Shiro框架的簡介

1，什么是shiro

Apache Shiro 是Java 的一個安全框架。Shiro 可以非常容易的開發出足夠好的應用，其不僅可以用在JavaSE 環境，也可以用在JavaEE 環境。Shiro 可以幫助我們完成：認證、授權、加密、會話管理、與Web 集成、緩存等。

2，為什么要學shiro

    1，既然shiro將安全認證相關的功能抽取出來組成一個框架，使用shiro就可以非常快速的完成認證、授權等功能的開發，降低系統成本。
    2，shiro使用廣泛，shiro可以運行在web應用，非web應用，集群分布式應用中越來越多的用戶開始使用shiro。

java領域中spring security(原名Acegi)也是一個開源的權限管理框架，但是spring security依賴spring運行，而shiro就相對獨立，最主要是因為shiro使用簡單、靈活，所以現在越來越多的用戶選擇shiro。

3,基本功能

在這里插入圖片描述
1，Authentication
身份認證/登錄，驗證用戶是不是擁有相應的身份；
2， Authorization
授權，即權限驗證，驗證某個已認證的用戶是否擁有某個權限；即判斷用
戶是否能做事情，常見的如：驗證某個用戶是否擁有某個角色。或者細粒度的驗證某個用
戶對某個資源是否具有某個權限；
3， Session Manager
會話管理，即用戶登錄后就是一次會話，在沒有退出之前，它的所有信
息都在會話中；會話可以是普通JavaSE環境的，也可以是如Web環境的；
4，Cryptography
加密，保護數據的安全性，如密碼加密存儲到數據庫，而不是明文存儲；
5，Web Support
Web 支持，可以非常容易的集成到Web 環境；
6，Caching
緩存，比如用戶登錄后，其用戶信息、擁有的角色/權限不必每次去查，這樣可以提高效率；
7，Concurrency
shiro 支持多線程應用的并發驗證，即如在一個線程中開啟另一個線程，能把權限自動傳播過去；
8，Testing
提供測試支持；
9，Run As
允許一個用戶假裝為另一個用戶（如果他們允許）的身份進行訪問；
10，Remember Me
記住我，這個是非常常見的功能，即一次登錄后，下次再來的話不用登錄
了。
注意：Shiro 不會去維護用戶、維護權限；這些需要我們自己去設計/提供；然后通過相應的接口注入給Shiro即可。

4,架構說明

在這里插入圖片描述
1，Subject
Subject即主體，外部應用與subject進行交互，subject記錄了當前操作用戶，將用戶的概念理解為當前操作的主體，可能是一個通過瀏覽器請求的用戶，也可能是一個運行的程序。 Subject在shiro中是一個接口，接口中定義了很多認證授相關的方法，外部程序通過subject進行認證授，而subject是通過SecurityManager安全管理器進行認證授權
2，SecurityManager
SecurityManager即安全管理器，對全部的subject進行安全管理，它是shiro的核心，負責對所有的subject進行安全管理。通過SecurityManager可以完成subject的認證、授權等，實質上SecurityManager是通過Authenticator進行認證，通過Authorizer進行授權，通過SessionManager進行會話管理等。
SecurityManager是一個接口，繼承了Authenticator, Authorizer, SessionManager這三個接口。
3，Authenticator
Authenticator即認證器，對用戶身份進行認證，Authenticator是一個接口，shiro提供ModularRealmAuthenticator實現類，通過ModularRealmAuthenticator基本上可以滿足大多數需求，也可以自定義認證器。
4，Authorizer
Authorizer即授權器，用戶通過認證器認證通過，在訪問功能時需要通過授權器判斷用戶是否有此功能的操作權限。
5，realm
Realm即領域，相當于datasource數據源，securityManager進行安全認證需要通過Realm獲取用戶權限數據，比如：如果用戶身份數據在數據庫那么realm就需要從數據庫獲取用戶身份信息。
注意：不要把realm理解成只是從數據源取數據，在realm中還有認證授權校驗的相關的代碼。
6，sessionManager
sessionManager即會話管理，shiro框架定義了一套會話管理，它不依賴web容器的session，所以shiro可以使用在非web應用上，也可以將分布式應用的會話集中在一點管理，此特性可使它實現單點登錄。
7，SessionDAO
SessionDAO即會話dao，是對session會話操作的一套接口，比如要將session存儲到數據庫，可以通過jdbc將會話存儲到數據庫。
8，CacheManager
CacheManager即緩存管理，將用戶權限數據存儲在緩存，這樣可以提高性能。
9，Cryptography
Cryptography即密碼管理，shiro提供了一套加密/解密的組件，方便開發。比如提供常用的散列、加/解密等功能。

5,下載Shiro和maven的依賴

http://shiro.apache.org/download.html

格言:不馳于空想，不騖于虛聲

本文鏈接：https://blog.csdn.net/weixin_44664095/article/details/104160715

智能推薦

shiro框架的基本認識

一、在對主題進行權限管理的時候應該注意一下一下幾個專有名詞 subject：主體，理解為用戶,可能是程序，都要去訪問系統的資源，系統需要對subject進行身份認證。 principal：身份信息，通常是唯一的，一個主體還有多個身份信息，但是都有一個主身份信息（primary principal） credential：憑證信息，可以是密碼、證書、指紋。 ...

shiro 安全框架的使用

shiro的執行流程: 客戶端提交數據-------->loginAction動作的login方法---------> 經過login方法中的subject.login(token)（subject這個對象需要手動new 出來也可以通過securityUtils.getSubject()來獲得）方法;當執行subject.login(token)方法時會經過 <filter-c...

spring框架的簡介

spring框架的簡介 spring是什么 spring的優勢方便解耦，簡化開發 AOP編程的支持聲明式事務的支持方便程序的測試方便集成各種優秀的框架降低JavaEE API的使用難度 java碼源是經典學習范例 spring的體系結構...

Shiro框架：Shiro簡介、登陸認證入門程序、認證執行流程、使用自定義Realm進行登陸認證、Shiro的MD5散列算法

一、Shiro介紹： 1、什么是shiro：（1）shiro是apache的一個開源框架，是一個權限管理的框架，實現用戶認證、用戶授權。（2）spring中有spring security，是一個權限框架，但是它和spring依賴過于緊密，沒有shiro使用簡單。shiro不依賴于spring，shiro不僅可以實現 web應用的權限管理，還可以實現c/s系統，分布式系統權限管理，shiro屬...

shiro_01_shiro簡介

百度百科介紹文檔 Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼學和會話管理。使用Shiro的易于理解的API,您可以快速、輕松地獲得任何應用程序,從最小的移動應用程序到最大的網絡和企業應用程序。三個核心組件：Subject, SecurityManager 和 Realms. Subject：即“當前操作用戶”。但是...