首页  

Shiro简介     所属分类 shiro 浏览量 867
Apache Shiro 安全框架
比Spring Security 简单

认证与授权相关基本概念

安全实体   系统需要保护的具体对象数据
权限       系统相关的功能操作,例如基本的CRUD

Authentication 
身份认证/登录,验证用户身份

Authorization  
授权,权限验证,验证某个已认证的用户是否拥有某个权限
验证某个用户是否拥有某个角色 ,验证某个用户对某个资源是否具有某个权限

Session Manager
会话管理,用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中
普通JavaSE环境 或者 Web环境


Cryptography
加密,保护数据的安全性,密码加密存储而不是明文

Web Support
Web支持,集成到Web环境

Caching
缓存,用户登录后,缓存用户信息、拥有的角色/权限  

Concurrency
支持多线程应用的并发验证
比如在一个线程中开启另一个线程,能把权限自动传播过去

Testing 提供测试支持

Run As
允许一个用户假装为另一个用户的身份进行访问

RememberMe
常见功能,登录后,下次不用登录


Shiro四大核心功能
Authentication,Authorization,Cryptography,Session Management

Shiro三个核心组件
Subject, SecurityManager 和 Realms

Subject
主体,代表当前 用户,不一定是一个具体的人
与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等
所有Subject都绑定到SecurityManager
与Subject的所有交互都会委托给SecurityManager



SecurityManager
安全管理器 与安全有关的操作都会与SecurityManager交互
管理着所有Subject,负责与其他组件交互

Realm
域,Shiro从Realm获取安全数据(如用户、角色、权限)
SecurityManager要验证用户身份,需要从Realm获取相应的用户进行比较以确定用户身份是否合法
从Realm得到用户相应的角色/权限进行验证用户是否能进行操作
可以把Realm看成DataSource,即安全数据源

上一篇     下一篇
spring security 模块简介

Spring实战第四版保护Web应用笔记

Spring Security和Shiro简单比较

通配符和正则的区别

shiro实例

职场修炼心法