#2019.2.2

  Apache Shiro是基于java的一个安全框架。他帮助我们完成:认证、授权、加密、会话管理、web集成、缓存等问题。

  在了Shiro之前,先要了解一下什么是权限管理?

  权限管理:只要涉及到用户与系统的交互都需要进行权限的管理,权限管理能实现用户访问系统的控制,按照对应的安全规则或者机制进行限制,通俗来说,只允许用户访问被授权的资源。

  权限管理包括用户用户身份验证和授权两个部分,简称授权认证。

  用户身份验证:

    1、身份认证:判断用户是否合法的一个过程。

    2、subject:主体user。即访问系统的用户,主体可以是系统,用户等。进行认证到的都成为主体。

    3、Principal 身份信息:他是主体进行身份认证的标识。标识具有唯一性,一个主体可以拥有多个身份,但必须要有一个主身份。

    4、credential:凭证信息:与身份信息配对是否相符合的一个标识。相当于账号的一个密码。

授权:

    1、访问控制,控制谁可以访问资源。主体进行身份验证后需要分配权限可以访问的资源,然而对于某些资源来说,若没有权限,身份验证通过也无法访问。

 初始Shiro

    刚刚说了,Apache Shiro是基于java的一个安全框架。这里,从功能的角度看一下Shiro的框架结构

                     

  Primary Concerns (核心关系): 

    Authentication:身份认证/登录。验证用户是否合法

    Authorization:授权,即权限验证,验证主体用户是否有某个权限的分配。

  Session Management:会话管理。即用户的在登录后的一次会话,在没有退出前,所有的信息都包含在会话中。

    Cryptography:数据的加密,保证其安全性,如密码以密文而非明文的形式存储在数据库中。

  Supporting Features (支持工具):

     Web Supprot:提供web环境。该框架可以web环境中使用。

     Caching(缓存):在用户登录后,可提供缓存,拥有的角色/权限不必每次对数据库进行访问,可提高效率。

     Concurrency(并发性):shiro支持多线程应用的并发认证。在一个多线程中开启另一个多线程,权限会自动进行传输。

     Testing(测试):提供测试的支持。

     Run as:允许用户假装另一个用户(他们允许的话)的身份并进行访问。

     Remember me:在本次登录退出后,下一次的访问不必重新进行访问。

  从系统结构的角度看Shrio:

     

     首先,要清楚Shiro架构主要的三个概念:Subject、Security Manager、Realms

      Subject:访问系统的用户,他可以是人,程序,第三方等当前访问系统的主体,他是一个抽象的概念。而且,可以从程序中的位置通过                 SecurityUtils.getSubject 的方式获取Subject对象,并进行操作。如登录,授权等。

      Security Manager:如图所示,Security Manager是整个Shiro的核心,一切的访问都从Security Manager开始,Subject所有的操作都将委托给Manager去进行交互。

      Realms:Realms充当了Shiro与数据安全间的“桥梁”,Realms可以看成DataSource(安全数据源),可以有一个或多个Realm。我们通常都自定义Realm,因为Shrio不清楚我们的用户存储/权限存储是以哪种的形式进行。

        Authenticator(认证器):Authenticator负责对主体进行认证。而我们也可以自定义认证策略,即自定义安全规则,什么时候进行认证,什么情况认证成功或者失败。

      Authorizer(授权器):Authorizer负责对主体进行授权,决定着用户主体可以有什么权限,能访问什么内容。

      Cryptography:密码模块,提供且提高一些常用的加密组件用于密码的加密或者解密。

       

            

Shiro的认识的更多相关文章

  1. shiro权限管理框架与springmvc整合

    shiro是apache下的一个项目,和spring security类似,用于用户权限的管理‘ 但从易用性和学习成本上考虑,shiro更具优势,同时shiro支持和很多接口集成 用户及权限管理是众多 ...

  2. springmvc 多数据源 SSM java redis shiro ehcache 头像裁剪

    获取下载地址   QQ 313596790  A 调用摄像头拍照,自定义裁剪编辑头像 B 集成代码生成器 [正反双向](单表.主表.明细表.树形表,开发利器)+快速构建表单;  技术:31359679 ...

  3. java springMVC SSM 操作日志 4级别联动 文件管理 头像编辑 shiro redis

    A 调用摄像头拍照,自定义裁剪编辑头像 B 集成代码生成器 [正反双向](单表.主表.明细表.树形表,开发利器)+快速构建表单;  技术:313596790freemaker模版技术 ,0个代码不用写 ...

