Shiro 入门概述

news2024/11/14 21:31:57

目录

是什么

为什么要用 Shiro 

Shiro 与 SpringSecurity 的对比

基本功能

原理


是什么

Apache Shiro 是一个功能强大且易于使用的 Java 安全(权限)框架。Shiro 可以完 成:认证、授权、加密、会话管理、与 Web 集成、缓存 等。借助 Shiro 您可以快速轻松 地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。

官网:https://shiro.apache.org/

为什么要用 Shiro 

自 2003 年以来,框架格局发生了相当大的变化,因此今天仍然有很多系统在使用Shiro。这与 Shiro 的特性密不可分。

  1. 易于使用:使用 Shiro 构建系统安全框架非常简单。就算第一次接触也可以快速掌握。
  2. 全面:Shiro 包含系统安全框架需要的功能,满足安全需求的“一站式服务”。
  3. 灵活:Shiro 可以在任何应用程序环境中工作。虽然它可以在 Web、EJB 和 IoC 环境中工作,但不需要依赖它们。Shiro 也没有强制要求任何规范,甚至没有很多依赖项
  4. 强力支持 Web:Shiro 具有出色的 Web 应用程序支持,可以基于应用程序 URL 和Web 协议(例如 REST)创建灵活的安全策略,同时还提供一组 JSP 库来控制页面输出
  5. 兼容性强:Shiro 的设计模式使其易于与其他框架和应用程序集成。Shiro 与Spring、Grails、Wicket、Tapestry、Mule、Apache Camel、Vaadin 等框架无缝集成。社区支持:Shiro 是 Apache 软件基金会的一个开源项目,有完备的社区支持,文档
  6. 支持。如果需要,像 Katasoft 这样的商业公司也会提供专业的支持和服务。

Shiro 与 SpringSecurity 的对比

  1. 1Spring Security 基于 Spring 开发,项目若使用 Spring 作为基础,配合 SpringSecurity 做权限更加方便,而 Shiro 需要和 Spring 进行整合开发
  2. Spring Security 功能比 Shiro 更加丰富些,例如安全维护方面;
  3. Spring Security 社区资源相对比 Shiro 更加丰富;
  4. Shiro 的配置和使用比较简单,Spring Security 上手复杂些;
  5. Shiro 依赖性低,不需要任何框架和容器,可以独立运行.Spring Security 依赖Spring 容器;
  6. shiro 不仅仅可以使用在 web 中,它可以工作在任何应用环境中。在集群会话时 Shiro最重要的一个好处或许就是它的会话是独立于容器的

基本功能

1、基本功能点如下图所示

2、功能简介

  • Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
  • Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用 户是否能进行什么操作,如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户 对某个资源是否具有某个权限;
  • Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有 信息都在会话中;会话可以是普通 JavaSE 环境,也可以是 Web 环境的;
  • Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
  • Web Support:Web 支持,可以非常容易的集成到 Web 环境;
  • Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可 以提高效率;
  • Concurrency:Shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
  • Testing:提供测试支持;
  • Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
  • Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登 录了 

原理

1、Shiro 架构(Shiro 外部来看)
从外部来看 Shiro ,即从应用程序角度的来观察如何使用 Shiro 完成 工作

Shiro 架构
(1)Subject:应用代码直接交互的对象是 Subject,也就是说 Shiro 的对外 API 核心就是 Subject。Subject 代表了当前“用户”, 这个用户不一定 是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫, 机器人等;与 Subject 的所有交互都会委托给 SecurityManager; Subject 其实是一个门面,SecurityManager 才是实际的执行者;
(2)SecurityManager:安全管理器;即所有与安全有关的操作都会与 SecurityManager
交互;且其管理着所有 Subject;可以看出它是 Shiro 的核心,它负责与 Shiro 的其他组件进行交互,它相当于 SpringMVC 中 DispatcherServlet 的角色
(3)Realm:Shiro 从 Realm 获取安全数据(如用户、角色、权限),就是说SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户 进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/ 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource

2、Shiro 架构(Shiro 内部来看)

Shiro 架构

(1)Subject:任何可以与应用交互的“用户”;

