image.png
Subject 是与程序进行交互的对象,可以是人也可以是服务或者其他,通常就理解为用户。
所有Subject 实例都必须绑定到一个SecurityManager上。我们与一个 Subject 交互,运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。
相当于当前用户,在权限管理的应用里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,与当前应用交互的任何东西都是subject,如网络爬虫,所有的subject都要绑定到securityManager上,与subject的交互实际上是被转换为与securityManager的交互。
SecurityManager 是 Shiro的核心,初始化时协调各个模块运行。然而,一旦 SecurityManager协调完毕,SecurityManager 会被单独留下,且我们只需要去操作Subject即可,无需操作SecurityManager 。 但是我们得知道,当我们正与一个 Subject 进行交互时,实质上是 SecurityManager在处理 Subject 安全操作。
他是所有subject的管理者,可以把他看做成是一个shiro框架的全局管理组件,用于调用各种shiro框架的服务,作用类似于SpringMvc中的DispatcherServlet用于拦截所有请求并记性处理
Realms在 Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。他获取安全数据来判断subject是否能够登录,subject拥有什么权限。他有点类似DAO。在配置realms时,需要至少一个realm。而且Shiro提供了一些常用的 Realms来连接数据源,如LDAP数据源的JndiLdapRealm,JDBC数据源的JdbcRealm,ini文件数据源的IniRealm,properties文件数据源的PropertiesRealm,等等。我们也可以插入自己的 Realm实现来代表自定义的数据源。 像其他组件一样,Realms也是由SecurityManager控制
image.png
最简单的一个shiro应用:应用代码通过subject来进行认证和授权,Subject委托给SecurityManager,我们需要给shiro的SecurityManager注入Realm,从而让SecurityManager能得到合法的用户及其权限进行判断。
网友评论