Java的安全框架数得着的有 Apache Shiro 一个,当然还有大名鼎鼎的 Spring Security ,从规模上讲, Shiro 更加简单,而且也满足大多数的需求,所以被使用的频率更高一些.
Shiro 可以做到的事情主要是:
- 认证
- 授权
- 加密
- 会话管理
- Web集成
- 缓存
层次架构
Authentication : 身份认证,验证用户是不是有相应的身份
Authorization : 授权,权限的认证,验证某一个用户是否拥有某个权限
Session Manager : 会话管理,用户登录之后就是一次会话,在退出之前,用户的信息也都是在会话中保存的
Cryptography : 加密,数据是不是安全,密码需要加密存储
Web Support : 可以集成到Web环境
Concurrency : 并发多线程的支持,在一个线程中开启另一个,权限也会相应传播
Testing : 提供测试的支持
Run As : 用户之间身份的假装
Remember Me : 记住我,一次登录成功之后不再需要再次登录
重点 : Shiro 本身并没有角色权限等信息,需要自己设计提供,然后注入到框架中
那么到底怎么使用 Shiro ?怎么在自己的项目里整合?
先从使用的角度看看都有哪一些类会在应用程序的代码里用到 :
使用
主要的交互就是使用subject对象来进行的:
Subject : 所谓的主体,也就是抽象的用户概念,系统的访问者
Security Manager : 具体的操作执行都是在这个类,安全管理器
Realm : 存储安全数据的, 具体的角色权限都是用这个表示 - 我们直面的操作都是 subject, 但是 subject 的背后是security manager 来具体掌控
- realm 需要自己注入,也就是规则要实现确定下来, 管理器才好判断具体的权限规则
再次重点 : Shiro 里面本身没有权限规则,需要自己注入
Shiro 本身的内部架构:
内部架构
Subject : 主体, 交互的用户
Security Manager : 安全管理器,看着就是最大的,也就是最重要的吧,Shiro 的中心,什么都是他来执行
Authenticator : 认证, 可以自定义认证的策略,就是怎么样算是认证通过了
Authorizer : 授权, 决定权限是不是授予
Realm : 安全数据, 安全实体,需要用户自己来实现
Session Manager : 会话管理,只要是Web肯定都是需要管理会话的
Session DAO : 存在数据库的会话信息, 访问需要一个中间层
Cache Manager : 缓存, 很少更改的信息,比如安全的规则数据,就可以放在缓存里面,访问就会快很多了
Cryptography : 加密解密模块
