Apache shiro 使用

1、Shiro的介绍

    Apache Shiro是一个强大、灵活、开源的安全框架，它支持用户认证、权限控制、企业会话管理以及加密等Shiro聚焦与应用程序安全领域的四大基石：认证、授权、会话管理和保密。
           #，认证，也叫作登录，用于验证用户是不是他自己所说的那个人；

           #，授权，也就是访问控制，比如用于决定“谁”是否有权限访问“什么”；

           #，会话管理，管理用户相关的会话，即使在非web和ejb的环境下也支持；

         #，保密，使用特性加密算法来保证用户数据的安全性，同时还要保证用起来够简单；

2、Shiro的主要主键

Subject ：正与系统进行交互的人，或某一个第三方服务。所有 Subject  实例都被绑定到（且这是必须的）一个SecurityManager 上。

SecurityManager：Shiro 架构的心脏，用来协调内部各安全组件，管理内部组件实例，并通过它来提供安全管理的各种服务。当 Shiro 与一个 Subject  进行交互时，实质上是幕后的 SecurityManager  处理所有繁重的 Subject 安全操作。

Realms ：本质上是一个特定安全的 DAO。当配置 Shiro  时，必须指定至少一个 Realm  用来进行身份验证和/或授权。Shiro 提供了多种可用的 Realms 来获取安全相关的数据。如关系数据库(JDBC)，INI 及属性文件等。可以定义自己 Realm  实现来代表自定义的数据源。

Authenticator ：认证就是核实用户身份的过程。这个过程的常见例子是大家都熟悉的“用户/密码”组合。多数用户在登录软件系统时，通常提供自己的用户名（当事人）和支持他们的密码（证书）。如果存储在系统中的密码（或密码表示）与用户提供的匹配，他们就被认为通过认证。

 
Authorizer ：授权实质上就是访问控制 - 控制用户能够访问应用中的哪些内容，比如资源、Web页面等等。 

SessionManager ：在安全框架领域，Apache Shiro提供了一些独特的东西：可在任何应用或架构层一致地使用Session API。即，Shiro为任何应用提供了一个会话编程范式 - 从小型后台独立应用到大型集群Web应用。这意味着，那些希望使用会话的应用开发者，不必被迫使用Servlet或EJB容器了。或者，如果正在使用这些容器，开发者现在也可以选择使用在任何层统一一致的会话API，取代Servlet或EJB机制。 

CacheManager :对Shiro的其他组件提供缓存支持

...