(2)SecurityManager :相当于 SpringMVC 中的 DispatcherServlet;是 Shiro 的心 脏; 所有具体的交互都通过 SecurityManager 进行控制;它管理着所有 Subject、且负 责进 行认证、授权、会话及缓存的管理。

(3)Authenticator:负责 Subject 认证,是一个扩展点,可以自定义实现;可以使用认证策略(Authentication Strategy),即什么情况下算用户认证通过了

(4)Authorizer:授权器、即访问控制器,用来决定主体是否有权限进行相应的操作;即 控 制着用户能访问应用中的哪些功能;

(5)Realm:可以有 1 个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实 体 的;可以是 JDBC 实现,也可以是内存实现等等;由用户提供;所以一般在应用中都需 要 实现自己的 Realm; (6)SessionManager:管理 Session 生命周期的组件;而 Shiro 并不仅仅可以用在 Web 环境,也可以用在如普通的 JavaSE 环境

(7)CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据 基本上很少改变,放到缓存中后可以提高访问的性能

(8)Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密/解 密。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/505369.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Linux 中的文件锁定命令:flock、fcntl、lockfile、flockfile

在 Linux 系统中,文件锁定是一种对文件进行保护的方法,可以防止多个进程同时访问同一个文件,从而导致数据损坏或者冲突。文件锁定命令是一组用于在 Linux 系统中实现文件锁定操作的命令,它们可以用于对文件进行加锁或解锁&#xf…

直击中国国际金融展:实在智能携多项科技成果亮相,展现数字金融力量

4月25日-27日,中国国际金融展于北京首钢会展中心成功举办。作为我国规格最高、历史最久的金融科技展,本次展会以“荟萃金融科技成果,展现数字金融力量,谱写金融服务中国式现代化新篇章”为主题,吸引了众多国内金融机构…

企业邮箱选购,需关注哪些重要因素?

企业邮箱选择考虑哪些问题?应该从企业邮箱安全、企业邮箱的稳定性、企业邮箱专业、方便迁移到新的企业邮箱、企业邮箱邮件的到达率、功能强大的企业邮箱、企业邮箱手机客户端设置等方面考虑。 1.企业邮箱安全 企业邮箱应考虑病毒防治能力。Zoho Mail企业邮箱从物理安…

华硕笔记本系统更新后开机自动蓝屏怎么U盘重装系统?

华硕笔记本系统更新后开机自动蓝屏怎么U盘重装系统?有用户将自己的华硕笔记本进行系统升级之后,遇到了开机自动蓝屏的情况。遇到这个问题我们怎么去进行解决呢?接下来一起来看看怎么通过U盘重装系统的方法解决此问题吧。 准备工作&#xff1a…

【计算机组成原理】第五章 中央处理器

系列文章目录 第一章 计算系统概论 第二章 运算方法和运算器 第三章 多层次的存储器 第四章 指令系统 第五章 中央处理器 第六章 总线系统 第七章 外围设备 第八章 输入输出系统 文章目录 系列文章目录前言第五章 中央处理器5.1 CPU功能和组成5.1.1 CPU的功能5.1.2 CPU的基本…

中文修改润色平台-中文写作润色软件有哪些

中文语言润色软件 中文语言润色软件是一种基于自然语言处理技术,旨在提高中文文本的语言风格、表达能力和可读性的工具。中文语言润色软件可以自动检测和纠正文本中出现的语法、拼写、标点符号以及其他笔误等语言问题,并给出相应的纠正建议和修改意见。…

2022年5月、11月网络工程师真题详解

请点击↑关注、收藏,本博客免费为你获取精彩知识分享!有惊喜哟!! 2022年5月网络工程师科目二真题 试题一: 某分支机构网络拓扑图如 1-1 所示,该网络通过 BGP 接收总部网络路由,设备 1 与设备…

AIGC产业研究报告 2023——音频生成篇

易观:今年以来,随着人工智能技术不断实现突破迭代,生成式AI的话题多次成为热门,而人工智能内容生成(AIGC)的产业发展、市场反应与相应监管要求也受到了广泛关注。为了更好地探寻其在各行业落地应用的可行性…

