shiro原理简介说明

java-教程王 Java教程 发布时间:2022-01-03 22:04:04 阅读数:15853 1
下文笔者讲述shiro的原理简介说明,如下所示:

Shiro原理简介说明

   Shiro是一个强大易用的Java安全框架
   Shiro可提供认证、授权、加密和会话管理等功能
   Shiro是市面上使用最多的登陆框架

shiro框架

Subject:

主体:代表当前“用户”
此处的用户不一定是一个具体的人
与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等
所有Subject都绑定到SecurityManager 同Subject的所有交互都会委托给SecurityManager
我们可以将Subject看成一个接入方
SecurityManager 才是实际的执行者

SecurityManager

安全管理器:所有与安全有关的操作都会与SecurityManager交互
且它管理着所有Subject
可以看出它是 Shiro 的核心
它负责与后边介绍的其他组件进行交互 

Realm

域
Shiro 从 Realm 获取安全数据(如用户、角色、权限)
就是说 SecurityManager 要验证用户身份,它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法,
也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作
我们可以把 Realm 看成 DataSource,即安全数据源。

shiro运行原理

 Subject:主体,可以看到主体可以是任何与应用交互的“用户”。
 SecurityManager:相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher。它是 Shiro 的核心,所有具体的交互都通过 SecurityManager 进行控制。它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。
 Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得 Shiro 默认的不好,我们可以自定义实现。其    需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了。
 Authrizer:授权器,或者访问控制器。它用来决定主体是否有权限进行相应的操作,即控制着用户能访问应用中的哪些功能 
 Realm:可以有1个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体的。它可以是 JDBC 实现,也可以是      LDAP 实现,或者内存实现等。
 SessionManager:如果写过 Servlet 就应该知道 Session 的概念,Session 需要有人去管理它的生命周期,这个组件就是     SessionManager。而 Shiro 并不仅仅可以用在 Web 环境,也可以用在如普通的 JavaSE 环境。
  SessionDAO:DAO 大家都用过,数据访问对象,用于会话的 CRUD。我们可以自定义 SessionDAO 的实现,控制 session 存    储的位置。如通过 JDBC 写到数据库或通过 jedis 写入 redis 中。另外 SessionDAO 中可以使用 Cache 进行缓存,以   提高性能。
  CacheManager:缓存管理器。它来管理如用户、角色、权限等的缓存的。因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能。
  Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密/解密的。

shiro认证过程

1、应用程序构建了一个终端用户认证信息的AuthenticationToken 实例后,调用Subject.login方法
2、Sbuject的实例通常是DelegatingSubject类(或子类)的实例对象,在认证开始时,会委托应用程序设置的securityManager实例调用securityManager.login(token)方法
3、SecurityManager接受到token(令牌)信息后会委托内置的Authenticator的实例(通常都是ModularRealmAuthenticator类的实例)调用authenticator.authenticate(token). ModularRealmAuthenticator在认证过程中会对设置的一个或多个Realm实例进行适配,它实际上为Shiro提供了一个可拔插的认证机制
4、如果在应用程序中配置了多个Realm,ModularRealmAuthenticator会根据配置的AuthenticationStrategy(认证策略)来进行多Realm的认证过程。在Realm被调用后,AuthenticationStrategy将对每一个Realm的结果作出响应
    注:如果应用程序中仅配置了一个Realm,Realm将被直接调用而无需再配置认证策略
5、判断每一个Realm是否支持提交的token,如果支持,Realm将调用getAuthenticationInfo(token); getAuthenticationInfo 方法就是实际认证处理,我们通过覆盖Realm的doGetAuthenticationInfo方法来编写我们自定义的认证处理 
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。

本文链接: https://www.Java265.com/JavaCourse/202201/2165.html

最近发表

热门文章

好文推荐

Java265.com

https://www.java265.com

站长统计|粤ICP备14097017号-3

Powered By Java265.com信息维护小组

使用手机扫描二维码

关注我们看更多资讯

java爱好者