者。

当我们需要访问一些安全数据的时候,需要使用到Realm,它相当于Shiro的一个DataSource。Shiro会从Realm中获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,需要从Realm中获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm中得到用户相应的角色、权限进行验证用户是否能进行操作。

(2)从内部看Shiro

Shiro的架构从内部看如下图:


【shiro权限管理】1.shiro简介
 最上层的是我们的各种语言编写的应用程序,而这些应用程序都是通过Subject与Shiro进行交互的,而Subject就是与整个SecurityManager打交道。

对于整个SecurityManager,包括以下组件:

1.Subject:代表任何与应用程序发送交互的用户。

2.SecurityManager:相当于SpringMVC的Dispatcher,是Shiro的心脏。所有交互都会通过SecurityManager进行控制,它管理着所有Subject,且负责进行认证、授权、会话以及缓存的管理。

3.Authenticator:负责Subject认证,是一个拓展点,可以自定义实现。可以使用认证策略(Authentication Strategy),即在什么情况下算用户认证通过了。

4.Authorizer:授权器,即访问控制器,用来决定主体是否有权进行相应的操作,即控制着用户能访问应用中的哪些功能。

5.Realm:安全实体数据源。即是提供安全数据的源头,数据源可以是JDBC操作的数据库数据,也可以是缓存中的数据。该实体由用户提供,一般在应用中都需要实现自己的Realm。可以有一个或者多个Realm。

6.SessionManager:管理Session生命周期的组件。Shiro不仅仅可以在Web环境,也可以在普通的JavaSE环境中。

7.CacheManager:缓存控制器,来管理如用户、角色、权限等信息的缓存。由于这些数据基本上很少发生变动,所以存放在缓存中可以提供访问的性能。

8.Cryptography:密码模块。Shiro提供了一些常见的加密组件用于密码的加密/解密。

相关推荐