在Java課程大綱中，大家會(huì)學(xué)到Shiro框架。

Shiro框架詳解

1.Shiro能干什么

Apache Shiro是一個(gè)強(qiáng)大易用的Java安全框架，提供了認(rèn)證、授權(quán)、加密和會(huì)話管理等功能：

認(rèn)證 - 用戶身份識(shí)別，常被稱為用戶“登錄”;

授權(quán) - 訪問控制;

密碼加密 - 保護(hù)或隱藏?cái)?shù)據(jù)防止被偷窺;

會(huì)話管理 - 每用戶相關(guān)的時(shí)間敏感的狀態(tài)。

對(duì)于任何一個(gè)應(yīng)用程序，Shiro都可以提供全面的安全管理服務(wù)。并且相對(duì)于其他安全框架，Shiro要簡(jiǎn)單的多。

2.Shiro的架構(gòu)介紹

首先，來了解一下Shiro的三個(gè)核心組件：Subject, SecurityManager 和 Realms. 如下圖：

Subject：即“當(dāng)前操作用戶”。但是，在Shiro中，Subject這一概念并不僅僅指人，也可以是第三方進(jìn)程、后臺(tái)帳戶(Daemon Account)或其他類似事物。它僅僅意味著“當(dāng)前跟軟件交互的東西”。但考慮到大多數(shù)目的和用途，你可以把它認(rèn)為是Shiro的“用戶”概念。

Subject代表了當(dāng)前用戶的安全操作，SecurityManager則管理所有用戶的安全操作。

SecurityManager：它是Shiro框架的核心，典型的Facade模式，Shiro通過SecurityManager來管理內(nèi)部組件實(shí)例，并通過它來提供安全管理的各種服務(wù)。

Realm： Realm充當(dāng)了Shiro與應(yīng)用安全數(shù)據(jù)間的“橋梁”或者“連接器”。也就是說，當(dāng)對(duì)用戶執(zhí)行認(rèn)證(登錄)和授權(quán)(訪問控制)驗(yàn)證時(shí)，Shiro會(huì)從應(yīng)用配置的Realm中查找用戶及其權(quán)限信息。

從這個(gè)意義上講，Realm實(shí)質(zhì)上是一個(gè)安全相關(guān)的DAO：它封裝了數(shù)據(jù)源的連接細(xì)節(jié)，并在需要時(shí)將相關(guān)數(shù)據(jù)提供給Shiro。當(dāng)配置Shiro時(shí)，你必須至少指定一個(gè)Realm，用于認(rèn)證和(或)授權(quán)。配置多個(gè)Realm是可以的，但是至少需要一個(gè)。

Shiro內(nèi)置了可以連接大量安全數(shù)據(jù)源(又名目錄)的Realm，如LDAP、關(guān)系數(shù)據(jù)庫(kù)(JDBC)、類似INI的文本配置資源以及屬性文件等。如果缺省的Realm不能滿足需求，你還可以插入代表自定義數(shù)據(jù)源的自己的Realm實(shí)現(xiàn)。

Shiro完整架構(gòu)圖：

除前文所講Subject、SecurityManager 、Realm三個(gè)核心組件外，Shiro主要組件還包括：

Authenticator ：認(rèn)證就是核實(shí)用戶身份的過程。這個(gè)過程的常見例子是大家都熟悉的“用戶/密碼”組合。多數(shù)用戶在登錄軟件系統(tǒng)時(shí)，通常提供自己的用戶名(當(dāng)事人)和支持他們的密碼(證書)。如果存儲(chǔ)在系統(tǒng)中的密碼(或密碼表示)與用戶提供的匹配，他們就被認(rèn)為通過認(rèn)證。

Authorizer ：授權(quán)實(shí)質(zhì)上就是訪問控制 - 控制用戶能夠訪問應(yīng)用中的哪些內(nèi)容，比如資源、Web頁面等等。

SessionManager ：在安全框架領(lǐng)域，Apache Shiro提供了一些獨(dú)特的東西：可在任何應(yīng)用或架構(gòu)層一致地使用Session API。即，Shiro為任何應(yīng)用提供了一個(gè)會(huì)話編程范式 - 從小型后臺(tái)獨(dú)立應(yīng)用到大型集群Web應(yīng)用。這意味著，那些希望使用會(huì)話的應(yīng)用開發(fā)者，不必被迫使用Servlet或EJB容器了。或者，如果正在使用這些容器，開發(fā)者現(xiàn)在也可以選擇使用在任何層統(tǒng)一一致的會(huì)話API，取代Servlet或EJB機(jī)制。

CacheManager :對(duì)Shiro的其他組件提供緩存支持。

動(dòng)力節(jié)點(diǎn)Shiro課程簡(jiǎn)介

Shiro是一個(gè)強(qiáng)大且易用的Java平臺(tái)的開源權(quán)限框架，用于身份驗(yàn)證、授權(quán)、加解密和會(huì)話管理，它使用簡(jiǎn)單，可以快速、輕松地讓任何應(yīng)用程序獲得如下需求的支持：

用戶，角色，權(quán)限，資源;

用戶分配角色，角色定義權(quán)限;

訪問授權(quán)時(shí)支持角色或者權(quán)限，并且支持多級(jí)的權(quán)限定義;

對(duì)比Spring Security權(quán)限框架，Shiro更加簡(jiǎn)單，且滿足大部分開發(fā)需求，Shiro在實(shí)際項(xiàng)目中使用非常廣泛。

如果大家想了解更多，可以關(guān)注一下Shiro視頻教程，里面的課程內(nèi)容細(xì)致全面，通俗易懂，很適合小白學(xué)習(xí)，希望對(duì)大家能夠有所幫助哦。