将Shiro作为应用的权限基础一shiro的整体架构.docVIP

将 Shiro 作为应用的权限基础?shiro的整体架构 近来在做一个重量级的项目，其中权限、日志、报表、工作量由我负责，工作量还是蛮大的，不过想那么多干嘛，做就是了。 这段时间，接触的东西挺多，比如apacheshiro，spring data，springside、DWZ等，java的东西好多，学过ssh就像当初学过三层一样。 ? 下面看看这个安全框架吧 一、什么是Shiro? Shiro是一个强大而灵活的开源安全框架，能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点： 简单的身份认证（登录），支持多种数据源（LDAP，JDBC，Kerberos，ActiveDirectory 等）； 对角色的简单的控制，支持细粒度的签权； 支持一级缓存，以提升应用程序的性能； 内置的基于 POJO 企业会话管理，适用于 Web 以及非 Web 的环境； 不跟任何的框架或者容器捆绑，可以独立运行。 ? Spring Security —?Java安全框架领域当之无愧的老大，已经非常成熟了；如果使用?Spring框架，可以首选?Spring Security，但是对于单应用来说，Shiro更显简单方便。 二、Shiro的架构介绍? 首先，来了解一下Shiro的三个核心组件：Subject,SecurityManager 和 Realms. 如下图：? Subject：即“当前操作用户”。但是，在Shiro中，Subject这一概念并不仅仅指人，也可以是第三方进程、后台帐户（DaemonAccount）或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途，你可以把它认为是Shiro的“用户”概念。? Subject代表了当前用户的安全操作，SecurityManager则管理所有用户的安全操作。? ? SecurityManager：它是Shiro框架的核心，这是一个 Fa?ade=Authenticator+ Authorizer +SessionFactory，Shiro通过SecurityManager来管理内部组件，并通过它来提供安全管理的各种服务。? ? Realm：Realm充当了Shiro与应用安全数据间的“桥梁”。也就是说，当对用户执行认证（登录）和授权（访问控制）验证时，Shiro会从应用配置的Realm中查找用户及其权限信息。? 从这个意义上讲，Realm实质上是一个安全相关的DAO：它封装了数据源的连接细节，并在需要时将相关数据提供给Shiro。 配置Shiro时，你必须至少指定一个Realm，用于认证和（或）授权。Shiro内置了可以连接大量安全数据源的Realm，如LDAP、关系数据库（JDBC）、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求，你还可以插入代表自定义数据源的自己的Realm实现。? 以常用的JdbcRealm 为例，其继承链如下： Shiro完整架构图：?除前文所讲Subject、SecurityManager、Realm三个核心组件外，Shiro主要组件还包括：? Authenticator ： 认证就是核实用户身份的过程。对“Whoare you ？”进行核实。通常涉及用户名和密码。 这个组件负责收集principals 和 credentials，并将它们提交给应用系统。如果提交的 credentials 跟应用系统中提供的 credentials吻合，就能够继续访问，否则需要重新提交 principals 和 credentials，或者直接终止访问。 Authorizer ： 授权实质上就是访问控制控制用户能够访问应用中的哪些内容，比如资源、Web页面等等。? Shiro采用“基于 Realm”的方法，即用户（又称 Subject）、用户组、角色和 permission 的聚合体。 ? SessionManager： Shiro为任何应用提供了一个会话编程范式，使用会话的应用开发，不必被迫使用Servlet或EJB容器了。或者，如果正在使用这些容器，现在也可以选择在任何层统一一致的使用会话API，取代Servlet或EJB机制。? ? CacheManager:对Shiro的其他组件提供缓存支持。? 了解这个架构图，主要对shiro的整体进行把控