什么是Apache Shiro?
Apache Shiro是一个功能强大且灵活的开源安全框架,主要功能包括用户认证、授权、会话管理以及加密。
Apache Shiro的首要目标是易于使用和理解。系统安全是非常复杂甚至痛苦的,但Shiro并不是。一个框架应该尽可能的隐藏那些复杂的细节,并且公开一组简洁直观的API以简化开发人员在系统安全上所付出的努力。
你可以通过Apache Shiro完成下面这些事情:
- 验证用户身份
- 控制用户访问,例如:
- 确定用户是否被分配某个角色
- 确定用户是否被允许做某些操作
- 在任何环境下使用Session API,甚至是在脱离web或EJB容器的环境下
- 及时响应在认证、访问控制或会话生命周期内的所有事件
- 从一个或多个数据源聚集用户安全数据生成一个复合的用户“视图”
- 实现单点登录功能
- 实现“记住我”功能,使用户不必每次都要登录
除了上面这些功能,还有其他很多功能,所有这些功能都集成到了一组易于使用的API中。
Shiro试图在所有应用环境实现这一目标。在不强制依赖其他第三方框架、容器或者应用服务器的情况下,从最简单的命令行应用到最复杂的企业级应用。Shiro可以和这些第三方框架、容器或者应用服务器集成使用,也可以离开这些环境单独使用。
Apache Shiro的特点
Apache Shiro是一个功能丰富的综合安全框架。下面这张图展示了Shiro的主要特点:
ShiroFeatures.png
这些特点被Shiro开发团队称之为“应用安全的四大基石”——认证、授权、会话管理和加密:
- 认证:有时候被称作“登录”,也就是验证一个用户是谁。
- 授权:处理访问控制,例如决定“谁”可以访问“什么”资源。
- 会话管理:管理特定用户的会话,甚至在非web环境或非EJB应用环境下。
- 加密:在保持易用性的同时使用加密算法保持数据的安全。
除开上面这些功能,Shiro还提供了一些额外的功能来支持和加强在不同应用环境下使用上面这些功能,特别是:
- Web支持:Shiro的web api可以帮组web应用非常方便的提高安全性。
- 缓存:缓存可以让Apache Shiro的api在安全操作上的保持快速和高效。
- Concurrency:通过Shiro的并发特性Shiro可以支持多线程应用。
- Testing:通过编写单元测试和集成测试来确保代码的安全性。
- “Run As”:允许用户使用另一个用户的身份(如果允许),在有些管理场景非常有用。
- “Remember Me”:通过session记住用户身份。
