《shiro入门学习》课件

入门学习Shiro本课件将带你深入了解Apache Shiro，一个强大而灵活的Java安全框架我们将从基础概念开始，逐步讲解Shiro的核心功能和应用场景简介ShiroApache Shiro是一个强大且灵活的Java安全框架，用于身份验证、授权、会话管理和加密等Shiro简化了Java应用的安全开发，提供易于使用的API和配置选项Shiro适用于各种应用场景，从简单的Web应用到复杂的企业级系统设计思想和工作流程Shiro主体提交认证请求1用户输入用户名和密码，Shiro接收请求并进行验证进行认证SecurityManager2SecurityManager调用Realm进行身份验证，检查用户凭据是否正确认证成功，获取主体信息3如果验证成功，Shiro会创建Subject对象，表示当前用户并存储用户信息授权检查4SecurityManager会根据Subject的权限信息，判断用户是否有访问权限授权成功，执行操作5如果用户有权限，Shiro会允许用户执行相应的操作核心概念ShiroSubject SecurityManagerRealm代表应用程序中的当前用户，可以是用Shiro的核心，负责管理所有安全操作，负责认证和授权的具体实现，可以根据户或其他主体Subject是Shiro API的主如认证、授权、会话管理不同的数据源和验证方式进行自定义要入口点主体Subject安全主体与交互Shiro SubjectShiro中的用户表示，代表着与通过Subject可以进行身份验应用程序交互的任何用户或实证、授权和会话管理操作体访问权限控制Subject可以通过授权判断是否具备访问特定资源的权限主体身份Principal用户标识用户角色用户权限代表用户在系统中的唯一标识，例如用户定义用户的权限和职责，例如管理员、用指定用户对系统资源的访问控制，例如读名或用户ID户或访客取、写入或执行操作登录验证器Realm身份验证授权策略数据源Realm负责验证用户身份，例如验证Realm还定义了用户权限，例如哪些Realm可以从不同的数据源获取用户用户名和密码是否匹配用户可以访问哪些资源数据，例如数据库、LDAP或文件系统安全管理器SecurityManager核心控制统一管理灵活配置Shiro应用程序的核心，负责协调所有安全管理认证、授权、会话和缓存等功能允许通过配置文件或代码进行定制化配置操作认证Authentication验证用户身份用户名密码验证12验证用户是否拥有进入系统或验证用户提供的用户名和密码访问资源的权限是否与系统记录匹配其他认证方式3例如，使用手机验证码、邮箱验证等方式进行身份验证授权Authorization访问控制控制用户对系统资源的访问权限.权限管理定义不同角色和用户拥有的权限.安全策略根据预定义的安全策略进行权限验证.会话管理会话创建会话维护用户首次访问应用程序时，Shiro在用户操作期间，Shiro会持续维会创建新的会话，并将其与用户护会话，跟踪用户活动和状态身份关联会话过期当会话超过设定时间限制，或用户长时间处于非活动状态时，会话将自动过期集成容器Shiro Servlet应用程序Web1Shiro集成Servlet容器，为Web应用程序提供安全保障安全配置2在web.xml中配置Shiro过滤器用户请求3Shiro过滤器拦截用户请求，进行身份验证和授权配置环境Shiro配置Web.xml1配置Shiro Filter拦截器配置Shiro.ini2定义Shiro核心配置数据源配置3配置Shiro数据存储方式配置Web.xml过滤器监听器在Web.xml中配置Shiro过滤器，拦截需要进行安全控制的URL配置Shiro监听器，在应用启动和关闭时执行相应的操作，例如加载安全配置配置Shiro.ini1基本配置2Realm配置指定安全管理器和环境，例如定义认证和授权的验证器，例数据库连接等如数据库Realm缓存配置3启用缓存机制，提升Shiro性能，例如Ehcache缓存数据源配置ShiroJDBC RealmMongoDB Realm使用JDBC