简介
Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。这不就是我们想要的嘛,而且Shiro的API也是非常简单;其基本功能点如下图所示:
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:Web支持,可以非常容易的集成到Web环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
记住一点,Shiro不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过相应的接口注入给Shiro即可。
核心架构
接下来我们分别从外部和内部来看看Shiro的架构,对于一个好的框架,从外部来看应该具有非常简单易于使用的API,且API契约明确;从内部来看的话,其应该有一个可扩展的架构,即非常容易插入用户自定义实现,因为任何框架都不能满足所有需求。
首先,我们从外部来看Shiro吧,即从应用程序角度的来观察如何使用Shiro完成工作。如下图:
可以看到:应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject;其每个API的含义:
Subject:主题,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;
SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;
Realm:领域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。
也就是说对于我们而言,最简单的一个Shiro应用:
1、应用代码通过Subject来进行认证和授权,而Subject又委托给SecurityManager;
2、我们需要给Shiro的SecurityManager注入Realm,从而让SecurityManager能得到合法的用户及其权限进行判断。
从以上也可以看出,Shiro不提供维护用户/权限,而是通过Realm让开发人员自己注入。
总体架构
- Subject(org.apache.shiro.subject.Subject):主题,在
Subject
本质上是当前正在执行的用户的安全特定“视图”。“用户”一词通常表示一个人,一个人Subject
可以是一个人,但它也可以表示第三方服务,守护程序帐户,cron作业或类似的东西-基本上是当前与该软件交互的任何东西 - SecurityManager(org.apache.shiro.mgt.SecurityManager):
SecurityManager
是Shiro体系结构的核心,并充当一种“伞”对象,可协调其内部安全组件,这些组件一起形成对象图。但是,一旦为应用程序配置了SecurityManager及其内部对象图,通常就不用理会它了,应用程序开发人员几乎所有的时间都花在Subject
API上。 - Authenticator(org.apache.shiro.authc.Authenticator):认证器,负责主体认证的,负责执行和用户反应,以验证(登录)的尝试的组件。当用户尝试登录时,该逻辑由执行
Authenticator
。该Authenticator
知道如何与一个或多个协调Realms
该商店相关的用户/帐户信息。从这些数据中获得的数据Realms
用于验证用户的身份,以确保用户确实是他们所说的真实身份。- 其需要认证策略(org.apache.shiro.authc.pam.AuthenticationStrategy),即什么情况下算用户认证通过了;如果
Realm
配置了多个认证策略,则AuthenticationStrategy
它将协调领域,以确定认证尝试成功或失败的条件(例如,一个领域成功但其他领域失败) ,尝试是否成功?所有领域都必须成功吗?只有第一个领域?)。
- 其需要认证策略(org.apache.shiro.authc.pam.AuthenticationStrategy),即什么情况下算用户认证通过了;如果
- Authrizer(org.apache.shiro.authz.Authorizer):授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;
-
SessionManager(org.apache.shiro.session.mgt.SessionManager)
将SessionManager
知道如何创建和管理用户Session
生命周期,提供在所有环境中的用户强大的会话体验。这是安全框架领域中的一项独特功能-Shiro能够在任何环境中本地管理用户会话,即使没有Web / Servlet或EJB容器也可以。默认情况下,Shiro将使用现有的会话机制(例如Servlet容器)(如果可用),但是如果没有,例如在独立应用程序或非Web环境中,它将使用其内置的企业会话管理来提供相同的编程经验。的SessionDAO
存在允许任何数据源被用来坚持的会议。-
SessionDAO(org.apache.shiro.session.mgt.eis.SessionDAO)
的SessionDAO
执行Session
持久代(CRUD)操作SessionManager
。这允许将任何数据存储插入会话管理基础结构。
-
-
CacheManager的(org.apache.shiro.cache.CacheManager)
CacheManager
创建和管理Cache
其他shiro组件使用实例的生命周期。因为Shiro可以访问许多后端数据源以进行身份验证,授权和会话管理,所以缓存一直是框架中的一流架构功能,可以在使用这些数据源时提高性能。可以将任何现代的开源和/或企业缓存产品插入Shiro,以提供快速有效的用户体验。 -
Cryptography(org.apache.shiro.crypto.*)
企业安全框架的自然补充。Shiro的crypto
软件包包含易于使用和理解的密码学密码,哈希和不同编解码器实现的表示形式。该软件包中的所有类都经过精心设计,以使其易于使用和易于理解。Shiro的加密API简化了复杂的Java机制,并使加密技术易于为普通人使用。 -
Realm(org.apache.shiro.realm.Realm)
如上所述,领域充当Shiro与应用程序的安全数据之间的“桥梁”或“连接器”。当真正需要与安全性相关的数据(例如用户帐户)进行交互以执行身份验证(登录)和授权(访问控制)时,Shiro会从一个或多个为应用程序配置的领域中查找许多此类内容。您可以根据Realms
需要配置任意数量(通常每个数据源一个),并且Shiro会根据需要与它们进行协调,以进行身份验证和授权。