shiro的架構

1.1.1 Subject

Subject即主體，外部應用與subject進行交互，subject記錄了當前操作用戶，將用戶的概念理解爲當前操作的主體，可能是一個通過瀏覽器請求的用戶，也可能是一個運行的程序。 Subject在shiro中是一個接口，接口中定義了很多認證授相關的方法，外部程序通過subject進行認證授，而subject是通過SecurityManager安全管理器進行認證授權

1.1.2 SecurityManager

SecurityManager即安全管理器，對全部的subject進行安全管理，它是shiro的核心，負責對所有的subject進行安全管理。通過SecurityManager可以完成subject的認證、授權等，實質上SecurityManager是通過Authenticator進行認證，通過Authorizer進行授權，通過SessionManager進行會話管理等。

SecurityManager是一個接口，繼承了Authenticator, Authorizer, SessionManager這三個接口。

1.1.3 Authenticator

Authenticator即認證器，對用戶身份進行認證，Authenticator是一個接口，shiro提供ModularRealmAuthenticator實現類，通過ModularRealmAuthenticator基本上可以滿足大多數需求，也可以自定義認證器。

1.1.4 Authorizer

Authorizer即授權器，用戶通過認證器認證通過，在訪問功能時需要通過授權器判斷用戶是否有此功能的操作權限。

1.1.5 realm

Realm即領域，相當於datasource數據源，securityManager進行安全認證需要通過Realm獲取用戶權限數據，比如：如果用戶身份數據在數據庫那麼realm就需要從數據庫獲取用戶身份信息。

注意：不要把realm理解成只是從數據源取數據，在realm中還有認證授權校驗的相關的代碼。

1.1.6 sessionManager

sessionManager即會話管理，shiro框架定義了一套會話管理，它不依賴web容器的session，所以shiro可以使用在非web應用上，也可以將分佈式應用的會話集中在一點管理，此特性可使它實現單點登錄。

1.1.7 SessionDAO

SessionDAO即會話dao，是對session會話操作的一套接口，比如要將session存儲到數據庫，可以通過jdbc將會話存儲到數據庫。

1.1.8 CacheManager

CacheManager即緩存管理，將用戶權限數據存儲在緩存，這樣可以提高性能。

1.1.9 Cryptography

Cryptography即密碼管理，shiro提供了一套加密/解密的組件，方便開發。比如提供常用的散列、加/解密等功能。

1.1 shiro的jar包

與其它java開源框架類似，將shiro的jar包加入項目就可以使用shiro提供的功能了。shiro-core是核心包必須選用，還提供了與web整合的shiro-web、與spring整合的shiro-spring、與任務調度quartz整合的shiro-quartz等，下邊是shiro各jar包的maven座標。