系统安全卫士企业级安全架构shiro源码分析
2017-10-10 00:00
609 查看
可能还有许多人对shiro还是不太了解,所以在此之前我们先来熟悉一下到底是什么是shiro框架。Apache Shiro是Java的一个安全框架。因为它相当简单,目前使用Apache Shiro的人越来越多。
Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。这不就是我们想要的嘛,而且Shiro的API也是非常简单;其基本功能点如下图所示:
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:Web支持,可以非常容易的集成到Web环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
接下来我们分别从外部和内部来看看Shiro的架构,对于一个好的框架,从外部来看应该具有非常简单易于使用的API,且API契约明确;从内部来看的话,其应该有一个可扩展的架构,即非常容易插入用户自定义实现,因为任何框架都不能满足所有需求。
首先,我们从外部来看Shiro吧,即从应用程序角度的来观察如何使用Shiro完成工作。如下图:
可以看到:应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject;其每个API的含义:
Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;
SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;
Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。
今晚8:30
在腾讯课堂的
动脑学院 在线免费公开课中
lison老师将会带大家一起对
《系统安全卫士企业级安全架构shiro》
进行源码分析
对shiro框架有兴趣的童鞋一定不要错过了
点击最下角 阅读原文
晚上8:30 锁定腾讯直播课堂
进行观看
老师简介
所受课程
部分学员听课反馈
推荐阅读
▼
高并发与分布式系统的基石--数据库读写分离实战
这就是学编程的下场...
论程序员与产品经理是怎么互掐起来的
如何假装成为一名好的程序员
来自部落的邀请
Java框架 Spring 核心机制
至程序员的情书
Java高级部落送你ofo小黄车60天免费骑行,还不来?
Facebook研发的Cassandra你用过吗?
给 Java开发者的10个大数据工具和框架
[b]推荐程序员必备微信号 [/b]
▼
Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。这不就是我们想要的嘛,而且Shiro的API也是非常简单;其基本功能点如下图所示:
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:Web支持,可以非常容易的集成到Web环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
接下来我们分别从外部和内部来看看Shiro的架构,对于一个好的框架,从外部来看应该具有非常简单易于使用的API,且API契约明确;从内部来看的话,其应该有一个可扩展的架构,即非常容易插入用户自定义实现,因为任何框架都不能满足所有需求。
首先,我们从外部来看Shiro吧,即从应用程序角度的来观察如何使用Shiro完成工作。如下图:
可以看到:应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject;其每个API的含义:
Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;
SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;
Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。
今晚8:30
在腾讯课堂的
动脑学院 在线免费公开课中
lison老师将会带大家一起对
《系统安全卫士企业级安全架构shiro》
进行源码分析
对shiro框架有兴趣的童鞋一定不要错过了
点击最下角 阅读原文
晚上8:30 锁定腾讯直播课堂
进行观看
老师简介
所受课程
部分学员听课反馈
推荐阅读
▼
高并发与分布式系统的基石--数据库读写分离实战
这就是学编程的下场...
论程序员与产品经理是怎么互掐起来的
如何假装成为一名好的程序员
来自部落的邀请
Java框架 Spring 核心机制
至程序员的情书
Java高级部落送你ofo小黄车60天免费骑行,还不来?
Facebook研发的Cassandra你用过吗?
给 Java开发者的10个大数据工具和框架
[b]推荐程序员必备微信号 [/b]
▼
相关文章推荐
- 系统安全卫士企业级安全架构shiro源码分析
- Android Camera 系统架构源码分析(1)---->Camera的初始化
- Android Camera 系统架构源码分析
- (六)Tomcat源码解析 - Tomcat 系统架构与设计模式(二)-设计模式分析
- C# 系统应用之EM安全卫士总结及源码分享
- Android Camera 系统架构源码分析(2)---->Camera的startPreview和setPreviewCallback
- Android Camera 系统架构源码分析(5)---->Camera数据Buf的传递方式及相关类
- Android5.1.1Camera 系统架构源码分析(2)---->Camera的startPreview和setPreviewCallback
- Android Camera 系统架构源码分析(3)---->Camera的显示流程
- Android Camera 系统架构源码分析(4)---->Camera的数据来源及Camera的管理
- 【分享】通用强大的主数据管理系统(最终分享版本)架构分析及源码下载
- Android Camera 系统架构源码分析(2)---->Camera的startPreview和setPreviewCallback
- netty源码分析(十八)Netty底层架构系统总结与应用实践
- Android Camera 系统架构源码分析(5)---->Camera数据Buf的传递方式及相关类
- 求 架构设计 的视屏和 设计模式的视频 性能优化 的视频 系统源码分析 的视频 android
- Android Camera 系统架构源码分析(3)---->Camera的显示流程
- Shiro技术架构之源码分析
- android系统源码分析——binder架构图
- Android Camera 系统架构源码分析(1)---->Camera的初始化
- C# 系统应用之EM安全卫士总结及源码分享