日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
還在親手寫Filter進行權(quán)限校驗?嘗試一下Shiro吧

 本文轉(zhuǎn)載自微信公眾號「程序新視界」,作者丑胖俠二師兄。轉(zhuǎn)載本文請聯(lián)系程序新視界公眾號。

成都創(chuàng)新互聯(lián)主要從事網(wǎng)頁設(shè)計、PC網(wǎng)站建設(shè)(電腦版網(wǎng)站建設(shè))、wap網(wǎng)站建設(shè)(手機版網(wǎng)站建設(shè))、響應(yīng)式網(wǎng)站設(shè)計、程序開發(fā)、網(wǎng)站優(yōu)化、微網(wǎng)站、微信小程序定制開發(fā)等,憑借多年來在互聯(lián)網(wǎng)的打拼,我們在互聯(lián)網(wǎng)網(wǎng)站建設(shè)行業(yè)積累了豐富的成都做網(wǎng)站、網(wǎng)站建設(shè)、網(wǎng)站設(shè)計、網(wǎng)絡(luò)營銷經(jīng)驗,集策劃、開發(fā)、設(shè)計、營銷、管理等多方位專業(yè)化運作于一體。

在實踐中,發(fā)現(xiàn)很多朋友雖然在使用Shiro,但貌似對其并不了解,甚至有的項目還在使用filter來實現(xiàn)權(quán)限管理,而網(wǎng)絡(luò)上相關(guān)教程又比較古老。因此,決定為大家更新這么一個關(guān)于Shiro的系列教程,最后會整理成冊,分享給大家。

如果你也想深入學習一下Shiro框架,那么關(guān)注一下公眾號“程序新視界”,可及時獲取最新的文章,等本系列更新完畢會也會第一時間整理成電子版文檔分享給大家。第一篇,給大家科普一些基礎(chǔ)概念,下面開始正文。

前言

權(quán)限管理是每個系統(tǒng)不可缺少的,它隸屬于系統(tǒng)安全的范疇,實現(xiàn)對用戶訪問系統(tǒng)的控制,按照指定的安全策略控制用戶對資源的訪問。

權(quán)限管理通常包括用戶身份認證和授權(quán)兩部分,簡稱認證授權(quán)。對于需要訪問控制的資源,需先進行用戶身份認證,認證通過后用戶具有該資源的訪問權(quán)限便可進行訪問。

針對權(quán)限管理,在Java體系中,常見的權(quán)限框架有Shiro和Spring Security,當然在一些簡單或古老的系統(tǒng)中可能還在用手寫的filter來進行權(quán)限的管理和控制。本文先從Shiro的功能、組件、架構(gòu)等方面來帶大家了解一下Shiro框架。

Shiro簡介

Apache Shiro是一個強大且易用的Java安全框架,執(zhí)行身份驗證、授權(quán)、密碼和會話管理。與之相對應(yīng)的便是Spring Security,但在大多數(shù)項目中開發(fā)人員更愿意使用Shiro來管理權(quán)限。

主要原因是使用起來比較簡單,而Spring Security相對來說更重量級一些,學習曲線比較陡峭,而實際環(huán)境中也并不需要Spring Security那么多功能。所以,一般情況下,使用Shiro便足夠了。

Shiro可以快速、輕松的運用于任何應(yīng)用程序中,從最小的移動應(yīng)用程序到最大的網(wǎng)絡(luò)和企業(yè)應(yīng)用程序。

Shiro能做什么

Shiro提供了以下功能:認證(Authentication)、授權(quán)(Authorization)、加密(Cryptography)、Session管理(Session Management)、Web集成(Web Support)、緩存(Caching)等??捎糜诒Wo任何應(yīng)用程序:從命令行應(yīng)用程序、移動應(yīng)用程序到最大的Web和企業(yè)應(yīng)用程序。

關(guān)于Shiro的核心功能,官方提供了下圖:

使用Shiro我們可以實現(xiàn)以下功能:

  • 用戶認證;
  • 用戶訪問控制:判斷用戶是否擁有特定的角色;判斷用戶是否可執(zhí)行某個操作;
  • 在任何環(huán)境下使用Session API,即使在Web或EJB容器之外的應(yīng)用;
  • 可在認證、訪問控制和會話期間,對事件做出響應(yīng);
  • 匯總一個或多個用戶安全數(shù)據(jù)的數(shù)據(jù)源,并將其全部顯示為單個復合用戶“視圖”;
  • 支持單點登錄(SSO)功能;
  • 支持登錄時的“記住”功能;
  • 其他應(yīng)用程序;

Shiro特點

Shiro的目標是:在各類應(yīng)用(從命令行到大型企業(yè)應(yīng)用)中,做到不依賴其他三方框架、容器或應(yīng)用程序本身的依賴,可以在任何環(huán)境中直接使用。同時它又具有以下特點:

  • 易于理解的Java Security API;
  • 簡單的身份認證(登錄),支持多種數(shù)據(jù)源(LDAP,JDBC,Kerberos,ActiveDirectory 等);
  • 對角色的簡單的簽權(quán)(訪問控制),支持細粒度的簽權(quán);
  • 支持一級緩存,以提升應(yīng)用程序的性能;
  • 內(nèi)置的基于POJO企業(yè)會話管理,適用于Web以及非Web的環(huán)境;
  • 異構(gòu)客戶端會話訪問;
  • 非常簡單的加密 API;
  • 不跟任何的框架或者容器捆綁,可以獨立運行;

Shiro各模塊功能

結(jié)合下圖,我們來細化一下Shiro各個模塊對應(yīng)的功能:

