Apache Shiro (发音为
shee-roh
,日语堡垒(Castle)的意思)是一个强大简单易用的
Java安全框架
,提供了
认证
、
授权
、
加密
和
会话管理
等功能,可为任何应用提供安全保障,从命令行应用、移动应用到大型网络及企业应用。相较于 SpringSecurity 来说较为简单,易于上手。
Apache Shiro 有三个核心的概念
Subject
,
SecurityManager
和
Realms
,如下图所示:
1、Subject:主体,代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是
Subject
,如网络爬虫,机器人等,即一个抽象的概念。所有
Subject
都绑定到
SecurityManager
,与
Subject
的所有交互都会委托给
SecurityManager
。可以把
Subject
认为是一个门面,
SecurityManager
才是实际的执行者。
在 Shiro 中通过
org.apache.shiro.SecurityUtils
类来获取
Subject
对象,如下所示:
import org.apache.shiro.subject.Subject;
import org.apache.shiro.SecurityUtils;
...
Subject currentUser = SecurityUtils.getSubject(); 更多关于 Subject 的信息可访问 http://shiro.apache.org/static/1.3.2/apidocs/org/apache/shiro/subject/Subject.html 进行了解
2、SecurityManager:安全管理器,即所有与安全有关的操作都会与
SecurityManager
交互,且它管理着所有 Subject,可以看出它是
Shiro
的核心。它负责与后边介绍的其他组件进行交互,类似于 SpringMVC 中的
DispatcherServlet
前端控制器。
3、Realm:
域
,Shiro 从 Realm 中获取安全数据(如用户、角色、权限)就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 中获取相应的用户进行比较以确定用户身份是否合法。也需要从 Realm 中得到用户相应的角色 / 权限进行验证用户是否能进行操作。
简而言之,创建一个基本的 Shiro 应用过程为:
- 应用代码通过
Subject
Subject
SecurityManager
- 我们需要给 Shiro 的 SecurityManager 注入
Realm
Shiro 并没有为我们提供 Realm 的实现,需要我们手动编写实现。基本过程为 继承 抽象类,实现 org.apache.shiro.realm.AuthorizingRealm
和 doGetAuthorizationInfo
方法。doGetAuthenticationInfo
了解了 Shiro 的核心组件后,接下来看看 Shiro 为我们带来了哪些功能模块:
- 身份验证(Authentication):也称为登录验证,即验证输入得到用户名和密码是否正确。
- 授权(Authorization):根据用户的角色和权限来控制用户可以访问的资源。
- 会话管理(Session Management):即使在非 Web 或 EJB 应用程序中,也可以管理用户特定的 SESSION 会话。
- 密码学(Cryptography):使用加密算法保证数据的安全,同时易于使用。
- Web的支持(Web Support):Shiro 提供的 Web 程序 API 可以帮助我们轻松的保护 Web应用程序。
- 缓存(Caching):缓存可确保安全验证操作保持快速高效。
- 并发性(Concurrency):Apache Shiro 支持具有并发功能的多线程应用程序。
- 测试(Testing):测试 API 帮助您编写单元测试和集成测试。
- 运行方式(Run As):允许用户以别的用户身份(如果允许)登录。
- 记住我(Remember Me):在会话中记住用户的身份,只有在强制登录时才需要登录。