什么是 Shiro

官網：http://shiro.apache.org/
shiro是一款主流的 Java 安全框架，不依賴任何容器，可以運行在 Java SE和 Java EE 項目中，它的主要作用是對訪問系統的用戶進行身份認證、授權、會話管理、加密等操作。
Shiro 就是用來解決安全管理的系統化框架。

總體架構

核心功能

• 認證Authentication
• 授權Authorization
• 會話管理
• 加密
• 緩存

用戶信息、角色、權限等緩存到如redis等緩存中

• Web集成支持
• 測試支持
• 記住我

核心組件

1、UsernamePasswordToken，Shiro 用來封裝用戶登錄信息，使用用戶的登錄信息來創建令牌 Token。
2、SecurityManager，Shiro 的核心部分，負責安全認證和授權。
3、Suject，Shiro 的一個抽象概念，包含了用戶信息。
4、Realm，開發者自定義的模塊，根據項目的需求，驗證和授權的邏輯全部寫在 Realm 中。
5、AuthenticationInfo，用戶的角色信息集合，認證時使用。
6、AuthorzationInfo，角色的權限信息集合，授權時使用。
7、DefaultWebSecurityManager，安全管理器，開發者自定義的Realm 需要注入到 DefaultWebSecurityManager 進行管理才能生效。
8、ShiroFilterFactoryBean，過濾器工廠，Shiro 的基本運行機制是開發者定制規則，Shiro 去執行，具體的執行操作就是由ShiroFilterFactoryBean 創建的一個個 Filter 對象來完成。

認證過程

1.收集身份和令牌（用戶名/密碼）

//Example using most common scenario of username/password pair: UsernamePasswordToken token = new UsernamePasswordToken(username, password);//"Remember Me" built-in: token.setRememberMe(true);

2.提交身份和令牌

Subject currentUser = SecurityUtils.getSubject();currentUser.login(token);

3.處理認證成功和失敗

try {currentUser.login(token); } catch ( UnknownAccountException uae ) { ... } catch ( IncorrectCredentialsException ice ) { ... } catch ( LockedAccountException lae ) { ... } catch ( ExcessiveAttemptsException eae ) { ... } ... catch your own ... } catch ( AuthenticationException ae ) {//unexpected error? }//No problems, continue on as expected...

更詳細的認證請參考

http://shiro.apache.org/authentication.html#authentication-sequence

總結

以上是生活随笔為你收集整理的Shiro实战1-介绍的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。