(一) Shiro安全框架简介
1.1 Shiro 概述
Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。
1.2Shiro 概要架构
在概念层,Shiro 架构包含三个主要的理念:
(1)Subject,
(2)SecurityManager
(3)Realm
1.3 Shiro 详细架构
Shiro 的核心架构思想如下图所示:
通过Shiro框架进行权限管理时,要涉及到的一些核心对象,主要包括:认证管理对象,授权管理对象,会话管理对象,缓存管理对象,加密管理对象以及Realm管理对象(领域对象:负责处理认证和授权领域的数据访问题)
1) Subject(主体):与软件交互的一个特定的实体(用户、第三方服务等)。
2) SecurityManager(安全管理器) :Shiro 的核心,用来协调管理组件工作。
3) Authenticator(认证管理器):负责执行认证操作
4) Authorizer(授权管理器):负责授权检测
5) SessionManager(会话管理):负责创建并管理用户 Session 生命周期,提供一个强有力的 Session 体验。
6) SessionDAO:代表 SessionManager 执行 Session 持久(CRUD)动作,它允许任何存储的数据挂接到 session 管理基础上。
7) CacheManager(缓存管理器):提供创建缓存实例和管理缓存生命周期的功能
8) Cryptography(加密管理器):提供了加密方式的设计及管理。
9) Realms(领域对象):是shiro和你的应用程序安全数据之间的桥梁。
用户资源访问控制:
(二) Shiro 认证与授权分析 (重要)
2.1Shiro 认证流程
身份认证:判定用户是否是系统的合法用户。
用户访问系统资源时的认证(对用户身份信息的认证)流程如下:
具体流程分析如下:
1)系统调用subject的login方法将用户信息提交给SecurityManager
2)SecurityManager将认证操作委托给认证器对象Authenticator
3)Authenticator将身份信息传递给Realm。
4)Realm访问数据库获取用户信息然后对信息进行封装并返回。
5)Authenticator 对realm返回的信息进行身份认证。
2.1Shiro 授权流程
授权:对用户资源访问的授权(是否允许用户访问此资源)
用户访问系统资源时的授权流程如下:
1)系统调用subject相关方法将用户信息(例如isPermitted)递交给SecurityManager
2)SecurityManager将权限检测操作委托给Authorizer对象
3)Authorizer将用户权限信息的获取委托给realm对象.
4)Realm访问数据库获取用户权限信息并封装。
5)Authorizer对用户授权信息进行判定。
如果不使用shiro框架我们可以通过自己写 filter(过滤器),intercetor(拦截器) 实现。
天高任鸟飞
海阔任鱼跃