Apache Shiro 是一個簡單且功能強大的一個權限管理框架。權限管理是一個系統比不可少的功能,這也是每個程序與必須要掌握的技能,在企業中權限管理一般採用如下三種方式:
- 自己按照用戶-角色-權限自助開發權限管理,這種方式適合大公司。
- 使用Apache Shiro框架,這個框架輕量,更容易集成,企業中使用較多。
- 使用Spring Security框架,這個框架屬於重量級框架,集成複雜,效率比較低。
Apache Shiro簡介
Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼和會話管理。使用Shiro的易於理解的API,您可以快速、輕鬆地獲得任何應用程序,從最小的移動應用程序到最大的網絡和企業應用程序。
實際上,它實現了管理應用程序安全性的所有方面,同時儘可能避免出現問題。它建立在完善的接口驅動設計和麵向對象的原則之上,可以在任何你想象得到的地方實現自定義行為。但是,對於所有事情來說,默認情況下都是合理的,這與應用程序安全性是一樣的。至少這是我們所追求的。
主要功能
三個核心組件:Subject, SecurityManager 和 Realms.
Subject
即“當前操作用戶”。但是,在Shiro中,Subject這一概念並不僅僅指人,也可以是第三方進程、後臺帳戶(Daemon Account)或其他類似事物。它僅僅意味著“當前跟軟件交互的東西”。Subject代表了當前用戶的安全操作,SecurityManager則管理所有用戶的安全操作。
SecurityManager
它是Shiro框架的核心,典型的Facade模式,Shiro通過SecurityManager來管理內部組件實例,並通過它來提供安全管理的各種服務。
Realm
Realm充當了Shiro與應用安全數據間的“橋樑”或者“連接器”。也就是說,當對用戶執行認證(登錄)和授權(訪問控制)驗證時,Shiro會從應用配置的Realm中查找用戶及其權限信息。
從這個意義上講,Realm實質上是一個安全相關的DAO:它封裝了數據源的連接細節,並在需要時將相關數據提供給Shiro。當配置Shiro時,你必須至少指定一個Realm,用於認證和(或)授權。配置多個Realm是可以的,但是至少需要一個。
Shiro內置了可以連接大量安全數據源(又名目錄)的Realm,如LDAP、關係數據庫(JDBC)、類似INI的文本配置資源以及屬性文件等。如果缺省的Realm不能滿足需求,你還可以插入代表自定義數據源的自己的Realm實現。
如何快速全面掌握Shiro
這裡分享一套高質量視頻教程,用於幫助大家快速全面的掌握Apache Shiro,這套視頻教程全面,詳細,是我在學習Shiro中認為質量最好的一個教程,今天和大家分享,希望能幫助到大家。
也歡迎關注Java實用技術,本賬號將每天發佈一篇工作中常用實用的技術,希望能和大家多多交流,共同進步。
閱讀更多 Java實用技術 的文章
