Apache Shiro是一个具有许多功能的综合应用程序安全框架。 下图显示了Shiro体系结构,本参考手册将以类似方式组织:
Shiro目标是什么?
Shiro开发团队称为“应用程序安全的四个基石” - 即:认证,授权,会话管理和加密:
1. 认证: 有时被称为“登录”,这是证明用户的行为(他们说自己是谁)。
2. 授权:访问控制的过程,即确定“谁”可以访问“什么”。
3. 会话管理:管理用户特定的会话,即使在非Web或EJB应用程序中。
4. 加密:使用加密算法保持数据安全,同时仍然易于使用。
在不同的应用环境中还有其他特性支持和强化这些问题,特别是:
- Web支持:Shiro的Web支持API有助于保护Web应用程序。
- 缓存:缓存是Apache Shiro API中的第一级,以确保安全操作保持快速和高效。
- 并发性:Apache Shiro支持具有并发功能的多线程应用程序。
- 测试:存在测试支持,可帮助您编写单元测试和集成测试,并确保代码按预期得到保障。
- “运行方式”:允许用户承担另一个用户的身份(如果允许)的功能,有时在管理方案中很有用。
- “记住我”:记住用户在会话中的身份,所以用户只需要强制登录即可。