Apache Shiro(一)：理论知识部分初识

Apache_Shiro参考手册中文版：

链接：https://pan.baidu.com/s/1fwnHUMDPZhwfbQSVXNRYOw
提取码：ktiy
 

什么是 Apache Shiro?

Apache  Shiro 是一个强大而灵活的开源安全框架，它干净利落地处理身份认证，授权，企业会话管理和加密。

Apache  Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的，甚至是痛苦的，但它没有必要这样。框架应该尽可能掩盖复杂的地方，露出一个干净而直观的 API，来简化开发人员在使他们的应用程序安全上的努力。

以下是你可以用 Apache Shiro 所做的事情：

• 验证用户来核实他们的身份
• 对用户执行访问控制，如：
  • 判断用户是否被分配了一个确定的安全角色
  • 判断用户是否被允许做某事
• 在任何环境下使用 Session API，即使没有 Web 或 EJB 容器。
• 在身份验证，访问控制期间或在会话的生命周期，对事件作出反应。
• 聚集一个或多个用户安全数据的数据源，并作为一个单一的复合用户“视图”。
• 启用单点登录（SSO）功能。
• 为没有关联到登录的用户启用"Remember Me"服务

…

以及更多——全部集成到紧密结合的易于使用的 API 中。

Shiro 视图在所有应用程序环境下实现这些目标——从最简单的命令行应用程序到最大的企业应用，不强制依赖其他第三方框架，容器，或应用服务器。当然，该项目的目标是尽可能地融入到这些环境，但它能够在任何环境下立即可用。

Apache Shiro的特点

Apache Shiro 是一个拥有许多功能的综合性的程序安全框架。下面的图表展示了 Shiro 的重点，并且这个参考手册也会与之类似的被组织起来：

Shiro 把 Shiro 开发团队称为“应用程序的四大基石”——身份验证，授权，会话管理和加密作为其目标。

• Authentication：有时也简称为“登录”，这是一个证明用户是他们所说的他们是谁的行为。
• Authorization：访问控制的过程，也就是绝对“谁”去访问“什么”。
• Session Management：管理用户特定的会话，即使在非 Web 或 EJB 应用程序。
• Cryptography：通过使用加密算法保持数据安全同时易于使用。

也提供了额外的功能来支持和加强在不同环境下所关注的方面，尤其是以下这些：

• Web Support：Shiro 的 web 支持的 API 能够轻松地帮助保护 Web 应用程序。
• Caching：缓存是 Apache Shiro 中的第一层公民，来确保安全操作快速而又高效。
• Concurrency：Apache Shiro 利用它的并发特性来支持多线程应用程序。
• Testing：测试支持的存在来帮助你编写单元测试和集成测试，并确保你的能够如预期的一样安全。
• "Run As"：一个允许用户假设为另一个用户身份（如果允许）的功能，有时候在管理脚本很有用。
• "Remember Me"：在会话中记住用户的身份，所以他们只需要在强制时候登录

注意： Shiro不会去维护用户、维护权限，这些需要我们自己去设计/提供，然后通过相应的接口注入给Shiro。

High-Level Overview 高级概述

在概念层，Shiro 架构包含三个主要的理念：Subject,SecurityManager和 Realm。下面的图展示了这些组件如何相互作用，我们将在下面依次对其进行描述。

• Subject：当前用户，Subject 可以是一个人，但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它--当前和软件交互的任何事件。
• SecurityManager：管理所有Subject，SecurityManager 是 Shiro 架构的核心，配合内部安全组件共同组成安全伞。
• Realms：用于进行权限信息的验证，我们自己实现。Realm 本质上是一个特定的安全 DAO：它封装与数据源连接的细节，得到Shiro 所需的相关的数据。在配置 Shiro 的时候，你必须指定至少一个Realm 来实现认证（authentication）和/或授权（authorization）。

我们需要实现Realms的Authentication 和 Authorization。其中 Authentication 是用来验证用户身份，Authorization 是授权访问控制，用于对用户进行的操作授权，证明该用户是否允许进行当前操作，如访问某个链接，某个资源文件等。

参考：https://www.cnblogs.com/fengyuduke/p/10400843.html