1：認(rèn)識shiro

Apache Shiro是一個(gè)強(qiáng)大且易用的Java安全框架,執(zhí)行身份驗(yàn)證、授權(quán)、密碼和會(huì)話管理。使用Shiro的易于理解的API,您可以快速、輕松地獲得任何應(yīng)用程序,從最小的移動(dòng)應(yīng)用程序到最大的網(wǎng)絡(luò)和企業(yè)應(yīng)用程序。

image

Authentication：身份認(rèn)證/登錄，驗(yàn)證用戶是不是擁有相應(yīng)的身份；

Authorization：授權(quán)，即權(quán)限驗(yàn)證，驗(yàn)證某個(gè)已認(rèn)證的用戶是否擁有某個(gè)權(quán)限；即判斷用戶是否能做事情，常見的如：驗(yàn)證某個(gè)用戶是否擁有某個(gè)角色?；蛘呒?xì)粒度的驗(yàn)證某個(gè)用戶對某個(gè)資源是否具有某個(gè)權(quán)限；

Session Manager：會(huì)話管理，即用戶登錄后就是一次會(huì)話，在沒有退出之前，它的所有信息都在會(huì)話中；會(huì)話可以是普通JavaSE環(huán)境的，也可以是如Web環(huán)境的；

Cryptography：加密，保護(hù)數(shù)據(jù)的安全性，如密碼加密存儲到數(shù)據(jù)庫，而不是明文存儲；

Web Support：Web支持，可以非常容易的集成到Web環(huán)境；

Caching：緩存，比如用戶登錄后，其用戶信息、擁有的角色/權(quán)限不必每次去查，這樣可以提高效率；

Concurrency*shiro支持多線程應(yīng)用的并發(fā)驗(yàn)證，即如在一個(gè)線程中開啟另一個(gè)線程，能把權(quán)限自動(dòng)傳播過去；

Testing：提供測試支持；

Run As：允許一個(gè)用戶假裝為另一個(gè)用戶（如果他們允許）的身份進(jìn)行訪問；

Remember Me：記住我，這個(gè)是非常常見的功能，即一次登錄后，下次再來的話不用登錄了。

記住一點(diǎn)，Shiro不會(huì)去維護(hù)用戶、維護(hù)權(quán)限；這些需要我們自己去設(shè)計(jì)/提供；然后通過相應(yīng)的接口注入給Shiro即可。

（2）接下來我們分別從外部和內(nèi)部來看看 Shiro 的架構(gòu)，對于一個(gè)好的框架，從外部來看應(yīng)該具有非常簡單易于使用的 API，且 API 契約明確；從內(nèi)部來看的話，其應(yīng)該有一個(gè)可擴(kuò)展的架構(gòu)，即非常容易插入用戶自定義實(shí)現(xiàn)，因?yàn)槿魏慰蚣芏疾荒軡M足所有需求。

首先，我們從外部來看 Shiro 吧，即從應(yīng)用程序角度的來觀察如何使用 Shiro 完成工作。如下圖：

image

主要功能

三個(gè)核心組件：Subject, SecurityManager 和 Realms.

Subject：即“當(dāng)前操作用戶”。但是，在Shiro中，Subject這一概念并不僅僅指人，也可以是第三方進(jìn)程、后臺帳戶（Daemon Account）或其他類似事物。它僅僅意味著“當(dāng)前跟軟件交互的東西”。但考慮到大多數(shù)目的和用途，你可以把它認(rèn)為是Shiro的“用戶”概念。

Subject代表了當(dāng)前用戶的安全操作，SecurityManager則管理所有用戶的安全操作。

SecurityManager：它是Shiro框架的核心，典型的Facade模式，Shiro通過SecurityManager來管理內(nèi)部組件實(shí)例，并通過它來提供安全管理的各種服務(wù)。

Realm： Realm充當(dāng)了Shiro與應(yīng)用安全數(shù)據(jù)間的“橋梁”或者“連接器”。也就是說，當(dāng)對用戶執(zhí)行認(rèn)證（登錄）和授權(quán)（訪問控制）驗(yàn)證時(shí)，Shiro會(huì)從應(yīng)用配置的Realm中查找用戶及其權(quán)限信息。

從這個(gè)意義上講，Realm實(shí)質(zhì)上是一個(gè)安全相關(guān)的DAO：它封裝了數(shù)據(jù)源的連接細(xì)節(jié)，并在需要時(shí)將相關(guān)數(shù)據(jù)提供給Shiro。當(dāng)配置Shiro時(shí)，你必須至少指定一個(gè)Realm，用于認(rèn)證和（或）授權(quán)。配置多個(gè)Realm是可以的，但是至少需要一個(gè)。

也就是說對于我們而言，最簡單的一個(gè) Shiro 應(yīng)用：

應(yīng)用代碼通過 Subject 來進(jìn)行認(rèn)證和授權(quán)，而 Subject 又委托給 SecurityManager；

我們需要給 Shiro 的 SecurityManager 注入 Realm，從而讓 SecurityManager 能得到合法的用戶及其權(quán)限進(jìn)行判斷。

Shiro內(nèi)置了可以連接大量安全數(shù)據(jù)源（又名目錄）的Realm，如LDAP、關(guān)系數(shù)據(jù)庫（JDBC）、類似INI的文本配置資源以及屬性文件等。如果缺省的Realm不能滿足需求，你還可以插入代表自定義數(shù)據(jù)源的自己的Realm實(shí)現(xiàn)。