什么是Shiro

Shiro 是一個強大靈活的開源安全框架，可以完全處理身份驗證、授權(quán)、加密和會話管理

Shiro的核心功能包括：

• 身份驗證（Authentication）：驗證用戶的身份，確保用戶是合法的。
• 授權(quán)（Authorization）：控制用戶對系統(tǒng)資源的訪問權(quán)限，限制用戶只能訪問其被授權(quán)的部分。
• 會話管理（Session Management）：管理用戶會話，跟蹤用戶的登錄狀態(tài)和活動，并提供會話的持久化支持。
• 密碼加密（Cryptography）：提供密碼加密和解密的支持，確保用戶的密碼在存儲和傳輸過程中的安全性。
• Web支持：提供與Web應(yīng)用程序集成的支持，包括集成主流Web框架（如Spring、Struts）和處理Web請求的過濾器等。

Shiro主要組件及相互作用：

1. Subject（主體）：
   • Subject 表示當(dāng)前正在與應(yīng)用程序交互的用戶。可以是一個人、設(shè)備或其他系統(tǒng)實體。
   • Subject 封裝了用戶的身份和相關(guān)的安全操作，如登錄、注銷、權(quán)限檢查等。
2. SecurityManager（安全管理器）：
   • SecurityManager 是 Shiro 的核心組件，負責(zé)協(xié)調(diào)和管理所有的安全操作。
   • SecurityManager 管理一個或多個 Realms，用于進行身份驗證和授權(quán)。
3. Realm（域）：
   • Realm 是連接 Shiro 和安全數(shù)據(jù)源（如數(shù)據(jù)庫、LDAP 等）的橋梁。
   • Realm 負責(zé)從數(shù)據(jù)源中獲取用戶的身份和權(quán)限信息，并提供給 SecurityManager 進行驗證和授權(quán)操作。
4. Authenticator（身份驗證器）：
   • Authenticator 負責(zé)對用戶進行身份驗證。
   • Authenticator 使用 Realm 獲取用戶的身份信息，并將其與用戶提供的憑據(jù)進行比較，以確定用戶是否合法。
5. Authorizer（授權(quán)器）：
   • Authorizer 負責(zé)對用戶進行授權(quán)，確定用戶是否有權(quán)訪問特定資源。
   • Authorizer 使用 Realm 獲取用戶的角色和權(quán)限信息，并與應(yīng)用程序定義的角色和權(quán)限進行匹配，以決定用戶是否被授權(quán)訪問資源。
6. SessionManager（會話管理器）：
   • SessionManager 負責(zé)管理用戶的會話。
   • SessionManager 創(chuàng)建、維護和關(guān)閉用戶會話，并提供會話的持久化支持。
7. SessionDAO（會話數(shù)據(jù)訪問對象）：
   • SessionDAO 是用于會話數(shù)據(jù)的讀取和存儲的接口。
   • SessionDAO 與數(shù)據(jù)庫或其他存儲介質(zhì)交互，將會話數(shù)據(jù)持久化或從持久化存儲中讀取會話數(shù)據(jù)。

這些組件相互協(xié)作，形成了 Shiro 的安全框架。Subject 通過 SecurityManager 進行身份驗證和授權(quán)操作，SecurityManager 使用 Realm 獲取用戶的身份和權(quán)限信息。而我們需要實現(xiàn)Realms的Authentication 和 Authorization。Authenticator 負責(zé)身份驗證，Authorizer 負責(zé)授權(quán)，SessionManager 負責(zé)會話管理。SessionDAO 則提供會話數(shù)據(jù)的讀取和存儲支持。通過這