实战【7】手把手教你搭建属于自己的服务器

1 概述 最近总是想搭建自己的网站,奈何皮夹里空空如也,服务器也租不起,更别说域名了。于是我就寻思能否自己搭建个服务器,还不要钱呢? 经过几天的冲浪,我发现有两个免费的建站工具:Apache 和 …

MySQL 索引、事务与存储引擎

MySQL 索引 索引:根据查询字段在索引表中找到该行数据的物理地址。 作用:加快查询速度;排序。 缺点:占用额外的磁盘空间;更新一个包含索引的表需要花费更多的时间。 创建索引的原则 表的主键和外键需要索引&#…

Python每日一练(20230509) 石子游戏 IV\V\VI

目录 1. 石子游戏 Stone Game IV 2. 石子游戏 Stone Game V 3. 石子游戏 Stone Game VI 🌟 每日一练刷题专栏 🌟 Golang每日一练 专栏 Python每日一练 专栏 C/C每日一练 专栏 Java每日一练 专栏 1. 石子游戏 Stone Game IV Alice 和 Bob 两个人…

Halcon与Qt联合编程方法二(C++版本)

上一篇文章中提到基于python实现Halcon与Qt联合编程,但是在实际开发中,比如说已经有了qt编写的c版软件进行算法迭代,或者已经有了halcon编写的(.hdev文件)算法,想进行软件封装,这时候可以考虑把…

怎么把pdf中的某一页分出来?

怎么把pdf中的某一页分出来?PDF格式的文档在日常生活中是非常常见的,相信大家都对其有所了解,并且经常使用。它的主要特点是不允许用户随意编辑其中的内容,当我们仅需要阅读时,PDF文档无疑是十分方便的,尤其…

Linux Docker部署SpringCloud

Linux Docker部署SpringCloud 1 项目介绍2 快速部署2.1 api-registry2.1 api-gateway2.1 api-provider2.1 api-consumer 1 项目介绍 这是一个典型的springcloud项目架构,api-registry为注册中心,api-gateway为网关,api-provider为服务提供者&…

什么是域名流量劫持?

作为传统的互联网攻击方式,域名流量劫持已经十分常见,这种网络攻击将会在不经授权的情况下控制或重定向一个域名的DNS记录。域名劫持的影响难以估量,因为它可以导致在访问一个网站时,用户被引导到另一个不相关的网站,对…

uniapp collapse 一键收起

文章目录 前言一、源码二、方法1.部分代码2.原理 总结 前言 官方文档没有提供 说明,就研究源码,终于花了半上午的时间,找到了一种方法,可能不是很好用,但也可以用 一、源码 主要是这个方法,这个方法是用来…

劳动节程序员应该知道的知识——计算机

前言 现在AI崛起,计算机已经成为我们不可或缺的一部分,几乎在所有行业和领域都有广泛应用 。 五一已经快要过去了,程序员们应该都放假了,那我们是不是应该去了解了解我们的伙伴——计算机,了去解计算机是怎样工作的&am…

TokenGT:Transformer是强大的图学习器

论文标题:Pure Transformers are Powerful Graph Learners 论文链接:https://arxiv.org/abs/2207.02505 论文来源:NIPS 2022 一、概述 由于Transformer的完全注意力架构接收、处理和关联任意结构的输入和输出的能力,消除了将特定于…

(五)如何实现TCP连接传输用户个人资料及头像(Base64编码)

文章目录 一、引言1.1 即时通信系统中用户个人资料的重要性1.2 使用TCP连接传输用户个人资料的基本原理及Base64编码的应用 二、实现TCP连接传输用户个人资料2.1 使用QTcpSocket和QTcpServer类实现TCP连接关键代码展示 2.2 实现用户个人资料的传输关键代码展示 三、解码接收到的…

分享31个游戏源代码总有一个是你想要的

下载地址:分享31个游戏源代码总有一个是你想要的(亲测每一个均可用) 分享13个游戏源代码总有一个是你想要的 收集整理不容易老铁支持我动力! 下面是项目的名字,我放了一些图片,大家下载后可以看到。 c#版植物大战僵尸 Html5网页…