Realm从数据库中读取用户和权限信息使用MongoDB Realm从MongoDB数据库中读取用户和权限信息自定义实现Realm自定义Realm实现Realm接口，自定义身份验证和授权逻辑身份验证根据用户名和密码获取用户信息，并进行密码比对授权根据用户角色或权限，决定用户是否可以访问特定资源数据源从数据库、LDAP或其他数据源获取用户信息登录认证流程用户输入用户名密码1调用验证2Subject Realm根据用户名查询用户信息3Realm验证用户密码是否匹配4认证成功，返回认证信息5使用进行认证Subject获取Subject通过SecurityManager获取当前Subject实例登录认证调用Subject的login方法进行认证，传入AuthenticationToken认证结果根据认证结果进行后续操作，例如跳转到首页或提示错误信息接口AuthenticationToken作用主要方法代表用户登录时提交的凭证信息，比如用户名和密码•getPrincipal:获取用户名•getCredentials:获取密码接口实现Realm认证授权Realm负责验证用户提供的身份Realm也负责授权，确定用户是信息，例如用户名和密码否具有访问特定资源的权限数据源Realm可以从不同的数据源获取用户身份信息，例如数据库、LDAP或其他目录服务授权方式基于角色的访问控制基于资源的访问控制将权限分配给角色，然后将角色分配直接将权限分配给用户，用户拥有对给用户用户通过角色间接地获得权特定资源的访问权限限基于角色的访问控制角色定义权限分配将用户分组到不同的角色，每个将权限分配给不同的角色，例如角色对应不同的权限集合管理员角色拥有所有权限，普通用户拥有部分权限角色继承可以设置角色继承关系，例如管理员角色继承普通用户的权限基于资源的访问控制权限控制细粒度控制基于资源的访问控制，是对资可以对不同资源设置不同的访源的访问权限进行控制问权限，例如，某些用户只能访问特定的资源，而其他用户则可以访问所有资源灵活配置Shiro提供了灵活的配置方式，可以轻松地对资源访问权限进行配置会话管理会话创建会话维护会话数据存储用户首次访问应用程序时，Shiro会创建Shiro会自动跟踪用户会话，并处理会话Shiro可以将会话数据存储在内存中或数一个新的会话，用于存储用户身份信息超时、失效等情况据库中，根据实际需求进行选择和相关数据会话创建和维护创建会话1当用户第一次访问应用时，Shiro会自动创建一个会话维护会话2在用户访问应用期间，Shiro会持续维护会话销毁会话3当用户注销或会话超时时，Shiro会销毁会话会话超时和失效自动超时事件触发默认情况下，会话会根据配置的时间间隔自动失效，例如30分钟某些事件可能会导致会话失效，例如用户更改密码或系统重启123手动失效程序可以通过代码手动注销会话，例如用户手动退出或系统检测到异常会话数据存储Shiro默认使用内存存储会话数据适合小型应用，但无法持久化会话数据可将会话数据持久化到文件、数据库或缓存服务器与整合Shiro Spring依赖注入1使用Spring的依赖注入机制管理Shiro组件配置集成2通过Spring配置文件进行Shiro配置注解使用3利用Spring AOP实现Shiro注解功能注解使用Shiro授权注解角色注解访客注解用户注解使用`@RequiresPermissions`使用`@RequiresRoles`注解控使用`@RequiresGuest`注解限使用`@RequiresUser`注解限注解控制方法访问权限制方法访问角色制匿名用户访问制已认证用户访问缓存管理Shiro性能提升缓存可显著提高系统性能，减少数据库访问次数，提升响应速度安全增强缓存敏感数据可有效降低安全风险，防止恶意攻击或数据泄露灵活配置Shiro提供灵活的缓存配置选项，支持自定义缓存实现，满足不同场景的需求总结与展望通过本课程的学习，大家已经了解了Apache Shiro的基本概念、设计思想和核心功能未来，我们可以进一步探索Shiro的更多高级功能，例如缓存管理、多因素认证、数据加密和权限控制等。