請(qǐng)花2分鐘閱讀和理解Shiro中的術(shù)語(yǔ) - 這是非常重要的�。這里的術(shù)語(yǔ)和概念在文檔中的任何地方都被引用,并且將大大簡(jiǎn)化您對(duì)Shiro和一般的安全性的理解���。
因?yàn)槭褂昧艘恍┠赡懿惶靼椎男g(shù)語(yǔ)��,所以安全可能真的令人很困惑�����。下面將通過(guò)一些核心概念來(lái)更容易地理解Shiro常用的知識(shí)����,在接下來(lái)的章節(jié)中會(huì)看到Shiro API如何反映它們:
- 認(rèn)證
認(rèn)證是驗(yàn)證主體身份的過(guò)程 - 基本上證明有人真的是他們所說(shuō)的他們是誰(shuí)那樣�����。 當(dāng)認(rèn)證成功時(shí)��,應(yīng)用程序可以信任保證為應(yīng)用程序期望的對(duì)象���。 - 授權(quán)
授權(quán)����,也稱(chēng)為訪問(wèn)控制,是確定用戶(hù)/主題是否被允許做某事的過(guò)程��。 通常通過(guò)檢查和解釋主體的角色和權(quán)限(見(jiàn)下文)�����,然后允許或拒絕對(duì)所請(qǐng)求的資源或功能的訪問(wèn)來(lái)實(shí)現(xiàn)����。 - 密碼
密碼是用于執(zhí)行加密或解密的算法。 該算法通常依賴(lài)于稱(chēng)為密鑰的一條信息�����。 并且加密基于密鑰而變化的�����,因此如果沒(méi)有它����,則解密是非常困難的。
密碼有不同的變化��。 塊密碼對(duì)通常具有固定大小的符號(hào)塊進(jìn)行工作�����,而流密碼對(duì)連續(xù)的符號(hào)流進(jìn)行工作��。 對(duì)稱(chēng)密碼使用相同的密鑰進(jìn)行加密和解密���,而非對(duì)稱(chēng)密碼使用不同的密鑰����。 如果非對(duì)稱(chēng)密碼中的密鑰不能從另一個(gè)密鑰導(dǎo)出��,則可以共享創(chuàng)建公鑰/私鑰對(duì)�。 - 憑據(jù)
證書(shū)是驗(yàn)證用戶(hù)/主體的身份的一條信息。 在認(rèn)證嘗試期間�����,一個(gè)(或多個(gè))憑證與主體一起提交���,以驗(yàn)證提交它們的用戶(hù)/主題實(shí)際上是關(guān)聯(lián)的用戶(hù)�����。 證書(shū)通常是非常秘密的東西�����,只有特定用戶(hù)/主體知道�,諸如:密碼或PGP密鑰或生物特征屬性或類(lèi)似機(jī)制。
這個(gè)想法是��,對(duì)于主體����,只有一個(gè)人會(huì)知道正確的證書(shū)與該主體“配對(duì)”。 如果當(dāng)前用戶(hù)/主題提供與存儲(chǔ)在系統(tǒng)中的正確憑證相匹配的正確憑證��,則系統(tǒng)可以假定并相信當(dāng)前用戶(hù)/主題真正是他們所說(shuō)的���。 信任程度隨著更安全的憑證類(lèi)型(例如生物特征簽名>密碼)而增加��。 - 加密
密碼術(shù)是通過(guò)隱藏信息或?qū)⑵滢D(zhuǎn)換為廢話來(lái)保護(hù)信息免于不受歡迎的訪問(wèn)的做法,因此沒(méi)有人能讀取它�。 Shiro專(zhuān)注于加密技術(shù)的兩個(gè)核心元素:使用公鑰或私鑰加密數(shù)據(jù)的密碼,以及對(duì)密碼等數(shù)據(jù)進(jìn)行不可逆加密的哈希(也稱(chēng)為消息摘要)。 - 哈希
哈希函數(shù)是輸入源(有時(shí)稱(chēng)為消息)的單向�,不可逆轉(zhuǎn)換,轉(zhuǎn)換為編碼的哈希值�����,有時(shí)稱(chēng)為消息摘要���。 它通常用于密碼��,數(shù)字指紋或具有底層字節(jié)數(shù)組的數(shù)據(jù)��。 權(quán)限
權(quán)限在Shiro中解釋?zhuān)核且粋€(gè)描述應(yīng)用程序中的原始功能的語(yǔ)句����。 權(quán)限是安全策略中的最低級(jí)別構(gòu)造�����。 他們只定義了應(yīng)用程序可以做什么���。不描述“誰(shuí)”能夠執(zhí)行的操作��。 權(quán)限只是一個(gè)行為的聲明���,沒(méi)有更多���。
