Shiro系列教程之一Shiro簡介

Apache Shiro是Java的一個安全框架,Shiro可以非常容易的開發出足夠好的應用，其不僅可以用在JavaSE環境，也可以用在JavaEE環境。Shiro可以完成：認證、授權、加密、會話管理、與Web整合、快取等；
核心模組如下:

1. Authentication

身份認證/登入，驗證使用者是不是擁有相應的身份；

1. Authorization

授權，即許可權驗證，驗證某個已認證的使用者是否擁有某個許可權；即判斷使用者是否能做事情，常見的如：驗證某個使用者是否擁有某個角色。或者細粒度的驗證某個使用者對某個資源是否具有某個許可權；

1. Session Manager

會話管理，即使用者登入後就是一次會話，在沒有退出之前，它的所有資訊都在會話中；會話可以是普通JavaSE環境的，也可以是如Web環境的；
Cryptography：加密，保護資料的安全性，如密碼加密儲存到資料庫，而不是明文儲存；

1. Web Support

Web支援，可以非常容易的整合到Web環境；

1. Caching

快取，比如使用者登入後，其使用者資訊、擁有的角色/許可權不必每次去查，這樣可以提高效率；

1. Concurrency

shiro支援多執行緒應用的併發驗證，即如在一個執行緒中開啟另一個執行緒，能把許可權自動傳播過去；

1. Testing

提供測試支援；

1. Run As

允許一個使用者假裝為另一個使用者（如果他們允許）的身份進行訪問；

1. Remember Me

記住我，這個是非常常見的功能，即一次登入後，下次再來的話不用登入了。

注意:Shiro不會去維護使用者、維護許可權；這些需要自己去設計/提供然後通過相應的介面注入給Shiro即可。
核心技術點:

• Subject

：主體，代表了當前“使用者”，這個使用者不一定是一個具體的人，與當前應用互動的任何東西都是Subject，如網路爬蟲，機器人等；即一個抽象概念；所有Subject都繫結到SecurityManager，與Subject的所有互動都會委託給SecurityManager；可以把Subject認為是一個門面；SecurityManager才是實際的執行者；

• SecurityManager

：安全管理器；即所有與安全有關的操作都會與SecurityManager互動；且它管理著所有Subject；可以看出它是Shiro的核心，它負責與後邊介紹的其他元件進行互動，如果學習過SpringMVC，你可以把它看成DispatcherServlet前端控制器；

• Realm

：域，Shiro從從Realm獲取安全資料（如使用者、角色、許可權），就是說SecurityManager要驗證使用者身份，那麼它需要從Realm獲取相應的使用者進行比較以確定使用者身份是否合法；也需要從Realm得到使用者相應的角色/許可權進行驗證使用者是否能進行操作；可以把Realm看成DataSource，即安全資料來源。