shiro簡介

一、Shiro簡介
1).Apache Shiro是Java的一個安全（權限）框架。
2).Shiro可以非常容易的開發出足夠好的應用，其不僅可以用在JavaSE環境，還可以用在JavaEE環境。
3).Shiro可以完成：認證，授權，加密，會話管理，與Web集成，緩存等。
4).下載地址：http://shiro.apache.org/

二、功能簡介
1).Authentication:身份認證/登錄，驗證某個用戶是不是擁有相應的身份。
2).Authorization:授權，即權限驗證，驗證已認證的用戶是否擁有某個權限；即判斷用戶是否能進行某種操作
,如：驗證某個用戶是否擁有某個角色。或者粒度更細的驗證某個用戶對某個資源是否具有權限。
3).Session Manager:會話管理，中即用戶登錄後就是一次會話，在沒有退出之前，它所有的信息都在會話中，
會話可以是普通的javaSE環境，也可以是Web環境。
4).Cryptorgraphy:加密，保護數據的安全性，如加密密碼存儲到數據庫，而不是明文儲存。
5).Web Support:Web支持，可以非常容易的集成到Web環境。
6).Caching:緩存，比如用戶登錄以後，其用戶信息，擁有的角色/權限不必每次查詢，這樣可以提高效率。
7).Concurrency:Shiro支持多線程應用的併發驗證，即如在一個線程中開啓另一個線程，能把權限自動傳播過
去。
8).testing:提供測試支持。
9).Run as:允許一個用戶假裝爲另一個用戶（如果他們允許）的身份進行訪問。
10).Remember Me:記住我，這個是非常重要的功能，即一次登錄後，下次再來訪問的話不用登錄了。

三、Shiro架構
1).Subject:應用代碼直接交互的對象是Subject，也就是說Shiro的對外API核心就是Subject。Subject代表了當前“用戶”，這個用戶不一定是一個具體的人，與當前應用交互的委託任何東西都是Subject，如網絡爬蟲，機器人等；與Subject的所有交互都會委託給SecurityManager;Subject其實是一個門面，SecurityManager纔是實際的執行者。

2).SecurityManager:安全管理器，即所有與安全相關的操作都會參與SecurityManager交互；且其管理所有的Subject;可以看出它是Shiro的核心，它負責與Shiro的其他組件進行交互，相當於SpringMVC中的DispatcherServlet的角色。

3).Realm:Shiro從Realm獲取安全數據（如用戶，角色，權限），就是說SecurityManager要驗證用戶身份，那麼它需要從Realm獲取相應的用戶進行比較確定用戶身份是否合法；也需要從Realm得到相應的用戶角色/權限進行驗證用戶是否能進行操作；可以把Realm看成DataSource。