一些權(quán)限的示例:
- 打開(kāi)一個(gè)文件
- 查看’
/user/list‘網(wǎng)頁(yè) - 打印文檔
- 刪除一個(gè)用戶(hù)等
主體
主體是應(yīng)用程序用戶(hù)(主題)的任何標(biāo)識(shí)屬性。 “標(biāo)識(shí)屬性”可以是對(duì)您的應(yīng)用程序有意義的任何內(nèi)容 - 用戶(hù)名��,姓氏���,給定名稱(chēng)���,社會(huì)安全號(hào)碼,用戶(hù)ID等���。Shiro還引用了稱(chēng)為主體的主要主體的東西�。主要主體是在整個(gè)應(yīng)用程序中唯一標(biāo)識(shí)主題的任何主體��。 理想的主要主體是用戶(hù)名或用戶(hù)ID�����,它是RDBMS用戶(hù)表主鍵���。 應(yīng)用程序中的用戶(hù)(主題)只有一個(gè)主要主體��。
領(lǐng)域
領(lǐng)域是可以訪問(wèn)特定于應(yīng)用程序的安全數(shù)據(jù)(如用戶(hù)��,角色和權(quán)限)的組件�����。 它可以被認(rèn)為是一個(gè)安全特定的DAO(數(shù)據(jù)訪問(wèn)對(duì)象)�。 領(lǐng)域?qū)⑦@種特定于應(yīng)用程序的數(shù)據(jù)轉(zhuǎn)換為Shiro理解的格式��,所以Shiro可以提供一個(gè)易于理解的主題編程API��,無(wú)論存在多少數(shù)據(jù)源或應(yīng)用程序特定的數(shù)據(jù)���。
領(lǐng)域通常與數(shù)據(jù)源(例如關(guān)系數(shù)據(jù)庫(kù)���,LDAP目錄,文件系統(tǒng)或其他類(lèi)似資源)具有1對(duì)1關(guān)聯(lián)����。 因此,領(lǐng)域接口的實(shí)現(xiàn)使用數(shù)據(jù)源特定的API來(lái)發(fā)現(xiàn)�����。諸如JDBC,文件IO����,Hibernate或JPA或任何其他數(shù)據(jù)訪問(wèn)API的授權(quán)數(shù)據(jù)(角色,權(quán)限等)���。
角色
角色的定義可以根據(jù)您與誰(shuí)交談�����。 在許多應(yīng)用程序中�,人們使用隱含地定義安全策略的模糊概念�����。 Shiro更喜歡將角色解釋為一個(gè)命名的權(quán)限集合�。 這是一個(gè)應(yīng)用程序唯一名稱(chēng),聚合一個(gè)或多個(gè)權(quán)限聲明���。
這是一個(gè)比許多應(yīng)用程序使用的隱式更具體的定義�。 如果你選擇讓數(shù)據(jù)模型反映Shiro的假設(shè)����,你會(huì)發(fā)現(xiàn)將有更多的權(quán)力來(lái)控制安全策略��。
會(huì)話
會(huì)話是在一段時(shí)間內(nèi)與軟件系統(tǒng)交互的單個(gè)用戶(hù)/主題相關(guān)聯(lián)的有狀態(tài)數(shù)據(jù)上下文�����。 在主題使用應(yīng)用程序時(shí),可以從會(huì)話中添加/讀取/刪除數(shù)據(jù)����,并且應(yīng)用程序可以稍后在必要時(shí)使用此數(shù)據(jù)。 當(dāng)用戶(hù)/主題注銷(xiāo)應(yīng)用程序或由于不活動(dòng)導(dǎo)致超時(shí)時(shí)����,會(huì)話將終止。
對(duì)于熟悉HttpSession的人來(lái)說(shuō)�,Shiro會(huì)話的目的也是一樣的,除了Shiro會(huì)話可以在任何環(huán)境中使用��,即使沒(méi)有Servlet容器或EJB容器可用���。
主題
主題只是一個(gè)奇特的安全術(shù)語(yǔ)�,基本上意味著應(yīng)用程序用戶(hù)的安全特定的“視圖”����。 主體并不總是需要反映一個(gè)人�����,雖然 - 它可以表示一個(gè)外部進(jìn)程調(diào)用您的應(yīng)用程序��,或者可能是一個(gè)守護(hù)進(jìn)程系統(tǒng)帳戶(hù)在一段時(shí)間間歇地執(zhí)行某些事情(如cron作業(yè))����。 它基本上是與應(yīng)用程序做某事的任何實(shí)體的表示���。
