開源權限框架，Apche Shiro 1.2.4 發布

Apache Shiro 是功能強大并且容易集成的開源權限框架，它能夠完成認證、授權、加密、會話管理等功能。認證和授權為權限控制的核心，簡單來說，“認證”就是證明你是誰？ Web 應用程序一般做法通過表單提交用戶名及密碼達到認證目的。“授權”即是否允許已認證用戶訪問受保護資源。

• 認證 - 用戶身份識別，常被稱為用戶“登錄”；
• 授權 - 訪問控制；
• 密碼加密 - 保護或隱藏數據防止被偷窺；
• 會話管理 - 每用戶相關的時間敏感的狀態。

對于任何一個應用程序，Shiro都可以提供全面的安全管理服務。并且相對于其他安全框架，Shiro要簡單的多。
Shiro的架構介紹
首先，來了解一下Shiro的三個核心組件：Subject, SecurityManager 和 Realms. 如下圖：

Subject：即“當前操作用戶”。但是，在Shiro中，Subject這一概念并不僅僅指人，也可以是第三方進程、后臺帳戶（Daemon Account）或其他類似事物。它僅僅意味著“當前跟軟件交互的東西”。但考慮到大多數目的和用途，你可以把它認為是Shiro的“用戶”概念。
Subject代表了當前用戶的安全操作，SecurityManager則管理所有用戶的安全操作。

SecurityManager：它是Shiro框架的核心，典型的Facade模式，Shiro通過SecurityManager來管理內部組件實例，并通過它來提供安全管理的各種服務。

Realm： Realm充當了Shiro與應用安全數據間的“橋梁”或者“連接器”。也就是說，當對用戶執行認證（登錄）和授權（訪問控制）驗證時，Shiro會從應用配置的Realm中查找用戶及其權限信息。
從這個意義上講，Realm實質上是一個安全相關的DAO：它封裝了數據源的連接細節，并在需要時將相關數據提供給Shiro。當配置Shiro時，你必須至少指定一個Realm，用于認證和（或）授權。配置多個Realm是可以的，但是至少需要一個。
Shiro內置了可以連接大量安全數據源（又名目錄）的Realm，如LDAP、關系數據庫（JDBC）、類似INI的文本配置資源以及屬性文件等。如果缺省的Realm不能滿足需求，你還可以插入代表自定義數據源的自己的Realm實現。


Shiro完整架構圖：


除前文所講Subject、SecurityManager 、Realm三個核心組件外，Shiro主要組件還包括：
Authenticator ：認證就是核實用戶身份的過程。這個過程的常見例子是大家都熟悉的“用戶/密碼”組合。多數用戶在登錄軟件系統時，通常提供自己的用戶名（當事人）和支持 他們的密碼（證書）。如果存儲在系統中的密碼（或密碼表示）與用戶提供的匹配，他們就被認為通過認證。
Authorizer ：授權實質上就是訪問控制 - 控制用戶能夠訪問應用中的哪些內容，比如資源、Web頁面等等。
SessionManager ：在安全框架領域，Apache Shiro提供了一些獨特的東西：可在任何應用或架構層一致地使用Session API。即，Shiro為任何應用提供了一個會話編程范式 - 從小型后臺獨立應用到大型集群Web應用。這意味著，那些希望使用會話的應用開發者，不必被迫使用Servlet或EJB容器了。或者，如果正在使用這些 容器，開發者現在也可以選擇使用在任何層統一一致的會話API，取代Servlet或EJB機制。
CacheManager :對Shiro的其他組件提供緩存支持。

Apache Shiro 1.2.4 發布了，改進記錄包括：

Bug

• [SHIRO-421] - Unable to set long timeouts on HttpServletSession

• [SHIRO-442] - CAS client fails with multi-valued SAML attributes

• [SHIRO-444] - Rewrite AuthorizingRealm, and configure the cacheManager throws an exception

• [SHIRO-462] - Authentication exceptions are swallowed

• [SHIRO-483] - passwordsMatch() returns false with right plain password-encrypted password in JVM with default locale tr_TR

• [SHIRO-517] - Caused by: java.lang.NoClassDefFoundError: Lcom/google/inject/internal/util/$ImmutableList;

• [SHIRO-518] - Shiro-CAS: Security Problem in cas-client-core versions older than 3.3.2

Documentation

• [SHIRO-534] - Provide better documentation around permissions

Improvement

• [SHIRO-332] - Change access level of method 'isPermitted' in org.apache.shiro.realm.AuthorizingRealm (line 461) from private to protected

• [SHIRO-428] - AuthorizingRealm "no cache" logging should be at DEBUG level, not INFO, OR is should log only once

• [SHIRO-465] - Support externalized principal mapping in AuthenticatingRealm and ModularRealmAuthenticator

• [SHIRO-479] - update ehcache dependency

• [SHIRO-496] - Update shior.guice dependency

• [SHIRO-498] - ThreadLocal should not be created when not necessary

• [SHIRO-499] - Kerberos Realm

• [SHIRO-504] - Java 8 support

New Feature

• [SHIRO-445] - Mechanism needed to secure passwords in shiro.ini

• [SHIRO-464] - Support role mapping similar to PermissionResolver and RolePermissionResolver

• [SHIRO-501] - Add ability to set system properties in shiro.ini