shiro安全框架说明1.1shiro概述shiro是apache的开源安全框架,介绍软件系统的安全认证相关功能
封装,实现了用户认证、权限授权、加密、会话管理等功能,构成了共同的安全
认证框架。 使用shiro,可以非常快速地开发认证、许可等功能,从而降低系统成本。
当用户访问资源时,系统必须对用户进行权限控制。
1.2Shiro概述框架在概念层面,Shiro框架包括三个主要理念:
其中:
Subject :主体对象,负责用户身份验证和授权信息的提交。 安全管理器:负责实现认证、授权等业务的安全管理器。 Realm :域对象。 从数据层检索业务数据。 1.3 Shiro详细结构Shiro框架进行权限管理时,涉及的几个核心对象,主要包括:认证管理对象和授权
管理对象、会话管理对象、缓存管理对象、加密管理对象和Realm管理对象(域对象:负
处理认证和授权领域数据访问问题的责任)
其中:
Subject (主体) :是与软件交换的特定实体(例如,用户、第三方服务等)。 在安全管理器: Shiro的核心中协调管理组件的行为。 认证管理器:负责认证操作。 AuthorizeR:负责许可证检查。 会话管理器:负责创建和管理用户会话的生命周期,并提供
强大的会话体验。 SessionDAO:代表SessionManager执行会话持久性(crud )操作,可以执行以下操作
所有存储的数据都基于session管理。 缓存管理器:提供了创建缓存实例和管理缓存生命周期的功能。 cryptography:提供加密方案的设计和管理。 Realms (域对象) :为shiro和您的APP应用程序安全数据提供了桥梁。 1.4认证过程分析系统调用subject的登录方法,将用户信息提交给SecurityManagerSecurityManager,并将认证操作委托给认证器对象的认证器Realm访问数据库以获取用户信息,然后封装并返回信息。 身份验证器对realm返回的信息进行身份验证。
思考:在不使用shiro框架的情况下如何完成认证操作? 过滤器,拦截器。 1.5在此,审批流程分析如下。 系统调用subject相关方法,传递用户信息(例如isPermitted )
安全管理器。 安全管理器将权限发现操作委托给Authorizer对象。 授权者将用户信息委托给realm。 Realm访问数据库以获取并封装用户权限信息。 Authorizer判断用户许可信息。
思考:思考如何在不使用shiro的情况下完成许可操作? intercetor,aop。