shiro原理简介说明
下文笔者讲述shiro的原理简介说明,如下所示:
Shiro原理简介说明
Shiro是一个强大易用的Java安全框架 Shiro可提供认证、授权、加密和会话管理等功能 Shiro是市面上使用最多的登陆框架
shiro框架
Subject:
主体:代表当前“用户” 此处的用户不一定是一个具体的人 与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等 所有Subject都绑定到SecurityManager 同Subject的所有交互都会委托给SecurityManager 我们可以将Subject看成一个接入方 SecurityManager 才是实际的执行者
SecurityManager
安全管理器:所有与安全有关的操作都会与SecurityManager交互 且它管理着所有Subject 可以看出它是 Shiro 的核心 它负责与后边介绍的其他组件进行交互
Realm
域 Shiro 从 Realm 获取安全数据(如用户、角色、权限) 就是说 SecurityManager 要验证用户身份,它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法, 也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作 我们可以把 Realm 看成 DataSource,即安全数据源。
shiro运行原理
Subject:主体,可以看到主体可以是任何与应用交互的“用户”。 SecurityManager:相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher。它是 Shiro 的核心,所有具体的交互都通过 SecurityManager 进行控制。它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。 Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得 Shiro 默认的不好,我们可以自定义实现。其 需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了。 Authrizer:授权器,或者访问控制器。它用来决定主体是否有权限进行相应的操作,即控制着用户能访问应用中的哪些功能 Realm:可以有1个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体的。它可以是 JDBC 实现,也可以是 LDAP 实现,或者内存实现等。 SessionManager:如果写过 Servlet 就应该知道 Session 的概念,Session 需要有人去管理它的生命周期,这个组件就是 SessionManager。而 Shiro 并不仅仅可以用在 Web 环境,也可以用在如普通的 JavaSE 环境。 SessionDAO:DAO 大家都用过,数据访问对象,用于会话的 CRUD。我们可以自定义 SessionDAO 的实现,控制 session 存 储的位置。如通过 JDBC 写到数据库或通过 jedis 写入 redis 中。另外 SessionDAO 中可以使用 Cache 进行缓存,以 提高性能。 CacheManager:缓存管理器。它来管理如用户、角色、权限等的缓存的。因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能。 Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密/解密的。
shiro认证过程
1、应用程序构建了一个终端用户认证信息的AuthenticationToken 实例后,调用Subject.login方法 2、Sbuject的实例通常是DelegatingSubject类(或子类)的实例对象,在认证开始时,会委托应用程序设置的securityManager实例调用securityManager.login(token)方法 3、SecurityManager接受到token(令牌)信息后会委托内置的Authenticator的实例(通常都是ModularRealmAuthenticator类的实例)调用authenticator.authenticate(token). ModularRealmAuthenticator在认证过程中会对设置的一个或多个Realm实例进行适配,它实际上为Shiro提供了一个可拔插的认证机制 4、如果在应用程序中配置了多个Realm,ModularRealmAuthenticator会根据配置的AuthenticationStrategy(认证策略)来进行多Realm的认证过程。在Realm被调用后,AuthenticationStrategy将对每一个Realm的结果作出响应 注:如果应用程序中仅配置了一个Realm,Realm将被直接调用而无需再配置认证策略 5、判断每一个Realm是否支持提交的token,如果支持,Realm将调用getAuthenticationInfo(token); getAuthenticationInfo 方法就是实际认证处理,我们通过覆盖Realm的doGetAuthenticationInfo方法来编写我们自定义的认证处理
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。