shiro原理简介说明

转自：

shiro原理简介说明

下文笔者讲述shiro的原理简介说明，如下所示:

Shiro原理简介说明

   Shiro是一个强大易用的Java安全框架
   Shiro可提供认证、授权、加密和会话管理等功能
   Shiro是市面上使用最多的登陆框架

shiro框架

Subject:

主体:代表当前“用户”
此处的用户不一定是一个具体的人
与当前应用交互的任何东西都是Subject,如网络爬虫，机器人等
所有Subject都绑定到SecurityManager 同Subject的所有交互都会委托给SecurityManager
我们可以将Subject看成一个接入方
SecurityManager 才是实际的执行者

SecurityManager

安全管理器:所有与安全有关的操作都会与SecurityManager交互
且它管理着所有Subject
可以看出它是 Shiro 的核心
它负责与后边介绍的其他组件进行交互 

Realm

域
Shiro 从 Realm 获取安全数据（如用户、角色、权限）
就是说 SecurityManager 要验证用户身份，它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法，
也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作
我们可以把 Realm 看成 DataSource，即安全数据源。

shiro运行原理

 Subject：主体，可以看到主体可以是任何与应用交互的“用户”。
 SecurityManager：相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher。它是 Shiro 的核心，所有具体的交互都通过 SecurityManager 进行控制。它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。
 Authenticator：认证器，负责主体认证的，这是一个扩展点，如果用户觉得 Shiro 默认的不好，我们可以自定义实现。其    需要认证策略（Authentication Strategy），即什么情况下算用户认证通过了。
 Authrizer：授权器，或者访问控制器。它用来决定主体是否有权限进行相应的操作，即控制着用户能访问应用中的哪些功能 
 Realm：可以有1个或多个 Realm，可以认为是安全实体数据源，即用于获取安全实体的。它可以是 JDBC 实现，也可以是      LDAP 实现，或者内存实现等。
 SessionManager：如果写过 Servlet 就应该知道 Session 的概念，Session 需要有人去管理它的生命周期，这个组件就是     SessionManager。而 Shiro 并不仅仅可以用在 Web 环境，也可以用在如普通的 JavaSE 环境。
  SessionDAO：DAO 大家都用过，数据访问对象，用于会话的 CRUD。我们可以自定义 SessionDAO 的实现，控制 session 存    储的位置。如通过 JDBC 写到数据库或通过 jedis 写入 redis 中。另外 SessionDAO 中可以使用 Cache 进行缓存，以   提高性能。
  CacheManager：缓存管理器。它来管理如用户、角色、权限等的缓存的。因为这些数据基本上很少去改变，放到缓存中后可以提高访问的性能。
  Cryptography：密码模块，Shiro 提高了一些常见的加密组件用于如密码加密/解密的。

shiro认证过程

1、应用程序构建了一个终端用户认证信息的AuthenticationToken 实例后，调用Subject.login方法
2、Sbuject的实例通常是DelegatingSubject类（或子类）的实例对象，在认证开始时，会委托应用程序设置的securityManager实例调用securityManager.login(token)方法
3、SecurityManager接受到token(令牌)信息后会委托内置的Authenticator的实例（通常都是ModularRealmAuthenticator类的实例）调用authenticator.authenticate(token). ModularRealmAuthenticator在认证过程中会对设置的一个或多个Realm实例进行适配，它实际上为Shiro提供了一个可拔插的认证机制
4、如果在应用程序中配置了多个Realm，ModularRealmAuthenticator会根据配置的AuthenticationStrategy(认证策略)来进行多Realm的认证过程。在Realm被调用后，AuthenticationStrategy将对每一个Realm的结果作出响应
    注:如果应用程序中仅配置了一个Realm，Realm将被直接调用而无需再配置认证策略
5、判断每一个Realm是否支持提交的token，如果支持，Realm将调用getAuthenticationInfo(token); getAuthenticationInfo 方法就是实际认证处理，我们通过覆盖Realm的doGetAuthenticationInfo方法来编写我们自定义的认证处理 

版权声明