什么是Apache Shiro?
Apache Shiro(发音为“shee-roh”,日文为'castle')是一个功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,并可用于保护任何应用程序 - 从命令行应用程序,移动应用程序到最大的Web和企业应用程序
01 shiro主要应用
- 身份认证--验证用户身份,通常称为用户登录
- 授权--访问控制
- 加密--保护或者隐藏窥探数据
- 会话管理---每个用户时间敏感状态
shiro还支持一些辅助功能,如Web应用程序的安全,单元测试,多线程支持,这些辅助功能都是强化以上四个功能。
02 优点
- 易于使用 --接口简单,易于开发
- 功能丰富 --可以根据安全需求提供一站式的服务
- 扩展灵活 --可以在任何应用程序环境中工作,也可以根据需求定制
- 可插拔 --Shiro干净的API和设计模式可以很容易地与许多其他框架和应用程序集成
- 对WEB支持优秀 --轻量级WEB支持
- Apache社区支持 --开源支持
03 核心概念
- Subject 主题
基本意思是“当前正在执行的用户”,在shiro中不称为用户。而是“主题”,术语“主题”可以指一个人,但也有3 次会谈进程,守护进程帐户,或其它类似的。它只是意味着“当前与软件交互的东西”。
一旦获得了这个主题,你就可以立即访问Shiro为当前用户做的所有事情的90%,比如登录,注销,访问他们的会话,执行授权检查等等 。shiro-api很直观的反映以每个用户操作管理的思维。在代码的任何地方都可以轻松访问主题,从而在需要的任何地方进行安全操作。
获取主题:
import org.apache.shiro.subject.Subject;
import org.apache.shiro.SecurityUtils;
...
Subject currentUser = SecurityUtils.getSubject();
- SecurityManager 安全管理器
SecurityManager管理所有用户的安全操作,是shiro的核心结构。内部引用了许多安全组件。但是一旦配置好了SecurityManager实例,它几乎就是独立的。开发人员只需关注Subject-API
如何配置SecurityManager? 这一般取决于应用的环境,例如web程序一般会在web.xml中指定一个shiro的过滤器,并将设置为SecurityManager实例。如果在独立的应用程序,则需要另一种方式进行配置。
每个应用程序几乎都只需要一个SecurityManager实例。本质上是一个应用程序单例。像shiro几乎所有对象一样,默认的SecutiryManager实现是一个POJO,可以配置任何POJO兼容的的配置机制, 普通Java代码,Spring XML,YAML,.properties和.ini文件等。基本上任何能够实例化可以使用类和调用JavaBeans兼容的方法。
Shiro通过基于文本的INI配置提供默认的解决方案。INI易于阅读,使用简单,并且只需很少的依赖关系。
通过shiro.ini文件配置:
[main]
cm = org.apache.shiro.authc.credential.HashedCredentialsMatcher
cm.hashAlgorithm = SHA-512
cm.hashIterations = 1024
cm.storedCredentialsHexEncoded = false
[users]
zhang=123
wang=123
- [main]部分是配置SecurityManager对象和/或SecurityManager使用的任何对象(如领域)的位置。
- [users]部分是您可以指定用户帐户的静态列表的地方 - 方便简单的应用程序或测试时使用。
其它配置参考[http://shiro.apache.org/documentation.html ]
加载SecurityManager过程:
