Shiro基本入門教程【java培訓(xùn)】

1.Shiro概述

Shiro是一款A(yù)pache提供的權(quán)限校驗(yàn)框架， Shiro同時(shí)也是一個(gè)強(qiáng)大且易用的Java安全框架,執(zhí)行身份驗(yàn)證、授權(quán)、密碼學(xué)和會(huì)話管理。使用Shiro的易于理解的API,您可以快速、輕松地獲得任何應(yīng)用程序,從最小的移動(dòng)應(yīng)用程序到最大的網(wǎng)絡(luò)和企業(yè)應(yīng)用程序，特別是今天對(duì)權(quán)限校驗(yàn)和管理特別嚴(yán)格，大家有必要對(duì)shiro有一個(gè)基本的認(rèn)識(shí)和學(xué)習(xí)。推薦了解java培訓(xùn)課程。

2.Shiro的三大核心組件

（1）Subject ：當(dāng)前用戶的操作

（2）SecurityManager：用于管理所有的Subject

（3）Realms：用于進(jìn)行權(quán)限信息的驗(yàn)證

如下圖：各組件之間的調(diào)用關(guān)系：

Subject：翻譯為主角，當(dāng)前參與應(yīng)用安全部分的主角?？梢允怯脩?，可以試第三方服務(wù)，可以是cron 任務(wù)，或者任何東西。主要指一個(gè)正在與當(dāng)前軟件交互的東西。所有Subject都需要SecurityManager，當(dāng)你與Subject進(jìn)行交互，這些交互行為實(shí)際上被轉(zhuǎn)換為與SecurityManager的交互。

SecurityManager：安全管理員，Shiro架構(gòu)的核心，它就像Shiro內(nèi)部所有原件的保護(hù)傘。然而一旦配置了SecurityManager，SecurityManager就用到的比較少，開發(fā)者大部分時(shí)間都花在Subject上面請(qǐng)記得，當(dāng)你與Subject進(jìn)行交互的時(shí)候，實(shí)際上是SecurityManager在背后幫你舉起Subject來做一些安全操作。

Realms：Realms作為Shiro和你的應(yīng)用的連接橋，當(dāng)需要與安全數(shù)據(jù)交互的時(shí)候，像用戶賬戶，或者訪問控制，Shiro就從一個(gè)或多個(gè)Realms中查找。Shiro提供了一些可以直接使用的Realms，如果默認(rèn)的Realms不能滿足你的需求，你也可以定制自己的 Realms。

3.Shiro的十大功能特點(diǎn)

3.1功能特點(diǎn)

Shiro包含10個(gè)內(nèi)容，如下圖：

(1) Authentication：身份認(rèn)證/登錄，驗(yàn)證用戶是不是擁有相應(yīng)的身份。

(2)Authorization：授權(quán)，即權(quán)限驗(yàn)證，驗(yàn)證某個(gè)已認(rèn)證的用戶是否擁有某個(gè)權(quán)限;即判斷用戶是否能做事情，常見的如：驗(yàn)證某個(gè)用戶是否擁有某個(gè)角色?；蛘呒?xì)粒度的驗(yàn)證某個(gè)用戶對(duì)某個(gè)資源是否具有某個(gè)權(quán)限。

(3)Session Manager：會(huì)話管理，即用戶登錄后就是一次會(huì)話，在沒有退出之前，它的所有信息都在會(huì)話中;會(huì)話可以是普通 JavaSE 環(huán)境的，也可以是如 Web 環(huán)境的。

(4)Cryptography：加密，保護(hù)數(shù)據(jù)的安全性，如密碼加密存儲(chǔ)到數(shù)據(jù)庫，而不是明文存儲(chǔ)。

(5)Web Support：Web支持，可以非常容易的集成到 web 環(huán)境。

(6)Caching：緩存，比如用戶登錄后，其用戶信息、擁有的角色/權(quán)限不必每次去查，這樣可以提高效率。

(7)Concurrency：shiro 支持多線程應(yīng)用的并發(fā)驗(yàn)證，即如在一個(gè)線程中開啟另一個(gè)線程，能把權(quán)限自動(dòng)傳播過去。