  4. springmvc SSM shiro redis 后台框架 多数据源 代码生成器

    A集成代码生成器 [正反双向(单表.主表.明细表.树形表,开发利器)+快速构建表单 下载地址    ; freemaker模版技术 ,0个代码不用写,生成完整的一个模块,带页面.建表sql脚本,处理类 ...

  5. springmvc SSM 多数据源 shiro redis 后台框架 整合

    A集成代码生成器 [正反双向(单表.主表.明细表.树形表,开发利器)+快速构建表单 下载地址    ; freemaker模版技术 ,0个代码不用写,生成完整的一个模块,带页面.建表sql脚本,处理类 ...

  6. SpringMVC+Shiro权限管理【转】

    1.权限的简单描述 2.实例表结构及内容及POJO 3.Shiro-pom.xml 4.Shiro-web.xml 5.Shiro-MyShiro-权限认证,登录认证层 6.Shiro-applica ...

  7. shiro的使用2 灵活使用shiro的密码服务模块

    shiro最闪亮的四大特征是认证,授权,加密,会话管理. 上一篇已经演示了如何使用shiro的授权模块,有了shiro这个利器,可以以统一的编码方式对用户的登入,登出,认证进行管理,相当的优雅. 为了 ...

  8. shiro的使用1 简单的认证

    最近在重构,有空学了一个简单的安全框架shiro,资料比较少,在百度和google上能搜到的中文我看过了,剩下的时间有空会研究下官网的文章和查看下源码, 简单的分享一些学习过程: 1,简单的一些概念上 ...

  9. shiro实现session共享

    session共享:在多应用系统中,如果使用了负载均衡,用户的请求会被分发到不同的应用中,A应用中的session数据在B应用中是获取不到的,就会带来共享的问题. 假设:用户第一次访问,连接的A服务器 ...

  10. shiro在springmvc里面的集成使用【转】

    <dependency> <groupId>commons-collections</groupId> <artifactId>commons-coll ...

随机推荐

  1. Unity3d外包公司|UE4外包公司:谷歌首款Daydream VR设备上手

    这款售价仅为79美元(约合人民币525元)的产品内含“够用”的手柄和一台头戴设备,只要你有一台支持月日,10月5日,dream平台的手机(未来将成为安卓平台的标配),就能体验VR的乐趣. 即使该产品最 ...

  2. mybatis-generator 自动生成mapper以及实体类

    研究了一下,感觉也不是特别方便,因为参数很多都是需要手动去配置的,如果在这个jar基础上在改造一下或许更方便一点. 具体实现代码如下: pom.xml <plugin> <group ...

  3. C#通过DocX创建word

    网上有一些基础的东西,但是比如插入图片,就没有找到方案,最终自己摸索出来的. 1.首先通过Nuget获取引用,关键字:“DocX” 2.示例代码 class Program { static void ...

  4. gpu相关

    1.查看cuda版本 cat /usr/local/cuda/version.txt 2.查看cudnn版本 cat /usr/local/cuda/include/cudnn.h | grep CU ...

  5. Django的form表单

    html的form表单 django中,前端如果要提交一些数据到views里面去,需要用到 html里面的form表单. 例如: # form2/urls.py from django.contrib ...

  6. 前后端token机制 识别用户登录信息

    Token,就是令牌,最大的特点就是随机性,不可预测.一般黑客或软件无法猜测出来. 那么,Token有什么作用?又是什么原理呢? Token一般用在两个地方: 1)防止表单重复提交. 2)anti c ...

  7. (JavaScript)实现上传图片实时预览和(文件)大小判断

    唉,为什么我一个做大数据和后端的要为前端耗尽心力啊??!! 昨天在做一个网页时遇到了一个问题,有一处需要插入图片,我原本的想法是获取到上传文件的URL,然后动态插入img标签,设置src为图片的URL ...

  8. [转]axios的兼容性处理

    来源: https://www.cnblogs.com/leaf930814/p/6807318.html ---------------------------------------------- ...

  9. Oracle单机Rman笔记[2]---RMAN基础介绍

    A.DBA对于备份恢复的问题: 1.在数据库发生故障时,丢失多少数据是可承受的? 2.恢复数据库时,能够忍受的最长时间多少? 3.为了确保您的数据能够被恢复,愿意投入多少成本? 4.备份期间可以关闭系 ...

  10. SecureCRT常见配置

    不自动断开连接 颜色设置 然后再在/etc/bash.bashrc中加入这句话alias ls='ls --color',其实意思就是以后所有的ls命令,就是ls –color命令