看看Shiro的架构
Shiro 的架构有 3 个主要概念:Subject、SecurityManager 和 Realms。下图是这些组件如何交互的高级概述,我们将在下面介绍每个概念:
image
- Subject:前面说过了,Subject意味着可以是一个人,也可以是一个第三方的服务,守护程序的账户,cron作业或者任何类型的东西,基本上是当前于软件交互的任何东西
- SecurityManager: 前面也说过了,是Shiro架构的核心,主要是协调其内部的安全组件
-
Realms: 这个上一节没有说到,也是最重要的一块,Realms充当的角色是Shiro和应用安全数据之间的“桥梁”,当需要和用户账户进行交互以执行身份验证和授权(访问控制)时候,可以配置一个或多个Realms
其实本质上是一个操作DAO,然后对登陆的用户进行身份验证授权用的,SecurityManager可以配置一个或多个Realm,至少是需要一个的
Realms可以连接多种数据源比如JDBC/INI,属性文件等等,也可以自定义数据源来实现。
核心的架构
image
下边主要介绍之前没有说过的几个组件
-
Authenticator:身份验证器是负责执行和响应用户的身份验证(登录)尝试的组件。当用户尝试登录时,该逻辑由身份验证器执行。 Authenticator 知道如何与一个或多个存储相关用户/帐户信息的 Realms 进行协调。从这些 Realms 获得的数据用于验证用户的身份,以保证用户的真实身份。
- Authentication Strategy:认证的策略,如果配置了多个Realm,Authentication Strategy回去协调Realm,比如如果一个 Realm 成功但其他 Realm 失败,还是必须所有 Realm 都成功?还是只有第一个成功?
- Authorizer:授权,Authorizer 是负责确定应用程序中用户访问控制的组件。它是最终决定是否允许用户做某事的机制。与 Authenticator 一样,Authenticator 也知道如何与多个后端数据源协调访问角色和权限信息。 *Authorizer *使用此信息来准确确定是否允许用户执行给定的操作。
- SessionManager:SessionManager创建和管理用户会话生命周期,以便为所有环境中的用户提供强大的会话体验。这是安全框架领域的一个独特功能——Shiro 能够在任何环境中本地管理用户会话,即使没有可用的 Web/Servlet 或 EJB 容器。默认情况下,Shiro 将使用现有的会话机制(例如 Servlet Container),但如果没有,例如在独立应用程序或非 Web 环境中,它将使用其内置的企业会话管理来提供相同功能。 SessionDAO 的存在是为了允许使用任何数据源来持久化会话。
- SessionDAO:SessionDAO 代表 SessionManager 执行会话持久性 (CRUD) 操作
- Cryptography: 用来提供密码相关操作的,Shiro 的加密包包含易于使用和理解的加密密码、哈希(又名摘要)和不同编解码器实现的表示。这个包中的所有类都经过精心设计,非常易于使用和理解。简化了对于常用的密码加密操作。
SecurityManager里面实现都包括什么?
- Authentication:认证
- Authorization:授权
- Session Management:session管理
- Cache Management:缓存管理
- [Realm] coordination:领域相关协调,主要用来操作数据与认证鉴权操作的
- Event propagation:事件
- “Remember Me” Services:记住我
- Subject creation:Subject
- Logout and more:注销
总结
- 这里主要是说了Shiro架构方面的东西,其实里面主要还是围绕着SecurityManager来去协调个组件的调用,后续看源码的时候会体现出来,可以把各个部分当成Shiro的组件,然后SecurityManager统一进行协调管理
- 还有就是SessionDAO(session持久化用途)和Realms(和数据库交互验证用户角色权限等)主要和数据源打交道的,可以操作增删改查,
网友评论