種相互作用，Shiro 提供了完善的安全功能，保護應(yīng)用程序的安全性。

Shiro 認證過程：

1. 用戶提交身份信息：用戶在應(yīng)用程序的登錄頁面輸入用戶名和密碼，并提交身份信息。
2. Subject 提交身份信息：應(yīng)用程序接收到用戶提交的身份信息后，將其封裝為 Subject 對象。
3. SecurityManager 開始認證：SecurityManager 是 Shiro 的核心組件，負責(zé)協(xié)調(diào)和管理所有的安全操作。它接收到 Subject 提交的身份信息后，開始進行身份驗證。
4. SecurityManager 調(diào)用 Authenticator 進行身份驗證：SecurityManager 會調(diào)用配置好的 Authenticator 進行身份驗證。
5. Authenticator 獲取身份信息：Authenticator 使用 Realm（可能是單個 Realm 或多個 Realm 的組合）從數(shù)據(jù)源中獲取用戶的身份信息。
6. Realm 獲取用戶身份信息：Realm 是連接 Shiro 和安全數(shù)據(jù)源的橋梁。它根據(jù)配置的方式（如數(shù)據(jù)庫、LDAP 等）獲取用戶的身份信息。
7. Authenticator 進行身份匹配：Authenticator 將用戶提交的身份信息和 Realm 獲取到的用戶身份信息進行匹配，以確定用戶是否合法。
8. 認證結(jié)果返回給 SecurityManager：Authenticator 將認證結(jié)果（通過或失敗）返回給 SecurityManager。
9. SecurityManager 處理認證結(jié)果：SecurityManager 根據(jù)認證結(jié)果，如果認證成功，則將用戶標(biāo)記為已認證狀態(tài)，并將用戶的身份信息存儲在 Subject 中供以后使用。如果認證失敗，則拋出相應(yīng)的異常。
10. 認證結(jié)果返回給應(yīng)用程序：SecurityManager 將認證結(jié)果返回給應(yīng)用程序，應(yīng)用程序可以根據(jù)認證結(jié)果決定如何處理。

Shiro 授權(quán)過程：

1. 用戶發(fā)起訪問請求： 用戶在應(yīng)用程序中發(fā)起對某個資源的訪問請求，例如訪問一個特定的 URL 或執(zhí)行某個操作。
2. Subject 發(fā)起授權(quán)請求： Subject 對象封裝了當(dāng)前用戶的身份信息和相關(guān)的安全操作。當(dāng)用戶發(fā)起訪問請求時，Subject 對象會將授權(quán)請求發(fā)送給 SecurityManager。
3. SecurityManager 開始授權(quán)： SecurityManager 是 Shiro 的核心組件，負責(zé)協(xié)調(diào)和管理所有的安全操作。它接收到 Subject 的授權(quán)請求后，開始進行授權(quán)處理。
4. SecurityManager 調(diào)用 Authorizer 進行授權(quán)： SecurityManager 會調(diào)用配置好的 Authorizer 進行授權(quán)操作。
5. Authorizer 獲取用戶角色和權(quán)限信息： Authorizer 使用 Realm（可能是單個 Realm 或多個 Realm 的組合）從數(shù)據(jù)源中獲取當(dāng)前用戶的角色和權(quán)限信息。
6. Authorizer 進行角色和權(quán)限匹配： Authorizer 將用戶的角色和權(quán)限信息與應(yīng)用程序定義的角色和權(quán)限進行匹配，以確定用戶是否有權(quán)訪問請求的資源。
7. 授權(quán)結(jié)果返回給 SecurityManager： Authorizer 將授權(quán)結(jié)果（允許訪問或拒絕訪問）返回給 SecurityManager。
8. SecurityManager 處理授權(quán)結(jié)果： SecurityManager 根據(jù)授權(quán)結(jié)果，如果授權(quán)成功，則允許用戶訪問請求的資源。如果授權(quán)失敗，則拋出相應(yīng)的異?；虿扇∑渌幚泶胧?。
9. 授權(quán)結(jié)果返回給應(yīng)用程序： SecurityManager 將授權(quán)結(jié)果返回給應(yīng)用程序，應(yīng)用程序可以根據(jù)授權(quán)結(jié)果決定如何處理用戶的訪問請求。

到此這篇關(guān)于Shiro安全框架的主要組件及認證過程簡介的文章就介紹到這了,更多相關(guān)Shiro安全框架內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論