(8)Testing：提供測(cè)試支持。

(9)Run As：允許一個(gè)用戶假裝為另一個(gè)用戶(如果他們?cè)试S)的身份進(jìn)行訪問。

(10)Remember Me：記住我，這個(gè)是非常常見的功能，即一次登錄后，下次再來的話不用登錄了。

4.Shiro 的運(yùn)行原理

1) Subject：主體，可以看到主體可以是任何與應(yīng)用交互的“用戶”。

2) SecurityManager：相當(dāng)于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher。它是 Shiro 的核心，所有具體的交互都通過SecurityManager 進(jìn)行控制。它管理著所有 Subject、且負(fù)責(zé)進(jìn)行認(rèn)證和授權(quán)、及會(huì)話、緩存的管理。

3) Authenticator：認(rèn)證器，負(fù)責(zé)主體認(rèn)證的，這是一個(gè)擴(kuò)展點(diǎn)，如果用戶覺得 Shiro 默認(rèn)的不好，我們可以自定義實(shí)現(xiàn)。其需要認(rèn)證策略(Authentication Strategy)，即什么情況下算用戶認(rèn)證通過了。

4) Authrizer：授權(quán)器，或者訪問控制器。它用來決定主體是否有權(quán)限進(jìn)行相應(yīng)的操作，即控制著用戶能訪問應(yīng)用中的哪些功能。

5) Realm：可以有1個(gè)或多個(gè) Realm，可以認(rèn)為是安全實(shí)體數(shù)據(jù)源，即用于獲取安全實(shí)體的。它可以是 JDBC 實(shí)現(xiàn)，也可以是 LDAP 實(shí)現(xiàn)，或者內(nèi)存實(shí)現(xiàn)等。

6) SessionManager：如果寫過 Servlet 就應(yīng)該知道 Session 的概念，Session 需要有人去管理它的生命周期，這個(gè)組件就是 SessionManager。而 Shiro 并不僅僅可以用在 Web 環(huán)境，也可以用在如普通的 JavaSE 環(huán)境。

7) SessionDAO：DAO 大家都用過，數(shù)據(jù)訪問對(duì)象，用于會(huì)話的 CRUD。我們可以自定義 SessionDAO 的實(shí)現(xiàn)，控制 session 存儲(chǔ)的位置。如通過 JDBC 寫到數(shù)據(jù)庫或通過 jedis 寫入 redis 中。另外 SessionDAO 中可以使用 Cache 進(jìn)行緩存，以提高性能。

8) CacheManager：緩存管理器。它來管理如用戶、角色、權(quán)限等的緩存的。因?yàn)檫@些數(shù)據(jù)基本上很少去改變，放到緩存中后可以提高訪問的性能。

9) Cryptography：密碼模塊，Shiro 提高了一些常見的加密組件用于如密碼加密/解密的。

5、Shiro的基本入門

今天我們 演示 S hiro 的 入門，沒有整合 任何 框架， 只是 單純的演示 S h iro 運(yùn)行 原理，所以無需創(chuàng)建經(jīng)典的五張表。

5.1 使用 Idea 創(chuàng)建一個(gè)Maven 項(xiàng)目

在pom.xml中添加如下依賴：

5.2 任意創(chuàng)建一個(gè)包，在里面創(chuàng)建一個(gè) 測(cè)試的Demo類

5.3 創(chuàng)建 一個(gè) shiro.ini 配置文件

Shiro提供了一個(gè)通用的方案通過 INI 進(jìn)行配置 ，當(dāng)然也可以通過XML，YMAL，JSON等進(jìn)行配置。在resource目錄下面，創(chuàng)建一個(gè)shiro.ini的文件。內(nèi)容如下：

5.4 引用Shiro.ini 配置進(jìn)行測(cè)試

現(xiàn)在改變我們的Demo類文件，內(nèi)容如下

6、通過shiro演示我們學(xué)到了什么

這個(gè)相對(duì)來說是一個(gè)簡(jiǎn)單的程序，但也證明了一些shiro的基本用法，我們可以通過shiro進(jìn)行認(rèn)證，權(quán)限控制等。

本文對(duì)Shiro進(jìn)行了一個(gè)基本介紹，Shiro具體在開發(fā)中的實(shí)際應(yīng)用，以及更多在開發(fā)中的應(yīng)用，我們并沒有具體說太多，比如和其它框架的整合等等，如果想對(duì)Shiro有更多的了解，請(qǐng)前往官網(wǎng)查閱。

猜你喜歡：
Java函數(shù)式編程入門教程