Shiro學習筆記——（3）Shiro簡介

一、簡介

        Apache Shiro是Java的一個安全架構。目前，使用Apache Shiro的人越來越多，因為它相當簡單，對比Spring Security，可能沒有Spring Security做的功能強大，但是在實際工作時可能并不需要那麼複雜的東西，是以使用小而簡單的Shiro就足夠了。對于它倆到底哪個好，這個不必糾結，能更簡單的解決項目問題就好了。

        Shiro 可以非常容易的開發出足夠好的應用，其不僅可以用在JavaSE 環境，也可以用在 JavaEE 環境。• Shiro 可以完成：認證、授權、加密、會話管理、與Web 內建、緩存等。

二、基本功能點視圖

功能簡介：

• Authentication：身份認證/登入，驗證使用者是不是擁有相應的身份；
• Authorization：授權，即權限驗證，驗證某個已認證的使用者是否擁有某個權限；即判斷使用者是否能進行什麼操作，如：驗證某個使用者是否擁有某個角色。或者細粒度的驗證某個使用者對某個資源是否具有某個權限；
• Session Manager：會話管理，即使用者登入後就是一次會話，在沒有退出之前，它的所有資訊都在會話中；會話可以是普通 JavaSE 環境，也可以是 Web 環境的；
• Cryptography：加密，保護資料的安全性，如密碼加密存儲到資料庫，而不是明文存儲；
• Web Support：Web 支援，可以非常容易的內建到Web 環境；
• Caching：緩存，比如使用者登入後，其使用者資訊、擁有的角色/權限不必每次去查，這樣可以提高效率；
• Concurrency：Shiro 支援多線程應用的并發驗證，即如在一個線程中開啟另一個線程，能 把權限自動傳播過去；
• Testing：提供測試支援；
• Run As：允許一個使用者假裝為另一個使用者（如果他們允許）的身份進行通路；
• Remember Me：記住我，這個是非常常見的功能，即一次登入後，下次再來的話不用登入了

記住一點，Shiro不會去維護使用者、維護權限；這些需要我們自己去設計/提供；然後通過相應的接口注入給Shiro即可。

三、從外部和内部看Shiro架構

（1）外部

即從應用程式角度的來觀察如何使用 Shiro 完成工作：

應用代碼直接互動的對象是Subject，也就是說Shiro的對外API核心就是Subject

• Subject：應用代碼直接互動的對象是 Subject，也就是說 Shiro 的對外API 核心就是 Subject。Subject 代表了目前“使用者”， 這個使用者不一定是一個具體的人，與目前應用互動的任何東西都是 Subject，如網絡爬蟲，機器人等；與 Subject 的所有互動都會委托給 SecurityManager；Subject 其實是一個門面，SecurityManager 才是實際的執行者；
• SecurityManager：安全管理器；即所有與安全有關的操作都會與SecurityManager 互動；且其管理着所有 Subject；可以看出它是 Shiro的核心，它負責與 Shiro 的其他元件進行互動，它相當于 SpringMVC 中DispatcherServlet 的角色
• Realm：Shiro 從 Realm 擷取安全資料（如使用者、角色、權限），就是說SecurityManager 要驗證使用者身份，那麼它需要從 Realm 擷取相應的使用者進行比較以确定使用者身份是否合法；也需要從 Realm 得到使用者相應的角色/權限進行驗證使用者是否能進行操作；可以把 Realm 看成 DataSource

也就是說對于我們而言，最簡單的一個Shiro應用：

1、應用代碼通過Subject來進行認證和授權，而Subject又委托給SecurityManager；

2、我們需要給Shiro的SecurityManager注入Realm，進而讓SecurityManager能得到合法的使用者及其權限進行判斷。

從以上也可以看出，Shiro不提供維護使用者/權限，而是通過Realm讓開發人員自己注入。

（2）内部

• Subject：主體，可以看到主體可以是任何可以與應用互動的“使用者”；
• SecurityManager：相當于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher；是Shiro的心髒；所有具體的互動都通過SecurityManager進行控制；它管理着所有Subject、且負責進行認證和授權、及會話、緩存的管理。
• Authenticator：認證器，負責主體認證的，這是一個擴充點，如果使用者覺得Shiro預設的不好，可以自定義實作；其需要認證政策（Authentication Strategy），即什麼情況下算使用者認證通過了；
• Authrizer：授權器，或者通路控制器，用來決定主體是否有權限進行相應的操作；即控制着使用者能通路應用中的哪些功能；
• Realm：可以有1個或多個Realm，可以認為是安全實體資料源，即用于擷取安全實體的；可以是JDBC實作，也可以是LDAP實作，或者記憶體實作等等；由使用者提供；注意：Shiro不知道你的使用者/權限存儲在哪及以何種格式存儲；是以我們一般在應用中都需要實作自己的Realm；
• SessionManager：如果寫過Servlet就應該知道Session的概念，Session呢需要有人去管理它的生命周期，這個元件就是SessionManager；而Shiro并不僅僅可以用在Web環境，也可以用在如普通的JavaSE環境、EJB等環境；所有呢，Shiro就抽象了一個自己的Session來管理主體與應用之間互動的資料；這樣的話，比如我們在Web環境用，剛開始是一台Web伺服器；接着又上了台EJB伺服器；這時想把兩台伺服器的會話資料放到一個地方，這個時候就可以實作自己的分布式會話（如把資料放到Memcached伺服器）；
• SessionDAO：DAO大家都用過，資料通路對象，用于會話的CRUD，比如我們想把Session儲存到資料庫，那麼可以實作自己的SessionDAO，通過如JDBC寫到資料庫；比如想把Session放到Memcached中，可以實作自己的Memcached SessionDAO；另外SessionDAO中可以使用Cache進行緩存，以提高性能；
• CacheManager：緩存控制器，來管理如使用者、角色、權限等的緩存的；因為這些資料基本上很少去改變，放到緩存中後可以提高通路的性能
• Cryptography：密碼子產品，Shiro提高了一些常見的加密元件用于如密碼加密/解密的。

*注：接下來的内容來自 開濤的部落格-跟我學Shiro目錄貼和傳智播客視訊教學