Java安全（權限）框架 - Shiro 功能講解 架構分析

作者 ： Stanley 羅昊

【轉載請注明出處和署名，謝謝！】

簡述Shiro

Shiro出自公司Apache（阿帕奇），是java的一個安全和權限框架；

在這之前，我想各位應該也學過 SpringMvc、struts2。他們都是web的mvc框架，緊接着一些ORM框架，比如Mybatis 、Hibernate，而這個Shiro更加主流、也更加簡單易用，它不但是適用於javaSE環境，也適用於javaEE環境；

Shiro可以完成如：認證、授權、加密、會話管理、與web集成、緩存等；

Shiro功能簡介

Authentication

認證，說白了就是登陸，我們可以利用Shiro完成登陸，登錄時的密碼匹配，就是Shiro幫我們完成的

Authorization

授權，當我們點一個連接或一個按鈕的時候，Shiro會幫我們判斷你有沒有這個權限；

SessionManagement

Shiro向我們提供的Session；

我們在web環境下可以使用SesCryptsion，當然，這個是httpSession，如果使用Shiro的話，即便你身處非web環境下，我們也可以使用Session，那個Session，就是Shiro給我們提供的；

Cryptography

加密，到后面會有具體詳解；

Web Support

可以很容易的跟，JavaEE應用進行集成；

Caching

可以在多線程的情況下進行授權，認證；

Tssting

測試

Caching

Shiro提供了緩存模塊，讓我們的運行速度更快；

Run As

讓，已經登錄的用戶，以另外一個用戶的身份，來操作當前的系統；

RememberMe

記住我

Shiro架構

從外部看，最主要的組件有兩個：

SecunityManager 、 Realm

架構圖講解：

Application Code，當應用程序去訪問Shiro的時候，那么就一定會是Subject（這個就表示當前用戶），比如你等沒登錄、如何登陸、你是不是可以訪問某一個權限、都是要去搞這個Subject，它是一個門面；

而，后面的核心是SecurityManager，它就像一個大管家一樣，它管理者Shiro的各個組件；

當我們需要訪問一些安全數據的時候，比如：獲取用戶信息，獲取權限信息，我們就需要用到這個Reaim，它相當於是一個SecrityDAO

Shiro架構詳細分析

subject：應用代碼直接交互點對象是Subject，也就是說Shiro的對外API核心就是Subject。Subject代表了當前“用戶”，這個用戶不一定是一個具體的人，與當前應用交互的任何東西都是Subject，如網絡爬蟲、機器人等；

與Subject的交互都會委托給SecurityManager才是實際的執行者；

SecurityManager：安全管理器；即所有與安全有關的操作都會與SecurityManager交互；且其管理所有Subject；可以看出他是Shiro的核心，它負責與Shiro的其他組裝件進行交互，它相當於SpringMVC中的DispatcherServlet

Realm：Shiro從Realm獲取安全數據（如用戶、角色、權限），就是說SecurityManager需要驗證用戶身份，那么它需要從Realm得到用戶相應的角色/權限進行驗證用戶是否能進行操作；可以把Realm看成DataSource