• Shiro入门学习与实战(一)


    一、概述

    1、Shiro是什么?

      Apache Shiro是java 的一个安全框架,主要提供:认证、授权、加密、会话管理、与Web集成、缓存等功能,其不依赖于Spring即可使用;

      Spring Security(Oauth2)也是一个开源的权限框架,但其依赖于Spring运行,功能相对强大;而Shiro相对独立,不依赖于Spring,使用简单、灵活,所以我选择Shiro学习。哈哈~

    2、Shiro基本功能

    ①Authentication(音标: [ɔːˌθentɪˈkeɪʃn] )

      身份认证,验证用户是不是拥有相应的身份。

    ②Authorization(音标:[ˌɔːθərəˈzeɪʃn])

      授权即权限验证,验证某个已认证的用户是否拥有某个权限(比如接下来我要实现的:不用用户拥有不用的菜单树)

    ③Session Management

      会话管理,在用户登录后,退出之前,所有信息都存在于会话中(这里可以用于sso单点登录)

    ④Crptography

      加密,保护数据的安全性(比如密码加密存储到数据库,而不是明文存储)

    ⑤Web支持

      非常容易集成到Web环境

    ⑥Caching

      缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率

    ⑦Concurrency

      Shiro支持多线程应用宝并发验证,(即在一个线程中开启另一个线程,能把权限自动传播过去)

    ⑧Testing

      提供测试支持

    ⑨Run as

      允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;

    ⑩Remember me

      记住我,这是最常见的功能,即一次登录后,下次再来的话不用登录了

    注:Shiro不会去维护用户、维护权限,所以这是我们需要设计的,然后通过相应的接口注入Shiro即可。

    3、Shiro架构图(这个图特别特别重要,看懂了它就会用Shiro了)

     看来看去,也就以上几个模块嘛:

    ①Subject

      Subject即主体,外部应用与subject进行交互,Subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。Subject在Shiro中是一个接口,接口中定义了很多认证授权的相关方法,外部程序通过subject进行认证授权,而Subject是通过Security Manager安全管理器进行认证授权。

    ②SecurityManager

      安全管理器:对全部的Subject进行安全管理,它是Shiro的核心,负责对所有的Subject进行安全管理,通过SecurityManger可以完成subject的认证、授权等,实质上SecurityManger是通过Authenticator(图中圈3)进行认证;通过Authorizer(图中圈4)进行授权,通过SessionManager进行会话管理等,SecurityManger是一个接口,继承Authenticator,Authorizer,SessionManager三个接口。

    ③Authenticator

      认证器:对用户身份进行认证,Authenticator是一个接口,Shiro提供ModularRealmAuthenticator实现类,通过该实现类基本上满足大部分需求,也可自定义认证器

    ④Authorizer

      授权器:用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限

    ⑤Realm

      领域:相当于DataSource数据源,SecurityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份在数据库,那么realm就需要从数据库获取用户身份信息。(这里不要单单认为realm只是从数据源取数据,它还有认证授权校验的相关代码)

    ⑥SessionManger

      会话管理:shiro框架定义了一套会话管理,它不依赖于web的session,所以shiro可以使用在非web的应用上;还可以将分布式应用的会话集中在一点管理,实现SSO单点登录

    ⑦SessionDao

      会话dao:顾名思义,对session的一套api接口,也就是对session的增删改查

    ⑧CacheManger

      缓存管理,将用户权限数据存储在缓存,这样可以提高性能

    ⑨Cryptography

      加密:Shiro提供了一套加密、解密组件,方便开发。比如提供常用的散列、加/解密等功能。

    4、下载Shiro和maven镜像 

       下载地址:http://shiro.apache.org/download.html

    二、Shiro实战

      了解了基本的功能、架构等,是时候操练一把了……

    (1)Shiro实现认证+shiro.ini配置:Shiro入门学习之shi.ini实现认证及源码分析(二)

  • 相关阅读:
    什么是Flex 布局
    wx.navigateTo、wx.redirectTo和wx.switchTab三种导航方式的区别
    Ajax 工作原理 及 实例
    NodeJS之 Express框架 app.use(express.static)
    Parcel 入门 (一)
    打包工具的介绍
    CSS网页布局
    《拖延心理学》阅读要点
    PHP实现页面静态化
    PHP中的魔术方法
  • 原文地址:https://www.cnblogs.com/rmxd/p/11750786.html
Copyright © 2020-2023  润新知