1.什么是shiro
shiro是apache公司下一款優秀的Java安全認證框架���,它強大且容易使用,它支持身份驗證�、授權�����、密碼和會話管理功能��,與shiro有著同樣功能的框架是Spring Security����,對比Spring Security來看����,shiro用起來簡單且可以脫離Spring使用,但是Spring Security不能夠脫離Spring去使用�����,shiro屬于一種輕量級的框架��,所以許多公司都在使用shiro���。
2.框架原理圖及名詞解釋
名詞解釋
subject:主體�����,可以是用戶也可以是程序,主體要訪問系統����,系統需要對主體進行認證、授權。
securityManager:安全管理器,主體進行認證和授權都是通過securityManager進行���。它包含下面的認證器和授權器。
authenticator:認證器,主體進行認證最終通過authenticator進行的�。
authorizer:授權器��,主體進行授權最終通過authorizer進行的。
sessionManager:web應用中一般是用web容器對session進行管理,shiro也提供一套session管理的方式?���?梢詫崿F單點登錄���。
SessionDao:通過SessionDao管理session數據����,針對個性化的session數據存儲需要使用sessionDao。
cache Manager:緩存管理器��,主要對session和授權數據進行緩存�,比如將授權數據通過cacheManager進行緩存管理,和ehcache整合對緩存數據進行管理����。
realm:域��,領域,相當于數據源����,通過realm存取認證��、授權相關數據。(它的主要目的是與數據庫打交道�����,查詢數據庫中的認證的信息(比如用戶名和密碼)���,查詢授權的信息(比如權限的code等����,所以這里可以理解為調用數據庫查詢一系列的信息�����,一般情況下在項目中采用自定義的realm��,因為不同的業務需求不一樣))
注意:在realm中存儲授權和認證的邏輯。
cryptography:密碼管理,提供了一套加密/解密的組件��,方便開發����。比如提供常用的散列、加/解密等功能,比如md5散列算法。
認證原理圖
認證流程
subject(主體)請求認證����,調用subject.login(token)
SecurityManager(安全管理器)執行認證
SecurityManager通過ModularRealmAuthenticator進行認證���。
ModularRealmAuthenticator將token傳給realm��,realm根據token中用戶信息從數據庫查詢用戶信息(包括身份和憑證),realm如果查詢不到用戶給ModularRealmAuthenticator返回null,ModularRealmAuthenticator拋出異常(用戶不存在)�,realm如果查詢到用戶給ModularRealmAuthenticator返回AuthenticationInfo(認證信息)�,ModularRealmAuthenticator拿著AuthenticationInfo(認證信息)去進行憑證(密碼)比對��。如果一致則認證通過���,如果不致拋出異常(憑證錯誤)�����。
授權原理圖
授權流程
對subject進行授權���,調用方法isPermitted("")或者hasRole("")
SecurityManager執行授權�,通過ModularRealmAuthorizer執行授權
ModularRealmAuthorizer執行realm(自定義的CustomRealm)從數據庫查詢權限數據調用realm的授權方法:doGetAuthorizationInfo
realm從數據庫查詢權限數據,返回ModularRealmAuthorizer
ModularRealmAuthorizer調用PermissionResolver進行權限串比對
如果比對后��,isPermitted中"permission串"在realm查詢到權限數據中�,說明用戶訪問permission串有權限,否則沒有權限�����,拋出異常���。
Shiro過濾器標簽配置列表及權限可訪問對比
/admins/**=anon # 表示該 uri 可以匿名訪問/admins/**=auth # 表示該 uri 需要認證才能訪問/admins/**=authcBasic # 表示該 uri 需要 httpBasic 認證/admins/**=perms[user:add:*] # 表示該 uri 需要認證用戶擁有 user:add:* 權限才能訪問/admins/**=port[8081] # 表示該 uri 需要使用 8081 端口/admins/**=rest[user] # 相當于 /admins/**=perms[user:method]��,其中���,method 表示 get��、post�����、delete 等/admins/**=roles[admin] # 表示該 uri 需要認證用戶擁有 admin 角色才能訪問/admins/**=ssl # 表示該 uri 需要使用 https 協議/admins/**=user # 表示該 uri 需要認證或通過記住我認證才能訪問/logout=logout # 表示注銷,可以當作固定配置
以上就是動力節點小編介紹的"Shiro框架原理解析",希望對大家有幫助���,想了解更多可查看Shiro視頻教程。動力節點在線學習教程�����,針對沒有任何Java基礎的讀者學習,讓你從入門到精通,主要介紹了一些Java基礎的核心知識��,讓同學們更好更方便的學習和了解Java編程�����,感興趣的同學可以關注一下�。
Java實驗班
Java就業班
Java夜校直播班
Java在職加薪班
Java架構師班
京公網安備 11030102010736號