简介shiro安全框架.pdfVIP

1.简介

ApacheShiro是Java的一个安全框架。功能强大，使用简单的Java安全框

架，它为开发人员提供一个直观而全面的认证，，加密及会话管理的解决

方案。

实际上，Shiro的主要功能是管理应用程序中与安全相关的全部，同时尽可能

支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上

的，支持各种自定义行为。Shiro提供的默认实现，使其能完成与其他安全框

架同样的功能，这不也是努力想要得到的吗！

ApacheShiro相当简单，对比SpringSecurity，可能没有SpringSecurity

做的功能强大，但是在实际工作时可能并不需要那么复杂的东西，所以使用小

而简单的Shiro就足够了。对于它俩到底哪个好，这个不必纠结，能更简单的

解决项目问题就好了。

Shiro可以非常容易的开发出足够好的应用，其不仅可以用在JavaSE环境，也

可以用在JavaEE环境。Shiro可以帮助我们完成：认证、、加密、会话管

理、与Web集成、缓存等。这不就是我们想要的嘛，而且Shiro的API也是非

常简单；其基本功能点如下图所示：

Authentication：认证/登录，验证用户是不是拥有相应的；

Authorization：，即权限验证，验证某个已认证的用户是否拥有某个权

限；即判断用户是否能做事情，常见的如：验证某个用户是否拥有某个角色。

或者细粒度的验证某个用户对某个资源是否具有某个权限；

SessionManager：会话管理，即用户登录后就是一次会话，在没有之前，

它的所有信息都在会话中；会话可以是普通JavaSE环境的，也可以是如Web环

境的；

Cryptography：加密，保护数据的安全性，如加密到数据库，而不是

明文；

WebSupport：Web支持，可以非常容易的集成到Web环境；

Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去

查，这样可以提高效率；

Concurrency：shiro支持多线程应用的并发验证，即如在一个线程中开启另一

个线程，能把权限自动过去；

Testing：提供测试支持；

RunAs：允许一个用户假装为另一个用户（如果他们允许）的进行；

RememberMe：记住我，这个是非常常见的功能，即一次登录后，下次再来的话

不用登录了。

记住一点，Shiro不会去用户、权限；这些需要我们自己去设计/提

供；然后通过相应的接口注入给Shiro即可。

接下来我们分别从外部和来看看Shiro的架构，对于一个好的框架，从外

部来看应该具有非常简单易于使用的API，且API契约明确；从来看的

话，其应该有一个可扩展的架构，即非常容易用户自定义实现，因为任何

框架都不能满足所有需求。

首先，我们从外部来看Shiro吧，即从应用程序角度的来观察如何使用Shiro

完成工作。如下图：

可以看到：应用代码直接交互的对象是Subject，也就是说Shiro的对外API

就是Subject；其每个API的含义：

Subject：主体，代表了当前“用户”，这个用户不一定是一个具体的人，与当

前应用交互的任何东西都是Subject，如网络爬虫，机器人等；即一个抽象概

念；所有Subject都绑定到SecurityManager，与Subject的所有交互都会委

托给SecurityManager；可以把Su