Apache Shiro是一個具有許多功能的綜合應(yīng)用程序安全框架。 下圖顯示了Shiro體系結(jié)構(gòu)�����,本參考手冊將以類似方式組織:
Shiro目標(biāo)是什么�����?
Shiro開發(fā)團隊稱為“應(yīng)用程序安全的四個基石” - 即:認(rèn)證��,授權(quán)�,會話管理和加密:
1. 認(rèn)證: 有時被稱為“登錄”,這是證明用戶的行為(他們說自己是誰)���。
2. 授權(quán):訪問控制的過程,即確定“誰”可以訪問“什么”�。
3. 會話管理:管理用戶特定的會話���,即使在非Web或EJB應(yīng)用程序中�����。
4. 加密:使用加密算法保持?jǐn)?shù)據(jù)安全����,同時仍然易于使用�。
在不同的應(yīng)用環(huán)境中還有其他特性支持和強化這些問題,特別是:
- Web支持:Shiro的Web支持API有助于保護Web應(yīng)用程序��。
- 緩存:緩存是Apache Shiro API中的第一級,以確保安全操作保持快速和高效��。
- 并發(fā)性:Apache Shiro支持具有并發(fā)功能的多線程應(yīng)用程序�。
- 測試:存在測試支持����,可幫助您編寫單元測試和集成測試,并確保代碼按預(yù)期得到保障�����。
- “運行方式”:允許用戶承擔(dān)另一個用戶的身份(如果允許)的功能����,有時在管理方案中很有用。
- “記住我”:記住用戶在會話中的身份�����,所以用戶只需要強制登錄即可��。
