一、什么是 Shiro
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等
功能:#
认证#- 用户身份识别,常被称为用户“登录”;
授权#- 访问控制;
密码加密#- 保护或隐藏数据防止被偷窥;
会话管理#- 每用户相关的时间敏感的状态。
对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架,
Shiro 要简单的多。#
二、Shiro 的架构介绍#
首先,来了解一下 Shiro 的三个核心组件:Subject, SecurityManager 和#Realms. 如下图:
#
Subject:即“当前操作用户”。但是,在 Shiro 中,Subject 这一概念并不仅仅指人,也可以
是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软
件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是 Shiro 的“用户”概念。#
Subject 代表了当前用户的安全操作,SecurityManager 则管理所有用户的安全操作。#
SecurityManager : 它 是 Shiro 框 架 的 核 心 , 典 型 的 Facade 模 式 , Shiro 通 过
SecurityManager 来管理内部组件实例,并通过它来提供安全管理的各种服务。#
Realm:#Realm 充当了 Shiro 与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用
户执行认证(登录)和授权(访问控制)验证时,Shiro 会从应用配置的 Realm 中查找用
户及其权限信息。#
从这个意义上讲,Realm 实质上是一个安全相关的 DAO:它封装了数据源的连接细节,并
在需要时将相关数据提供给 Shiro。当配置 Shiro 时,你必须至少指定一个 Realm,用于认
证和(或)授权。配置多个 Realm 是可以的,但是至少需要一个。#
Shiro 内置了可以连接大量安全数据源(又名目录)的 Realm,如 LDAP、关系数据库
(JDBC)、类似 INI 的文本配置资源以及属性文件等。如果缺省的 Realm 不能满足需求,
你还可以插入代表自定义数据源的自己的 Realm 实现。#