Shiro learning - 入门学习 Shiro中的基础知识(1)

Shiro入门学习

一 、什么是Shiro？

　　看一下官网对于　what is Shiro ? 的解释

　　Apache Shiro (pronounced “shee-roh”, the Japanese word for ‘castle’) is a powerful and easy-to-use Java security framework （java安全管理框架）that performs authentication（认证）, authorization （授权）, cryptography （加密）, and session management （会话管理）and can be used to secure any application - from the command line applications, mobile applications to the largest web and enterprise applications.

　　通过官网的解释，我们可以获得一些信息。

• Shiro是java安全管理框架
• Shiro主要可以完成authentication（认证）, authorization （授权）, cryptography （加密）, and session management （会话管理）
• Shiro可以被用于任何应用，无论是web应用还是手机应用，命令行应用，还是企业应用。

Shiro基本功能图

　　Shiro的功能不止只有认证，授权，加密，绘画管理。还包括缓存，与web集成等。

　　总结： Shiro是一个基于java开源免费的安全管理框架，Shiro不仅可可以在JavaSE环境下使用，也可以在JavaEE环境下使用，Shiro 可以完成认证、认证、授权、加密、绘画管理、缓存、web集成等。

二、Spring Security 和 Shiro两者有什么区别呢？

　　其实学习Shiro的时候，会很容易想起以前学过的另一种java安全管理框架，那就是Spring Security.

• 根据时间线来说的话，Spring Security出现的更早。
• Spring Security依赖Spring，但是Shiro不必依赖Spring,可选择范围广
• Spring Security相对于Shiro来说，学习成本更高，更为复杂

　　这些区别决定了Shiro是使用范围更广，更灵活。因此学习Shiro还是很有必要的。

三、Shiro功能学习

• Authentication（认证）

　　对用户的身份进行认证，判断用户是否有相应的身份。比如说，我输入用户名和密码后，验证我这个用户是否存在在数据库中。不存在那就代表，我没有”身份“。

• Authorization (授权)

　　到了授权这一步的时候，用户当然已经经过了上面的”认证“了。授权也也就是权限验证，验证用户是否有某个权限。

　　比如我们访问某视频软件的VIP资源的时候，那么系统当然会验证我们是否有权限访问这个资源，这就是权限验证。因为每个系统的权限不一样，有可能这个系统某些资源是只能VIP访问，那个系统某些资源是只能管理员访问。存在多样性，那么关于权限验证的规则当然就需要程序员自己来完成了。

• session manager （会话管理）： 用户登录就是一次会话，会话存放着用户的信息直到用户退出。这里的Session Manager和Java 中的Session概念上没有任何关系。

• Cryptography （加密）： 加密，Shiro中提供了很多中加密的具体实现，比如MD5之类的。可以很好的保护数据的安全性

• Web Support （Web 支持）： Web 支持，可以非常容易的集成到Web 环境；

• Caching （缓存）： Shiro为了提高效率，还支持缓存。比如用户登录后，其用户信息不用每次去查，直接从缓存中获取

• Concurrency （多线程）： shiro 支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去；

• Testing： 提供测试支持；

• Run As： 允许一个用户假装为另一个用户（如果他们允许）的身份进行访问；

• Remember Me： 记住我，一次登录后，下次再来的话不用登录了。但是必须注意的是，remember me 并不会记住用户的具体信息

四、Shiro框架学习

• Subject

　　Subject主体，是Shiro中的一个接口。Subject记录了当前操作用户

• SecurityManager

　　　　

　　SecurityManager是一个接口，继承了Authenticator, Authorizer, SessionManager这三个接口。

　　安全验证器，是Shiro的核心。用来管理所有Subject的安全认证。SecurityManager可以完成对Subject的认证和授权等。实际上是SecurityManager调用Authenticator进行认证，通过Authorizer进行授权，通过SessionManager进行会话管理。

• realm

　　Realm叫做领域，相当于是数据源。当使用SecurityManager对Subject进行安全管理认证的时候，就需要从Realm中获取用户的信息。

　　注意：不要把realm理解成只是从数据源取数据，在realm中还有认证授权校验的相关的代码

•  Authenticator

　　Authenticator即认证器，对用户身份进行认证，Authenticator是一个接口，shiro提供ModularRealmAuthenticator实现类，通过ModularRealmAuthenticator基本上可以满足大多数需求，也可以自定义认证器。

•  Authorizer

　　Authorizer即授权器，用户通过认证器认证通过，在访问功能时需要通过授权器判断用户是否有此功能的操作权限。