Authentication:身份認證/登錄,驗證用戶是不是擁有相應(yīng)的身份;

Authorization:授權(quán),即權(quán)限驗證。驗證某個用戶是否有操作某個功能的權(quán)限。如:驗證用戶是否擁有某個角色、是否有操作某個資源的權(quán)限;

Session Management:Session管理,存儲用戶登錄信息于會話當中,支持Web環(huán)境和非Web環(huán)境;

Cryptography:加密數(shù)據(jù),并保持易用性,比如密碼加密后存儲到數(shù)據(jù)庫;

Web Support:Web支持,可以方便的集成到Web環(huán)境;

Caching:緩存,比如用戶登錄后,對用戶信息、角色/權(quán)限進行緩存;

Concurrency:Shiro支持多線程場景下的并發(fā)驗證,即如在一個線程中開啟另一個線程,能把權(quán)限自動傳播過去;

Testing:提供測試支持;

Run As:允許一個用戶假裝為另一個用戶(如果他們允許)進行訪問;

Remember Me:記住我,登錄之后,下次可直接進入系統(tǒng)。

看了上面的組件是不是突然覺得Shiro在實際應(yīng)用中被小看了?雖然Shiro為我們提供了這么多功能,但它并不會幫我們實現(xiàn)具體的用戶、權(quán)限等體系,關(guān)于用戶、角色、權(quán)限等需要自行設(shè)計,然后在Shiro中進行處理即可。

核心組件

Shiro包括三大核心組件:Subject,SecurityManager和Realms。這三個組件的關(guān)系如下圖:

Subject:主體,即“當前操作用戶”。在Shiro中Subject并不僅僅指人,是一個抽象概念,也可以是第三方進程、后臺帳戶(Daemon Account)或其他類似事物(如爬蟲、機器人等)。也就是說它僅僅意味著“當前跟軟件交互的東西”。所有Subject都綁定到SecurityManager上,SecurityManager才是實際的執(zhí)行者。

SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通過SecurityManager來管理內(nèi)部組件實例(包括所有的Subject),并通過它來提供安全管理的各種服務(wù)。類似SpringMVC中的DispatcherServlet的作用。

Realm:域,充當了Shiro與應(yīng)用安全數(shù)據(jù)間的“橋梁”或者“連接器”。也就是說,當對用戶執(zhí)行認證(登錄)和授權(quán)(訪問控制)驗證時,Shiro會從應(yīng)用配置的Realm中查找用戶及其權(quán)限信息。從這個意義上講,Realm本質(zhì)上是一個安全相關(guān)的DAO:它封裝了數(shù)據(jù)源的連接細節(jié),在需要時將相關(guān)數(shù)據(jù)提供給Shiro。當配置Shiro時,至少指定一個Realm,用于認證和(或)授權(quán)。

Shiro內(nèi)置了可以連接大量安全數(shù)據(jù)源(又名目錄)的Realm,如LDAP、關(guān)系數(shù)據(jù)庫(JDBC)、類似INI的文本配置資源以及屬性文件等。如果默認的Realm不能滿足需求,還可以自定義Realm實現(xiàn)。

Shiro架構(gòu)概覽

分析了上述組件,我們梳理一下Shiro使用的簡單場景:應(yīng)用程序通過Subject來進行認證和授權(quán),而Subject是委托給SecurityManager管理的。SecurityManager進行認證和授權(quán)又需要Authenticator和Realm的支持,因此需將Realm注入給SecurityManager。

那么,Shiro內(nèi)部的架構(gòu)又是如何呢?

上圖中,Subject、SecurityManager、Realm我們在前面已經(jīng)講到過了,這里再看看其他模塊:

Authenticator:認證器,負責Subject的認證,支持自定義實現(xiàn);需要認證策略(Authentication Strategy),即認證通過的條件。

Authrizer:授權(quán)器,或者訪問控制器,用來決定主體是否有權(quán)限進行相應(yīng)的操作。

SessionManager:SessionManager用于管理Session的生命周期。Shiro可用在Web環(huán)境和非Web環(huán)境,所以Shiro就抽象出一個Session來管理主體與應(yīng)用之間交互的數(shù)據(jù),這樣就可以將不同應(yīng)用的Session進行集中管理,從而實現(xiàn)分布式會話。

SessionDAO:如果想把Session存儲到數(shù)據(jù)庫或Memcached當中,則可實現(xiàn)對應(yīng)的SessionDAO來實現(xiàn)會話的CRUD。SessionDAO中可以使用Cache進行緩存,來提高性能;

CacheManager:緩存控制器,用來管理用戶、角色、權(quán)限等緩存。

Cryptography:密碼模塊,提供了常見的加解密組件。

了解了上述組件的功能,再回想一下在實踐中的應(yīng)用,是不是有點豁然開朗了?

小結(jié)

看到很多朋友在使用shiro時往往是在網(wǎng)上找到一段代碼,然后進行簡單的修改便運用起來了,而各個組件之間什么關(guān)系,實現(xiàn)這個功能的原理是什么等信息卻沒有進行深入探究。這樣即便實踐了很多項目,依舊無法提升自身的技能。本篇文章從shiro的功能、架構(gòu)、組件等方面進行講解,經(jīng)過本篇文章的學習,想必大家已經(jīng)掌握了使用Shiro的基本原理和概念,這也是為后續(xù)深入學習和實踐做好準備了。


分享名稱:還在親手寫Filter進行權(quán)限校驗?嘗試一下Shiro吧
URL網(wǎng)址:http://www.dlmjj.cn/article/dhjespo.html