Shiro在集团统一账号权限管理系统中的应用20160121重点.docx

集团统一账号权限管理系统Shiro的应用中科软科技股份有限公司2016年1月目录第1章SHIRO简介31.1SHIRO是什么31.2SHIRO框架结构51.2.1外部使用结构51.2.2内部调用结构6第2章单点登录72.1概述72.2REALM的配置72.2.1定义实体与关系72.2.2定义REALM82.3单点登录机制8第3章身份验证93.1概述93.2身份验证机制9第4章授权104.1概述104.2授权机制10第5章加密115.1概述115.2加密与密码验证机制11第6章会话管理126.1概述126.2会话管理机制126.3会话监听机制136.4会话存储机制13第7章缓存管理13第8章授予身份及切换身份13第9章总结14摘要在当今经济形势的驱动下，保险行业有着快速、深度、长远的发展，因保险公司内部寿险、财险、车险等部门急速壮大，分别成立子公司，保险公司集团化随之而产生。鉴于保险行业的变化，保险软件系统大而全的应用部署，按照模块、层次、序列等方式划分为独立的专项应用系统。对于繁多的应用系统，集团统一的账号权限管理系统孕育而生。本文主要就太平洋保险公司，从业务的实际现状、系统核心设计、系统核心功能以及功能优缺点等方面阐述Shiro在集团统一账号权限系统中的应用。账号权限系统主要应用Shiro的特性，使账号权限统一管理，带来的优质体验；对各个系统的权限监管；方便客户权限的申请，以及各个权限系统的切换；高效的管理账号权限，以避免多次重复的账户权限维护；良好的保险系统群扩展结构等。关键字：Shiro,低耦合SHIRO简介SHIRO是什么Apache Shiro是Java的一个强大而灵活的开源安全框架，能够非常清晰、简单的处理身份验证、授权、管理会话、密码加密等常见的Subject（主体）所面临的问题。Shiro不依赖与环境，JavaSE可以，JavaEE也可以，非常容易的开发出足够好的应用。Apache Shiro是致力于易用和理解。安全对于一般开发者而言，是很复杂的，甚至是痛苦的。但在使用Shiro过程中，没必要这样。Shiro框架会将复杂的地方掩盖，给开发者一个干净而直观的API，来简化开发人员对安全问题的解决办法。Apache Shiro基本功能点如下图所示：Authentication：身份验证/登录，验证用户他是谁；Authorization：授权，即权限验证，验证已认证的用户是否拥有某个权限；Session Manager：会话管理，即Session，用户登录后就是一次会话，在没有退出之前或限定时间内，它的所有信息都在会话中；会话可以是普通JavaSE环境的，也可以是如Web环境的；Cryptography：加密，数据的安全性的管理；Web Support：Web支持，可以非常容易的集成到Web环境；Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限等信息进行缓存管理，不必每次访问数据库去查，这样以实现提高效率的目的；Concurrency：Shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去；Testing：提供测试支持；Run As：允许一个用户假装为另一个用户（如果他们允许）的身份进行访问；Remember Me：记住我，非常常见使用的功能。Shiro视图在所有应用程序环境下实现以下目标：从最简单的命令应用程序到最大的企业应用，不强制依赖其他第三方框架、容器或应用服务器。项目的最终目标是整合到这些环境中，尽可能地将其自身的功能更加强大、便捷！SHIRO框架结构外部使用结构从Shiro框架外部来看，其结构如下图所示：应用代码直接交互的对象是Subject，也就是说Shiro的对外的API核心就是Subject，其每个API的含义：Subject：主体，代表当前“用户”，这个用户不一定是具体的人，与当前应用交互的任何东西都是Subject。所有Subject都绑定到SecurityManager，与Subject的所有交互都会委托给SecurityManager；可以把Subject认为是一个门面；SecurityManager才是实际的执行者；SecurityManager：安全管理器，即所有由安全有关的操作都会与SecurityManager交互，且它管理着所有的Subject。它是Shiro的核心，它负责与后边介绍的其他组件进行交互。Realm：Shiro从Realm获取安全数据（如用户、角色、权限）。可以把Realm看成DataSource，即安全数据源。也就是说，最简单的一个Shiro应用：1.应用代码通过Subject来进行认证和授权，而Subject又委托给SecurityManager；2.需要给SecurityManager注入Realm，从而让Se