内容分析讲师shiro new.pptxVIP

讲师：佟刚新浪微博：尚硅谷-佟刚Shiro

权限基础两个基本的概念安全实体：就是被权限系统保护的对象，比如工资数据。权限：就是需要被校验的行为，比如查看、修改等。分配权限：把对某些安全实体的某些权限分配给某些人员。是向数据库里面添加数据、或是维护数据的过程权限验证（权限匹配）：判断某个人员或程序对某个安全实体是否拥有某个或某些权限。从数据库中获取相应数据进行匹配的过程。

权限基础权限的继承性：如果多个安全实体存在包含关系，而某个安全实体没有权限限制，则它会继承包含它的安全实体的相应权限。权限的最近匹配原则：如果多个安全实体存在包含关系，而某个安全实体没有权限限制，那么它会向上寻找并匹配相应权限限制，直到找到一个离这个安全实体最近的拥有相应权限限制的安全实体为止。如果把整个层次结构都寻找完了都没有匹配到相应权限限制的话，那就说明所有人对这个安全实体都拥有这个相应的权限限制。

Shiro简介ApacheShiro是一个强大易用的Java安全框架，提供了认证、授权、加密和会话管理等功能?Shiro能做什么认证：验证用户的身份授权：对用户执行访问控制：判断用户是否被允许做某事会话管理：在任何环境下使用SessionAPI，即使没有Web或EJB容器。加密：以更简洁易用的方式使用加密功能，保护或隐藏数据防止被偷窥Realms：聚集一个或多个用户安全数据的数据源单点登录（SSO）功能。为没有关联到登录的用户启用RememberMe“服务

Shiro的主要功能

Shiro的主要功能Shiro的四大核心部分Authentication(身份验证)：简称为“登录”，即证明用户是谁。Authorization(授权)：访问控制的过程，即决定是否有权限去访问受保护的资源。SessionManagement(会话管理)：管理用户特定的会话，即使在非Web或EJB应用程序。Cryptography(加密)：通过使用加密算法保持数据安全?shiro还提供以下扩展：WebSupport：主要针对web应用提供一些常用功能。Caching：缓存可以使应用程序运行更有效率。Concurrency：多线程相关功能。Testing：帮助我们进行测试相关功能RunAs：一个允许用户假设为另一个用户身份（如果允许）的功能，有时候在管理脚本很有用。RememberMe：记住用户身份，提供类似购物车功能。

Shiro架构3个核心组件

Shiro架构3个核心组件Subject：正与系统进行交互的人，或某一个第三方服务。所有Subject实例都被绑定到（且这是必须的）一个SecurityManager上。SecurityManager：Shiro架构的心脏，用来协调内部各安全组件，管理内部组件实例，并通过它来提供安全管理的各种服务。当Shiro与一个Subject进行交互时，实质上是幕后的SecurityManager处理所有繁重的Subject安全操作。Realms：本质上是一个特定安全的DAO。当配置Shiro时，必须指定至少一个Realm用来进行身份验证和/或授权。Shiro提供了多种可用的Realms来获取安全相关的数据。如关系数据库(JDBC)，INI及属性文件等。可以定义自己Realm实现来代表自定义的数据源。

Shiro架构

Shiro架构Authenticator：执行对用户的身份验证（登录）的组件。Authenticator从一个或多个Realm中获得数据以验证用户的身份。若存在多个realm，则接口AuthenticationStrategy会确定什么样算是验证成功（例如，如果一个Realm成功，而其他的均失败，是否登录成功）。Authorizer：验证用户能否访问应用中的受保护的资源SessionManager：可在任何应用或架构层一致地使用SessionAPISessionDAO：SessionManager执行Session持久化（CRUD）操作。CacheManager：对Shiro组件提供缓存支持。Cryptography：Shiro的API大幅度简化JavaAPI中繁琐的密码加密Realms：Shiro通过Realms来获取相应的安全数据

HelloWorld1.在类路径下加入如下jar包2.在类路径下加入如下配置文件：samples\quickstart\src\main\resources\*。3.在src下加入samples\quickstart\src\main\java\Quickstart.java4.修改log4j.