首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >第二章:Shiro入门——深入浅出学Shiro细粒度权限开发框架

第二章:Shiro入门——深入浅出学Shiro细粒度权限开发框架

作者头像
MonroeCode
发布2018-02-09 16:56:10
6450
发布2018-02-09 16:56:10
举报
文章被收录于专栏:Java技术分享Java技术分享

Shiro是什么

  Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能 

Shiro能做什么

  认证:验证用户来核实他们的身份

  授权:对用户执行访问控制,如:

  判断用户是否被分配了一个确定的安全角色

  判断用户是否被允许做某事

  会话管理:在任何环境下使用Session API,即使没有Web 或EJB 容器。

  加密:以更简洁易用的方式使用加密的功能,保护或隐藏数据防止被偷窥

  Realms:聚集一个或多个用户安全数据的数据源,并作为一个单一的复合用户“视图”。

  启用单点登录(SSO)功能。

  为没有关联到登录的用户启用"Remember Me"服务

Shiro的四大部分——身份验证,授权,会话管理和加密

· Authentication:有时也简称为“登录”,这是证明用户是他们所说的他们是谁的行为。

· Authorization:访问控制的过程,也就是绝对“谁”去访问“什么”。

· Session Management:管理用户特定的会话,即使在非Web 或EJB 应用程序。

· Cryptography:通过使用加密算法保持数据安全同时易于使用

除了以上功能,shiro还提供很多扩展

  Web Support:主要针对web应用提供一些常用功能。

  Caching:缓存可以使应用程序运行更有效率。

  Concurrency:多线程相关功能。

  Testing:帮助我们进行测试相关功能

  "Run As":一个允许用户假设为另一个用户身份(如果允许)的功能,有时候在管理脚本很有用。

  “Remember Me”:记住用户身份,提供类似购物车功能。

Subject

  Subject 实质上是一个当前执行用户的特定的安全“视图”。Subject 可以是一个人,也可以代表第三方服务,或其他类似的任何东西——基本上是当前正与软件进行交互的任何东西。

  所有Subject 实例都被绑定到(且这是必须的)一个SecurityManager 上。当你与一个Subject 交互时,那些交互作用转化为与SecurityManager 交互的特定subject 的交互作用。

SecurityManager

  SecurityManager 是Shiro 架构的心脏,用来协调内部的安全组件共同构成一个对象图,管理内部组件实例,并通过它来提供安全管理的各种服务。

  实际开发中,程序人员主要与Subject交互,但是要认识到,当你正与一个Subject 进行交互时,实质上是幕后的SecurityManager 处理所有繁重的Subject 安全操作。

Realms

  Realms 担当Shiro 和你的应用程序的安全数据之间的“桥梁”或“连接器”。当它实际上与安全相关的数据如用来执行身份验证(登录)及授权(访问控制)的用户帐户交互时,Shiro 从一个或多个为应用程序配置的Realm 中寻找许多这样的东西。

  Realm 本质上是一个特定安全的DAO:它封装了数据源的连接详细信息,使Shiro 所需的相关的数据可用。当配置Shiro 时,你必须指定至少一个Realm 用来进行身份验证和/或授权。SecurityManager可能配置多个Realms,但至少有一个是必须的。

  Shiro 提供了立即可用的Realms 来连接一些安全数据源(即目录),如LDAP,关系数据库(JDBC),文本配置源,像INI 及属性文件,以及更多。你可以插入你自己的Realm 实现来代表自定义的数据源,如果默认地Realm 不符合你的需求。

Authenticator :是一个执行对用户的身份验证(登录)的组件。Authenticator 知道如何与一个或多个Realm 协调来存储相关的用户/帐户信息。从这些 Realm 中获得的数据被用来验证用户的身份来保证用户确实是他们所说的他们是谁。

如果存在多个realm,则接口AuthenticationStrategy会确定什么样算是登录成功(例如,如果一个Realm成功,而其他的均失败,是否登录成功?)。

Authorizer :授权实质上就是访问控制 - 控制用户能够访问应用中的哪些内容,比如资源、Web页面等等。

SessionManager :提供可在任何应用或架构层一致地使用Session API。

SessionDAO:代表SessionManager 执行Session 持久化(CRUD)操作。

CacheManager :对Shiro的其他组件提供缓存支持。

Cryptography:Shiro的api大幅度简化java api中繁琐的密码加密

Realms:Realms 在Shiro 和你的应用程序的安全数据之间担当“桥梁”或“连接器”。简单的说,shiro通过Realms来获取相应的安全数据

Shiro 的 HelloWorld

构建开发和运行环境:

1:在eclipse里面创建一个基本的java工程

2:加入所需要的jar包

在src下创建TestShiro.ini文件,内容如下:

[users]
javass = cc,role1
[roles]
role1 = p1,p2

创建cn.javass.hello包,并创建HelloWorld类

public class HelloWorld {
  public static void main(String[] args) {
  Factory<org.apache.shiro.mgt.SecurityManager> f = new IniSecurityManagerFactory("classpath:TestShiro.ini");
  org.apache.shiro.mgt.SecurityManager s = f.getInstance();
  SecurityUtils.setSecurityManager(s);
  UsernamePasswordToken token = new UsernamePasswordToken("javass","cc");
  token.setRememberMe(true);
  Subject currentUser = SecurityUtils.getSubject();
  currentUser.login(token);
  boolean flag = currentUser.isPermitted("p1");
  System.out.println("flag==" + flag);
  }
}
本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
多因子身份认证
多因子身份认证(Multi-factor Authentication Service,MFAS)的目的是建立一个多层次的防御体系,通过结合两种或三种认证因子(基于记忆的/基于持有物的/基于生物特征的认证因子)验证访问者的身份,使系统或资源更加安全。攻击者即使破解单一因子(如口令、人脸),应用的安全依然可以得到保障。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档