1.java安全框架SHIRO

1.

shiro介绍

　　Apache Shiro是一个强大且易用的java安全框架，执行身份验证、授权、密码和会话管理。

使用Shiro的易于理解的API，您可以快速、轻松地获得任何应用程序，从最小的移动应用程序到最大的网络和企业应用程序。

2

shiro的主要功能

　　三个核心组件：Subject , SecurityManager 和 Realms。

　　

　　Subject【用户概念】：即"当前操作用户"。但是，在Shiro中，Subject这一概念并不仅仅指人，也可以是第三方进程、后台账户(Daemon Account)或其他类似事务。

它仅仅意味着"当前跟软件交互的东西"。但考虑到大多数目的和用途，你可以把它认为是Shiro的"用户"概念。

　　

　　Subject代表了当前用户的安全操作，SecurityManager则管理所有用户的安全操作。

　　SecurityManager【核心】：它是Shiro框架的核心，典型的Facade模式，Shiro通过SecurityManager来管理内部组件实例，并通过它来提供安全管理的各种服务。

　　Realm【桥梁】: Realm充当了Shiro与应用数据间的"桥梁"或者"连接器"。也就是说，当对用户执行认证（登录）和授权（访问控制）验证时，Shiro会从应用配置的Realm中查找用户及其权限信息。

　　从这个意义上讲，Realm实质上是一个安全相关DAO：它封装了数据源的连接细节，并在需要时将相关数据提供给Shiro。当配置Shiro时，你必须至少指定一个Realm，用于认证和（或）授权。

配置多个Realm是可以的，但是至少需要一个。

　　Shiro内置了可以连接大量安全数据源（又名目录）的Realm，如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求，你还可以插入代表自定义数据源的自己Realm实现。

Facade模式即外观模式：为子系统中的各类(或结构与方法)提供一个简明一致的界面，隐藏子系统的复杂性，使子系统更加易使用。它是为子系统中的一组接口所提供的一个一致的界面。这里的子系统就是说继承或实现了Security Manger这个对象的类即子系统。

subject : 主体，可以是用户也可以是程序，主要访问系统，系统需要对主体进行认证、授权。

SecurityManger : 安全管理器，主体进行认证和授权都是通过SecurityManager进行

Authenticator : 认证器，主体进行认证最终通过authentication进行的。

Authorizer : 授权器，主体进行授权最终通过authorizer进行的。

SessionManager : web应用中一般是用web容器对session进行管理，shiro也提供一套session管理的方式。

SessionDao : 通过SessionDao管理session数据，针对个性化的session数据存储需要使用sessionDao。

CacheManager : 缓存管理器，主要对session和授权数据进行缓存，比如将授权数据通过cacheManager进行缓存管理，和ehcache整合对缓存数据进行管理。

Realm ： 域，领域，相当于数据源，通过realm存取认证、授权相关数据。