Apache Shiro (发音为 shee-roh,日语堡垒(Castle)的意思)是一个强大简单易用的 Java安全框架,提供了 认证、授权、加密 和 会话管理 等功能,可为任何应用提供安全保障,从命令行应用、移动应用到大型网络及企业应用。相较于 SpringSecurity 来说较为简单,易于上手。
Apache Shiro 有三个核心的概念 Subject,SecurityManager 和 Realms,如下图所示:
1、Subject:主体,代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等,即一个抽象的概念。所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager。可以把 Subject 认为是一个门面,SecurityManager 才是实际的执行者。
在 Shiro 中通过 org.apache.shiro.SecurityUtils 类来获取 Subject 对象,如下所示:
import org.apache.shiro.subject.Subject;
import org.apache.shiro.SecurityUtils;
...
Subject currentUser = SecurityUtils.getSubject();更多关于 Subject 的信息可访问 http://shiro.apache.org/static/1.3.2/apidocs/org/apache/shiro/subject/Subject.html 进行了解
2、SecurityManager:安全管理器,即所有与安全有关的操作都会与 SecurityManager 交互,且它管理着所有 Subject,可以看出它是 Shiro 的核心。它负责与后边介绍的其他组件进行交互,类似于 SpringMVC 中的 DispatcherServlet 前端控制器。
3、Realm:域,Shiro 从 Realm 中获取安全数据(如用户、角色、权限)就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 中获取相应的用户进行比较以确定用户身份是否合法。也需要从 Realm 中得到用户相应的角色 / 权限进行验证用户是否能进行操作。
简而言之,创建一个基本的 Shiro 应用过程为:
- 应用代码通过
Subject来进行认证和授权,而Subject又委托给了SecurityManager。 - 我们需要给 Shiro 的 SecurityManager 注入
Realm,从而让 SecurityManager 能得到合法的用户及其权限进行判断。
Shiro 并没有为我们提供 Realm 的实现,需要我们手动编写实现。基本过程为 继承
org.apache.shiro.realm.AuthorizingRealm抽象类,实现doGetAuthorizationInfo和doGetAuthenticationInfo方法。
了解了 Shiro 的核心组件后,接下来看看 Shiro 为我们带来了哪些功能模块:
Shiro 提供了四大基本安全功能:认证,授权,会话管理 和 加密。
- 身份验证(Authentication):也称为登录验证,即验证输入得到用户名和密码是否正确。
- 授权(Authorization):根据用户的角色和权限来控制用户可以访问的资源。
- 会话管理(Session Management):即使在非 Web 或 EJB 应用程序中,也可以管理用户特定的 SESSION 会话。
- 密码学(Cryptography):使用加密算法保证数据的安全,同时易于使用。
除此之外,Shiro 也支持以下特性:
- Web的支持(Web Support):Shiro 提供的 Web 程序 API 可以帮助我们轻松的保护 Web应用程序。
- 缓存(Caching):缓存可确保安全验证操作保持快速高效。
- 并发性(Concurrency):Apache Shiro 支持具有并发功能的多线程应用程序。
- 测试(Testing):测试 API 帮助您编写单元测试和集成测试。
- 运行方式(Run As):允许用户以别的用户身份(如果允许)登录。
- 记住我(Remember Me):在会话中记住用户的身份,只有在强制登录时才需要登录。
我正在参与2023腾讯技术创作特训营第二期有奖征文,瓜分万元奖池和键盘手表
