Shiro——shiro架构

          Shiro是Apache的一个开源框架，是一个权限管理的框架，提供了认证、授权、加密和会话管理等功能：

         认证 - 用户身份识别，常被称为用户“登录”；

         授权 - 访问控制；

         密码加密 - 保护或隐藏数据防止被偷窥；

         会话管理 - 每用户相关的时间敏感的状态。

使用Shiro实现系统的权限管理，有效提高开发效率，从而降低开发成本。

Shiro架构

          三个核心组件：Subject，SecurityManager和Realms

          

Subject：即“当前操作用户”。但是，在Shiro中，Subject这一概念并不仅仅指人，也可以是第三方进程、后台帐户（DaemonAccount）或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途，你可以把它认为是Shiro的“用户”概念。 Subject代表了当前用户的安全操作，SecurityManager则管理所有用户的安全操作。 

 

SecurityManager：它是Shiro框架的核心，典型的Facade模式，Shiro通过SecurityManager来管理内部组件实例，并通过它来提供安全管理的各种服务。 

 

Realm：Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说，当对用户执行认证（登录）和授权（访问控制）验证时，Shiro会从应用配置的Realm中查找用户及其权限信息。 从这个意义上讲，Realm实质上是一个安全相关的DAO：它封装了数据源的连接细节，并在需要时将相关数据提供给Shiro。当配置Shiro时，你必须至少指定一个Realm，用于认证和（或）授权。配置多个Realm是可以的，但是至少需要一个。 

           Shiro内置了可以连接大量安全数据源（又名目录）的Realm，如LDAP、关系数据库（JDBC）、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求，你还可以插入代表自定义数据源的自己的Realm实现。 

 

          也就是说对于我们而言，最简单的一个Shiro应用：

1、应用代码通过Subject来进行认证和授权，而Subject又委托给SecurityManager；

2、我们需要给Shiro的SecurityManager注入Realm，从而让SecurityManager能得到合法的用户及其权限进行判断。

 

从以上也可以看出，Shiro不提供维护用户/权限，而是通过Realm让开发人员自己注入。

 

从Shiro内部看架构

Shiro完整架构图

           

subject：主体，可以是用户也可以是程序，主体要访问系统，系统需要对主体进行认证、授权。

 

securityManager：安全管理器，主体进行认证和授权都 是通过securityManager进行。

 

authenticator：认证器，主体进行认证最终通过authenticator进行的。

 

authorizer：授权器，主体进行授权最终通过authorizer进行的。

 

sessionManager：web应用中一般是用web容器对session进行管理，shiro也提供一套session管理的方式。

SessionDao： 通过SessionDao管理session数据，针对个性化的session数据存储需要使用sessionDao。

 

cacheManager：缓存管理器，主要对session和授权数据进行缓存，比如将授权数据通过cacheManager进行缓存管理，和ehcache整合对缓存数据进行管理。

 

realm：域，领域，相当于数据源，通过realm存取认证、授权相关数据。在realm中存储授权和认证的逻辑。

 

cryptography：密码管理，提供了一套加密/解密的组件，方便开发。比如提供常用的散列、加/解密等功能。比如md5散列算法。

            记住一点：Shiro不会去维护用户、维护权限；这些需要我们自己去设计/提供；然后通过相应的接口注入给Shiro即可。