【shiro权限管理】1.shiro简介

xiaoxiaoHer

浏览: 323323 次
性别:
来自: 南京

最近访客更多访客>>

long-zhigang

kxlele

vvdeng

cht的大摩托

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

shiro

【shiro权限管理】系列文章转自光仔December 后面不做赘述

一、简介

在Web系统中我们经常要涉及到权限问题，例如不同角色的人登录系统，他操作的功能、按钮、菜单是各不相同的，这就是所谓的权限。

Apache Shiro是Java的一个安全（权限）框架，Shiro可以完成认证、授权、加密、会话管理、Web集成、缓存等功能。适用于JavaSE和JavaEE。

关于安全框架，还有一个Spring Security框架，不过目前使用率比较高的还是Apache Shiro

官网下载：http://shiro.apache.org/ 登录上述网站，可以下载Shiro开发包与文档

Shiro的基本功能点如下图所示：

Shiro的最主要的功能分别是Authentication、Authorization、Session Management、Cryptography、Web Support、Caching、Concurency、Testing、Run As、Remember Me。分别解释一下上面的主要功能：

(1)Authentication

即是“认证”功能，说白了登录。我们可以利用Shiro实现登录效果，通过Shiro帮我们完成密码匹配的工作。

(2)Authorization

即是“授权”功能，当我们点一个链接或按钮的时候，Shiro会帮我们判断操作者有没有权限访问该服务。

(3)Session Management

即是“会话管理”功能，在Web系统下(即JavaEE)环境下，是对Http的Session进行托管。而在JavaSE下是由Shiro单独提供一种Session机制。

(4)Cryptography

即是“加密”功能，我们可以很容易的使用Shiro为密码进行“加盐”加密。

(5)Web Support

对于Web进行支持。Shiro可以很容易的与JavaEE工程进行集成。

(6)Concurency

在多线程的情况下，来进行授权认证。例如在一个线程中开启另外一个线程，能把权限自动传播过去。

(7)Caching

Shiro的缓存模块，让系统的授权机制运行速度更快。

(8)Run As

让已经登录的用户，以另外一个用户的身份来操作当前的项目和系统。

(9)Remember Me

即“记住我”，是一个十分常见的功能，即是一次登录后，下次再次访问则不需要登录。

(10)Testing

Shiro提供测试支持。

二、Shiro架构
(1)从外部看Shiro
Shiro的架构从外部看如下图：

其中Application Code代表应用程序的代码，当一个用户去访问应用程序时，Shiro会生成一个该用户Subject对象，代表的是“current User”，即当前用户对象。而下面的Shiro SecurityManager是一个“大管家”的角色，它管理着Shiro的各个组件，而与Subject的所有交互都会委托给SecurityManager。其实Subject仅仅是一个“门面”，SecurityManager才是实际的执行者。

当我们需要访问一些安全数据的时候，需要使用到Realm，它相当于Shiro的一个DataSource。Shiro会从Realm中获取安全数据（如用户、角色、权限），就是说SecurityManager要验证用户身份，需要从Realm中获取相应的用户进行比较以确定用户身份是否合法；也需要从Realm中得到用户相应的角色、权限进行验证用户是否能进行操作。

(2)从内部看Shiro

Shiro的架构从内部看如下图：

最上层的是我们的各种语言编写的应用程序，而这些应用程序都是通过Subject与Shiro进行交互的，而Subject就是与整个SecurityManager打交道。