了解 Apache Shiro 中的 SecurityManager

SecurityManager是 Shiro 架构的核心。 Subject代表单个应用程序用户的安全功能和状态,而SecurityManager则为所有应用程序用户执行安全性操作并 Management 状态。

因为 Shiro 的 API 鼓励以Subject为中心的编程方法,所以大多数应用程序开发人员很少(如果有的话)直接与SecurityManager进行交互(但是框架开发人员有时可能会觉得有用)。即使这样,了解SecurityManager的功能仍然很重要,尤其是在为应用程序配置SecurityManager时。

Design

如前所述,应用程序的SecurityManager执行所有应用程序用户的安全操作并 Management 状态。在 Shiro 的默认SecurityManager实现中,这包括:

  • Authentication

  • Authorization

  • Session Management

  • Cache Management

  • Realm coordination

  • Event propagation

  • “记住我”服务

  • Subject creation

  • Logout
    and more.

但这是尝试在单个组件中进行 Management 的许多功能。而且,如果将所有内容归为一个实现类,则使这些事情变得灵活和可自定义将是非常困难的。

为了简化配置并实现灵活的配置/可插拔性,Shiro 的实现在设计上都是高度模块化的-实际上是模块化的,因此 SecurityManager 实现(及其类层次结构)根本不起作用。相反,SecurityManager实现主要充当轻量级的“容器”组件,几乎将所有行为委托给嵌套/包装的组件。

Modularity

为了简化SecurityManager实现的复杂性并允许可插拔的行为,Shiro SecurityManager实现将几乎所有逻辑委托给一组嵌套的模块化组件,这些组件实际执行必要的功能。当组件实际执行逻辑时,SecurityManager实现知道如何以及何时协调组件以实现正确的行为。

SecurityManager坐标和委托给的嵌套组件是:

  • 身份验证器(org.apache.shiro.authc.Authenticator)

  • 授权者(org.apache.shiro.authz.Authorizer)

  • SessionManager(org.apache.shiro.session.mgt.SessionManager)

  • CacheManager ( org.apache.shiro.cache.CacheManager )

  • RememberMeManager(org.apache.shiro.mgt.RememberMeManager)

  • SubjectFactory(org.apache.shiro.mgt.SubjectFactory)

SecurityManager实现也与 JavaBeans 兼容,这使您(或配置机制)可以通过标准 JavaBeans 访问器/更改器方法(get */set *)轻松自定义可插拔组件。这意味着 Shiro 的体系结构模块化可以转化为非常易于配置的自定义行为。

tip('Easy Configuration','由于具有 JavaBeans 兼容性,通过任何支持 JavaBeans 样式的配置的机制(例如 Spring,Guice,JBoss 等),使用自定义组件配置 SecurityManager 非常容易。)

Programmatic Configuration

创建 SecurityManager 并将其提供给应用程序的最简单的绝对方法是创建org.apache.shiro.mgt.DefaultSecurityManager并将其连接到代码中:

Realm realm = //instantiate or acquire a Realm instance.  We'll discuss Realms later. 
SecurityManager securityManager = new DefaultSecurityManager(realm);
//Make the SecurityManager instance available to the entire application: 
SecurityUtils.setSecurityManager(securityManager);

令人惊讶的是,仅需三行代码,您便拥有了适合大多数应用程序的功能齐全的 Shiro 环境。那有多容易!!

您还可以使用上面列出的嵌套组件的自定义实现调用任何SecurityManager实例的 setter 方法,以完全自定义其行为。

但是,就像编程自定义一样简单,这三行代码并不代表大多数实际应用程序的理想配置。程序配置可能不适合您的应用的原因有几个:

  • 它要求您了解并实例化直接实现。如果您不必了解具体的实现以及在哪里找到它们,那就更好了。

  • SecurityUtils.setSecurityManager方法调用使实例化的SecurityManager实例成为 VM 静态单例,这对于许多应用程序而言虽然很好,但如果在同一个 JVM 上运行多个启用 Shiro 的应用程序,则会导致问题。如果实例是应用程序单例,而不是静态内存引用,则可能会更好。

  • 它要求您每次要更改 Shiro 配置时都重新编译应用程序。

相反,大多数应用程序都受益于基于文本的配置,该配置可以独立于源代码进行修改,甚至使那些不熟悉 Shiro API 的人也更容易理解。

Text Configuration

Shiro 提供了一个简单的基于 INI 的configuration,可以直接使用,但也可以使用任何其他与 JavaBeans 兼容的机制。例如,四郎也拥有出色的Spring support。也可以使用其他类似的框架(Guice,JBoss 等)。

lendAHandDoc()

Name Apache Shiro 中文文档
Version
Language
Badge
Last Updated 2021-07-05T12:45:44