MarcosJava【Shiro入门（一）之Shiro安全框架概述及流程简单分析】.pdfVIP

MarcosJava 【Shiro⼊门（⼀）之Shiro安全框架概述及流程简单分析】 前⾔ 安全领域⼀直都是各⾏各业⾮常重视的问题，它⼩到个⼈隐私，⼤到国家机密，其实⼤家也已经发现了，在这个被⽀付宝和微信笼罩着的时 代，现如今纸质货币流通量已经没有以往那么⼤了，可以说虚拟货币的流通逐渐的取代了纸质货币的地位，那么这种虚拟货币的流通依赖的 是什么呢？ 没错，就是⽹络，因此对于这种货币流通的平台来说，安全问题绝对是需要排在第⼀位的，如果安全没有做好，那恐怕我是要第⼀个冲进阿 ⾥巴巴和腾讯⼤楼的⼈了… 咳咳…进⼊正题，本节呢我们就要讲到⼀个和安全挂钩的框架，叫做Shiro 什么是Shiro 相信什么是Shiro，⼤家通过标题都能略知⼀⼆了，那我们还是来看看官⽅概述 Apache Shiro 是Java 的⼀个安全框架。Shiro 可以⾮常容易的开发出⾜够好的应⽤，其不仅可以⽤在JavaSE 环境，也可以⽤在JavaEE 环境。Shiro 可以帮助我们完成：认证、授权、加密、会话管理、与Web 集成、缓存等。使⽤shiro就可以 ⾮常快速的完成认证、授权等功能的开发，降低系统成本。 shiro使⽤⼴泛，它可以运⾏在web应⽤，⾮web应⽤，集群分布式应⽤中越来越多的⽤户开始使⽤shiro。 java领域 中spring security(原名Acegi)也是⼀个开源的权限管理框架，但是spring security依赖spring运⾏，⽽shiro就相对独 ⽴，最主要是因为shiro使⽤简单、灵活，所以现在越来越多的⽤户选择shiro ⾸先第⼀个关键字，shiro⽏庸置疑是⼀个安全框架，那么它的功能肯定是和安全挂钩的，就好⽐说我们的⽤户登录，这就是⼀个典型的和 安全挂钩的功能，再者我们做⼀个管理系统，会给每⼀个⽤户分配⾓⾊，每个⾓⾊⼜可以分配多个权限，那么这种涉及到权限管理的功能也 ⾪属于安全管理的范畴。 了解⼀个框架就要先了解它的整体架构，我们先来看看这上⾯的每⼀个模块分别代表着什么意思 Authentication ：⾝份认证/登录，验证⽤户是不是拥有相应的⾝份 Authorization ：授权，即权限验证，验证某个已认证的⽤户是否拥有某个权限；即判断⽤ 户是否能做事情，常见的如：验证某个⽤户是否拥有某个⾓⾊。或者细粒度的验证某个⽤ 户对某个资源是否具有某个权限 Session Manager ：会话管理，即⽤户登录后就是⼀次会话，在没有退出之前，它的所有信 息都在会话中；会话可以是普通JavaSE 环境的，也可以是如Web环境的 Cryptography ：加密，保护数据的安全性，如密码加密存储到数据库，⽽不是明⽂存储 Web Support ：Web ⽀持，可以⾮常容易的集成到Web 环境 Caching ：缓存，⽐如⽤户登录后，其⽤户信息、拥有的⾓⾊/权限不必每次去查，这样可以提⾼效率 Concurrency ：shiro ⽀持多线程应⽤的并发验证，即如在⼀个线程中开启另⼀个线程，能 把权限⾃动传播过去 Testing ：提供测试⽀持 Run As ：允许⼀个⽤户假装为另⼀个⽤户 （如果他们允许）的⾝份进⾏访问 Remember Me ：记住朕，这个是⾮常常见的功能，即⼀次登录后，下次再来的话不⽤登录了。 需要注意的是Shiro框架虽然为我们提供好这些功能模块，但是还得靠我们⾃⼰组装，这是啥意思呢？ 准确来说Shiro是不会去维护⽤户、维护权限的，⽽需要我们⾃⼰去设计或提供，然后通过 相应的接⼝注⼊给Shiro即可。关于后期项⽬该 如何让SSM集成Shiro，我们后期会明确讲到啦~ Shiro的架构说明 如果说上⾯的讲解还不⾜以了解Shiro的架构的话，我们来看看这张经典的Shiro架构模块图，看起来可能会⽐较复杂，我们从上往下来分 析，最上⾯就是我们的各种语⾔，⽐如经典的C++，⽬前最⽕的Python，还有全世界最好的语⾔PHP，以看的出我们的Shiro的使⽤范围 是很⼴的，那么它是靠什么来实现多语⾔通⽤的呢？ 细⼼的朋友可以发现，我们的图中每个语⾔的框框下都有Subject ，Subject直译过来就是主体的意思，实质上他也是Shiro为各语⾔提供的 ⼀个接⼝，外部程序通过subject进⾏认证授，⽽subject是通过SecurityManager安全管理器进⾏认证授权，它代表着当前的操作⽤户， 为什么⽤引号引起来呢？ 因为Subject有可能是⼈，有可能是其他的三⽅进程，定时作业等等，但是把它当成⽤户的话更好理解，每个Subject对象都必须与⼀个