Shiro是一个强大而灵活的开源安全框架,它具有认证,授权,企业级session管理,加密等功能。Shiro简单易用,屏蔽了那些复杂的安全操作细节,并提供了直观的API让开发者保证其应用的安全性。通过Shiro可以进行如下操作:
a. 对用户进行认证。
b. 进行用户权限的控制,如:
1. 用户是否具有某项角色。
2. 是否允许用户执行某项操作。
c. 可以在任何环境下使用Shiro的API,包括web和EJB容器中。
d. 在认证,访问控制,session周期中进行事件监听。
e. 支持多数据源验证方式,并以单用户视图返回。
f. 具有SSO功能。
g. 具有Remember Me服务。
等其他操作。
Shiro可以运行在任何环境下,从命令行应用到企业级应用,它不依赖任何第三方框架,容器及应用服务器。
2. Apache Shiro Features
Shiro具有很多特性,下图描述了Shiro的核心特性:
Shiro团队将"应用程序安全性的四块基石"作为目标:认证,授权,Session管理,密码。
1. Authentication
有时被称为"登陆",证明一个用户是谁。
2. Authorization
权限控制,即用户具有什么权限。
3. Session Management
管理用户相关的session。
4. Cryptography
使用加密算法进行数据的加密。
还有其他一些特性来支持和加强了这些概念:
1. Web Support
支持web应用
2. Caching
缓存是Shiro API的核心,保证了安全操作的高效。
3. Concurrency
支持具有并发特性的多线程应用。
4. Testing
支持单元和继承测试。
5. Run As
支持将用户假定为其他用户的特殊情形,适用于某些管理模式下场景。
6. Remember Me
记忆用户标识,当需要强制登陆时,进行验证操作。