认证 - 用户身份识别,常被称为用户“登录”;
会话管理 - 每用户相关的时间敏感的状态。
授权 - 访问控制;
密码加密 - 保护或隐藏数据防止被偷窥;
对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。
Shiro的三个核心组件:Subject, SecurityManager 和 Realms
Application Code --> Subject -->Shiro SecurityManager --> Realm
Subject:即“当前操作用户”。
但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。
它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。
Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。
也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
示例1:使用Shiro对用户信息进行验证
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
public class ShiroTest {
public static void main(String[] args) {
//1.
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//2.
SecurityManager securityManager = factory.getInstance();
//3.
SecurityUtils.setSecurityManager(securityManager);
//4.
Subject currentUser = SecurityUtils.getSubject();
if(currentUser.isAuthenticated())
{
System.out.println("已登录,SESSION: " + currentUser.getSession());
}
UsernamePasswordToken token = new UsernamePasswordToken("zwx","zavens1");
try {
currentUser.login(token);
} catch (Exception e) {
System.out.println("验证没有通过!");
}
if(currentUser.isAuthenticated())
{
System.out.println("已登录,SESSION: " + currentUser.getSession());
}
}
}
shiro.ini
[users] zwx=zavens