什么是Shiro
Apache Shiro是一个强大且灵活的开源安全框架,易于使用且好理解,撇开了搭建安全框架时的复杂性。
Shiro可以帮助我们做以下几件事:
- 认证使用者的身份
- 提供用户的访问控制,比如:
- 决定一个用户是否被授予某个特定的安全角色
- 决定用户是否允许做某件事
- 可以在任何环境中使用Session API,不在局限于web或是EJB容器中
- 可以在认证,访问控制或是session的生命周期的期间中对特定事件产生反应
- 可以整合多个数据源的用户安全数据到一个统一的用户视图中
- 支持单点登录
- 支持'记住我'功能
等等
Apache Shiro的特征
下图展示了Shiro主要的特征:
Primary Cocnerns(基本关注点):Authentication(认证),Authorization(授权),Session Management(会话管理),Cryptography(加密)。
- Authentication(认证):经常和登录挂钩,是证明用户说他们是谁的一个工作
- Authorization(授权):访问控制的过程,即,决定‘谁’可以访问‘什么
- Session Management(会话管理):管理用户特定的会话,即使在非web或是EJB的应用中
- Crytography(加密):通过加密算法保证数据的安全,且易于使用
Supporting Features(辅助特性):
- Web Support(网络支持):web support API可以帮助在web应用中方便的使用shiro
- Caching(缓存):保证安全操作使用快速有效
- Concurrency(并发):支持多线程应用
- Testing(测试):支持集成单元测试
- “Run As”(以..运行):可以假定用户为另一个用户
- “Remeber Me”:记住用户,无需再次登录
Authentication和Authenticator的主要流程
- Authentication(认证):
与认证流程相关的Shiro各对象关系如下:
以更加清晰的流程图对应上述的步骤:
- Authenticator(授权): 与授权相关的Shiro个对象关系如下:
换成流程图对应上述的步骤: