Apache Shiro 是一个强大的Java语言框架,通过简单易用的API提供了认证、授权、加密、session管理等功能。可用于命令行应用、手机应用、web应用和企业级系统等各种应用。
使用 Apache Shiro 可以做到:
- 验证用户身份。
- 对用户进行访问控制,比如:
- 判断某个用户是否被赋予某个特定角色
- 判断某个用户是否被允许执行某些操作
- 可以在各种环境下使用 Session API ,即使是不在web或EJB容器中
- 对认证、访问控制或在会话生命周期中的事件进行响应处理
- 可以聚合使用一个或多个安全数据的数据源而使用者只需了解一层抽象
- 使用单点登录(SSO)。
- 使用“下次自动登陆(Remember Me)”等等
而所有这些都已经集成于Shiro统一易用的API中。
主要功能
Apache Shiro 框架提供了很多功能,下图展示了Shiro的着重点:
Shiro主要面向Shiro开发团队所谓的“应用安全的四大基础” ——认证、授权、会话管理与密码加密:
- 认证: 或“登录”,用以验证用户身份。
- 授权: 访问控制, 比如决定谁可以访问某些资源。
- 会话管理: 管理用户相关的session,即使是在非web或EJB应用中。
- 加密:可以非常方便地使用(各种)加密算法保证数据的安全。
Shiro还包含了一些其他功能以支持不同的应用环境,其中:
- 对Web的支持: Shiro自带的支持Web的API可以很容易地保证web应用的安全。
- 缓存:缓存在Apache Shiro的API中是“一等公民”,可以保证操作的快速高效。
- 并发: Apache Shiro的并发功能支持开发多线程的应用。
- 测试:对测试的支持可以帮助你编写单元测试与集成测试。
- 以某个身份运行(Run As):允许一个用户使用另外某个用户的身份(执行操作),这个功能常用于管理场景中(比如“以管理员身份运行”)。
- 自动登陆(Remember Me):可以跨会话记住用户身份,只在某些特殊情况下才需要强制登录。
官方文档
官方网站:shiro.apache.org/
开源地址:github.com/apache/shir…
