#2019.2.2
Apache Shiro是基于java的一个安全框架。他帮助我们完成:认证、授权、加密、会话管理、web集成、缓存等问题。
在了Shiro之前,先要了解一下什么是权限管理?
权限管理:只要涉及到用户与系统的交互都需要进行权限的管理,权限管理能实现用户访问系统的控制,按照对应的安全规则或者机制进行限制,通俗来说,只允许用户访问被授权的资源。
权限管理包括用户用户身份验证和授权两个部分,简称授权认证。
用户身份验证:
1、身份认证:判断用户是否合法的一个过程。
2、subject:主体user。即访问系统的用户,主体可以是系统,用户等。进行认证到的都成为主体。
3、Principal 身份信息:他是主体进行身份认证的标识。标识具有唯一性,一个主体可以拥有多个身份,但必须要有一个主身份。
4、credential:凭证信息:与身份信息配对是否相符合的一个标识。相当于账号的一个密码。
授权:
1、访问控制,控制谁可以访问资源。主体进行身份验证后需要分配权限可以访问的资源,然而对于某些资源来说,若没有权限,身份验证通过也无法访问。
初始Shiro
刚刚说了,Apache Shiro是基于java的一个安全框架。这里,从功能的角度看一下Shiro的框架结构
Primary Concerns (核心关系):
Authentication:身份认证/登录。验证用户是否合法
Authorization:授权,即权限验证,验证主体用户是否有某个权限的分配。
Session Management:会话管理。即用户的在登录后的一次会话,在没有退出前,所有的信息都包含在会话中。
Cryptography:数据的加密,保证其安全性,如密码以密文而非明文的形式存储在数据库中。
Supporting Features (支持工具):
Web Supprot:提供web环境。该框架可以web环境中使用。
Caching(缓存):在用户登录后,可提供缓存,拥有的角色/权限不必每次对数据库进行访问,可提高效率。
Concurrency(并发性):shiro支持多线程应用的并发认证。在一个多线程中开启另一个多线程,权限会自动进行传输。
Testing(测试):提供测试的支持。
Run as:允许用户假装另一个用户(他们允许的话)的身份并进行访问。
Remember me:在本次登录退出后,下一次的访问不必重新进行访问。
从系统结构的角度看Shrio:
首先,要清楚Shiro架构主要的三个概念:Subject、Security Manager、Realms
Subject:访问系统的用户,他可以是人,程序,第三方等当前访问系统的主体,他是一个抽象的概念。而且,可以从程序中的位置通过 SecurityUtils.getSubject 的方式获取Subject对象,并进行操作。如登录,授权等。
Security Manager:如图所示,Security Manager是整个Shiro的核心,一切的访问都从Security Manager开始,Subject所有的操作都将委托给Manager去进行交互。
Realms:Realms充当了Shiro与数据安全间的“桥梁”,Realms可以看成DataSource(安全数据源),可以有一个或多个Realm。我们通常都自定义Realm,因为Shrio不清楚我们的用户存储/权限存储是以哪种的形式进行。
Authenticator(认证器):Authenticator负责对主体进行认证。而我们也可以自定义认证策略,即自定义安全规则,什么时候进行认证,什么情况认证成功或者失败。
Authorizer(授权器):Authorizer负责对主体进行授权,决定着用户主体可以有什么权限,能访问什么内容。
Cryptography:密码模块,提供且提高一些常用的加密组件用于密码的加密或者解密。
