shiro权限管理

1、权限管理

一、权限管理的关键对象

subject：主体，理解为用户,多是程序，都要去访问系统的资源，系统须要对subject进行身份认证。

principal：身份信息，一般是惟一的，一个主体还有多个身份信息，可是都有一个主身份信息（primary principal）

credential：凭证信息，能够是密码 、证书、指纹。

注意：主体在进行身份认证时须要提供身份信息和凭证信息。

二、权限模型

主体（帐号、密码）

资源（资源名称、访问地址）

权限（权限名称、资源id）

角色（角色名称）

角色和权限关系（角色id、权限id）

主体和角色关系（主体id、角色id）

以下图：

一般企业开发中将资源和权限表合并为一张权限表，以下：

资源（资源名称、访问地址）

权限（权限名称、资源id）

合并为：

权限（权限名称、资源名称、资源访问地址）

2、shiro

一、shiro架构

subject：主体，能够是用户也能够是程序，主体要访问系统，系统须要对主体进行认证、受权。

securityManager：安全管理器，主体进行认证和受权都是经过securityManager进行。

authenticator：认证器，主体进行认证最终经过authenticator进行的。

authorizer：受权器，主体进行受权最终经过authorizer进行的。

sessionManager：web应用中通常是用web容器对session进行管理，shiro也提供一套session管理的方式。

sessionDao：  经过SessionDao管理session数据，针对个性化的session数据存储须要使用sessionDao。

cacheManager：缓存管理器，主要对session和受权数据进行缓存，好比将受权数据经过cacheManager进行缓存管理，和ehcache、redis等整合对缓存数据进行管理。

realm：域，领域，至关于数据源，经过realm存取认证、受权相关数据。

cryptography：密码管理，提供了一套加密/解密的组件，方便开发。好比经常使用的散列（md5散列算法）、加/解密等功能。

注意：在realm中存储受权和认证的逻辑。

二、shiro认证流程