什么是Apache Shiro?
Apache Shiro(發(fā)音為“shee-roh”重归,日文為'castle')是一個功能強大且易于使用的Java安全框架呢诬,可執(zhí)行身份驗證庶近,授權(quán),加密和會話管理训挡,并可用于保護任何應(yīng)用程序 - 從命令行應(yīng)用程序澳骤,移動應(yīng)用程序到最大的Web和企業(yè)應(yīng)用程序
01 shiro主要應(yīng)用
- 身份認證--驗證用戶身份,通常稱為用戶登錄
- 授權(quán)--訪問控制
- 加密--保護或者隱藏窺探數(shù)據(jù)
- 會話管理---每個用戶時間敏感狀態(tài)
shiro還支持一些輔助功能澜薄,如Web應(yīng)用程序的安全为肮,單元測試,多線程支持肤京,這些輔助功能都是強化以上四個功能弥锄。
02 優(yōu)點
- 易于使用 --接口簡單,易于開發(fā)
- 功能豐富 --可以根據(jù)安全需求提供一站式的服務(wù)
- 擴展靈活 --可以在任何應(yīng)用程序環(huán)境中工作蟆沫,也可以根據(jù)需求定制
- 可插拔 --Shiro干凈的API和設(shè)計模式可以很容易地與許多其他框架和應(yīng)用程序集成
- 對WEB支持優(yōu)秀 --輕量級WEB支持
- Apache社區(qū)支持 --開源支持
03 核心概念
- Subject 主題
基本意思是“當前正在執(zhí)行的用戶”,在shiro中不稱為用戶籽暇。而是“主題”,術(shù)語“主題”可以指一個人饭庞,但也有3 次會談進程戒悠,守護進程帳戶,或其它類似的舟山。它只是意味著“當前與軟件交互的東西”绸狐。
一旦獲得了這個主題卤恳,你就可以立即訪問Shiro為當前用戶做的所有事情的90%,比如登錄寒矿,注銷突琳,訪問他們的會話,執(zhí)行授權(quán)檢查等等 符相。shiro-api很直觀的反映以每個用戶操作管理的思維拆融。在代碼的任何地方都可以輕松訪問主題,從而在需要的任何地方進行安全操作啊终。
獲取主題:
import org.apache.shiro.subject.Subject;
import org.apache.shiro.SecurityUtils;
...
Subject currentUser = SecurityUtils.getSubject();
- SecurityManager 安全管理器
SecurityManager管理所有用戶的安全操作镜豹,是shiro的核心結(jié)構(gòu)。內(nèi)部引用了許多安全組件蓝牲。但是一旦配置好了SecurityManager實例趟脂,它幾乎就是獨立的。開發(fā)人員只需關(guān)注Subject-API
如何配置SecurityManager? 這一般取決于應(yīng)用的環(huán)境例衍,例如web程序一般會在web.xml中指定一個shiro的過濾器昔期,并將設(shè)置為SecurityManager實例。如果在獨立的應(yīng)用程序佛玄,則需要另一種方式進行配置镇眷。
每個應(yīng)用程序幾乎都只需要一個SecurityManager實例。本質(zhì)上是一個應(yīng)用程序單例翎嫡。像shiro幾乎所有對象一樣欠动,默認的SecutiryManager實現(xiàn)是一個POJO,可以配置任何POJO兼容的的配置機制, 普通Java代碼惑申,Spring XML具伍,YAML,.properties和.ini文件等圈驼∪搜浚基本上任何能夠?qū)嵗梢允褂妙惡驼{(diào)用JavaBeans兼容的方法。
Shiro通過基于文本的INI配置提供默認的解決方案绩脆。INI易于閱讀萤厅,使用簡單,并且只需很少的依賴關(guān)系靴迫。
通過shiro.ini文件配置:
[main]
cm = org.apache.shiro.authc.credential.HashedCredentialsMatcher
cm.hashAlgorithm = SHA-512
cm.hashIterations = 1024
cm.storedCredentialsHexEncoded = false
[users]
zhang=123
wang=123
- [main]部分是配置SecurityManager對象和/或SecurityManager使用的任何對象(如領(lǐng)域)的位置惕味。
- [users]部分是您可以指定用戶帳戶的靜態(tài)列表的地方 - 方便簡單的應(yīng)用程序或測試時使用。
其它配置參考[http://shiro.apache.org/documentation.html ]
加載SecurityManager過程:
