跟我学Shiro——认识shiro（1）

1：认识shiro

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、受权、密码和会话管理。使用Shiro的易于理解的API,您能够快速、轻松地得到任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

Authentication：身份认证/登陆，验证用户是否是拥有相应的身份；

Authorization：受权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能作事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具备某个权限；

Session Manager：会话管理，即用户登陆后就是一次会话，在没有退出以前，它的全部信息都在会话中；会话能够是普通JavaSE环境的，也能够是如Web环境的；

Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；

Web Support：Web支持，能够很是容易的集成到Web环境；

Caching：缓存，好比用户登陆后，其用户信息、拥有的角色/权限没必要每次去查，这样能够提升效率；

Concurrency*shiro支持多线程应用的并发验证，即如在一个线程中开启另外一个线程，能把权限自动传播过去；

Testing：提供测试支持；

Run As：容许一个用户伪装为另外一个用户（若是他们容许）的身份进行访问；

Remember Me：记住我，这个是很是常见的功能，即一次登陆后，下次再来的话不用登陆了。

记住一点，Shiro不会去维护用户、维护权限；这些须要咱们本身去设计/提供；而后经过相应的接口注入给Shiro便可。

（2）接下来咱们分别从外部和内部来看看 Shiro 的架构，对于一个好的框架，从外部来看应该具备很是简单易于使用的 API，且 API 契约明确；从内部来看的话，其应该有一个可扩展的架构，即很是容易插入用户自定义实现，由于任何框架都不能知足全部需求。

首先，咱们从外部来看 Shiro 吧，即从应用程序角度的来观察如何使用 Shiro 完成工做。以下图：

主要功能

三个核心组件：Subject, SecurityManager 和 Realms.

Subject：即“当前操做用户”。可是，在Shiro中，Subject这一律念并不只仅指人，也能够是第三方进程、后台账户（Daemon Account）或其余相似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途，你能够把它认为是Shiro的“用户”概念。

Subject表明了当前用户的安全操做，SecurityManager则管理全部用户的安全操做。

SecurityManager：它是Shiro框架的核心，典型的Facade模式，Shiro经过SecurityManager来管理内部组件实例，并经过它来提供安全管理的各类服务。

Realm： Realm充当了Shiro与应用安全数据间的“桥梁”或者“链接器”。也就是说，当对用户执行认证（登陆）和受权（访问控制）验证时，Shiro会从应用配置的Realm中查找用户及其权限信息。

从这个意义上讲，Realm实质上是一个安全相关的DAO：它封装了数据源的链接细节，并在须要时将相关数据提供给Shiro。当配置Shiro时，你必须至少指定一个Realm，用于认证和（或）受权。配置多个Realm是能够的，可是至少须要一个。

也就是说对于咱们而言，最简单的一个 Shiro 应用：

应用代码经过 Subject 来进行认证和受权，而 Subject 又委托给 SecurityManager；

咱们须要给 Shiro 的 SecurityManager 注入 Realm，从而让 SecurityManager 能获得合法的用户及其权限进行判断。

Shiro内置了能够链接大量安全数据源（又名目录）的Realm，如LDAP、关系数据库（JDBC）、相似INI的文本配置资源以及属性文件等。若是缺省的Realm不能知足需求，你还能够插入表明自定义数据源的本身的Realm实现。