Apache Shiro简介-01

 

Apache Shiro简介

什么是Apache Shiro？

Apache Shiro是一个功能强大且灵活的开源安全框架，可以清晰地处理身份验证，授权，企业会话管理和加密。

Apache Shiro的首要目标是易于使用和理解。安全有时可能非常复杂，甚至是痛苦的，但并非必须如此。框架应尽可能掩盖复杂性，并提供简洁直观的API，以简化开发人员确保其应用程序安全的工作。

以下是Apache Shiro可以做的一些事情：

• 验证用户以验证其身份
• 为用户执行访问控制，例如：
  • 确定是否为用户分配了某个安全角色
  • 确定是否允许用户执行某些操作
• 在任何环境中使用Session API，即使没有Web容器或EJB容器也是如此。
• 在身份验证，访问控制或会话生命周期内对事件做出反应。
• 聚合用户安全数据的1个或多个数据源，并将其全部显示为单个复合用户“视图”。
• 启用单点登录（SSO）功能
• 无需登录即可为用户关联启用“记住我”服务
  ...... 
  以及更多 - 全部集成到一个易于使用的内聚API中。

Shiro尝试为所有应用程序环境实现这些目标 - 从最简单的命令行应用程序到最大的企业应用程序，而不强制依赖其他第三方框架，容器或应用程序服务器。当然，该项目旨在尽可能地融入这些环境，但它可以在任何环境中开箱即用。

Apache Shiro功能

Apache Shiro是一个具有许多功能的综合应用程序安全框架。下图显示了Shiro关注其能量的位置，此参考手册将以类似方式组织：

Shiro针对Shiro开发团队所称的“应用程序安全的四大基石” - 身份验证，授权，会话管理和加密：

• 身份验证：有时称为“登录”，这是证明用户是他们所说的人的行为。

• 授权：访问控制的过程，即确定“谁”可以访问“什么”。

• 会话管理：即使在非Web或EJB应用程序中，也可以管理特定于用户的会话。

• 密码学：使用加密算法保持数据安全，同时仍然易于使用。

还有其他功能可以在不同的应用程序环境中支持和强化这些问题，尤其是：

• Web支持：Shiro的Web支持API可帮助轻松保护Web应用程序。
• 缓存：缓存是Apache Shiro API中的第一层公民，可确保安全操作保持快速高效。
• 并发：Apache Shiro支持具有并发功能的多线程应用程序。
• 测试：存在测试支持以帮助您编写单元和集成测试，并确保您的代码按预期受到保护。
• “运行方式”：允许用户假定其他用户的身份（如果允许）的功能，有时在管理方案中很有用。
• “记住我”：记住用户在会话中的身份，因此他们只需要在必要时登录。