shiro学习第一步

➷ 初来乍到

      shiro是Java的一个安全框架，如果在实际工作中我们并不太需要特别复杂的东西，那么我们可以选用shiro，而不用spring Security;Shiro 可以非常容易的开发出实用的应用，可以帮助我们完成认证、授权、加密、回话管理、与Web集成，缓存等；基本功能点如下：

Authentication：身份认证/登录，验证用户是不是拥有相应的身份；

Authorization：授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能做事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限；

Session Manager：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通JavaSE环境的，也可以是如 Web 环境的；

Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储； 

Web Support：Web 支持，可以非常容易的集成到 Web 环境；

Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率；

Concurrency：shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去；

Testing：提供测试支持；

Run As：允许一个用户假装为另一个用户（如果他们允许）的身份进行访问；

Remember Me：记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了。

       但是我们必须注意一点：shiro不会去主动的维护用户，维护权限；这些都要我们自己去设计，去提供，然后通过相应的接口注入到shiro中才可以；

➷ 见面聊一聊

有人说，一个好的框架或者架构，从外部看应该具有非常简单容易使用的API，且API契约明确；从内部看应该有一个可扩展的架构，能够非常容易的插入用户自定义实现，因为任何框架都不是能够满足所有需求；

☸.外部：也就是从应用程序的角度看shiro如何完成权限的控制和管理工作：

从图中我们可以发现，应用代码直接交互的对象是subject，也就是说shiro的对外API的核心是subject；每个API的含义如下：

所以对我们来说，最简单的shiro应用：
   1.应用代码通过subject来进行认证和授权，而subject又委托给SecurityManager; 
   2.我们需要给shiro的SecurityManager注入Realm，从而让SecurityManager得到合法的用户及其权限进行判断；

☸.内部：从该框架内部了解它的“高端”

Subject：主体，可以看到主体可以是任何可以与应用交互的“用户”；

SecurityManager： 相 当 于 SpringMVC 中 的 DispatcherServlet 或 者 Struts2 中 的FilterDispatcher；是Shiro 的心脏；所有具体的交互都通过 SecurityManager 进行控制；它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。

Authenticator：认证器，负责主体认证的，这是一个扩展点;

Authrizer：授权器，或者访问控制器，用来决定主体是否有权限进行相应的操作；即控制着用户能访问应用中的哪些功能；

Realm：可以有1 个或多个 Realm，可以认为是安全实体数据源，即用于获取安全实体的；可以是 JDBC 实现，也可以是 LDAP实现，或者内存实现等等；Shiro不知道你的用户/权限存储在哪及以何种格式存储；所以我们一般在应用中都需要实现自己的 Realm；

SessionManager：如果写过Servlet 就应该知道 Session 的概念，Session 呢需要有人去管理它的生命周期，这个组件就是SessionManager；而 Shiro并不仅仅可以用在 Web 环境，也可以用在如普通的 JavaSE 环境、EJB 等环境；所有呢，Shiro 就抽象了一个自己的Session来管理主体与应用之间交互的数据；这样的话，比如我们在 Web 环境用，刚开始是一台Web服务器；接着又上了台 EJB 服务器；这时想把两台服务器的会话数据放到一个地方，这个时候就可以实现自己的分布式会话（如把数据放到 Memcached服务器）；

SessionDAO：DAO大家都用过，数据访问对象，用于会话的 CRUD，比如我们想把 Session保存到数据库，那么可以实现自己的 SessionDAO，通过如 JDBC写到数据库；比如想把Session 放到 Memcached 中，可以实现自己的 Memcached SessionDAO；另外SessionDAO中可以使用 Cache 进行缓存，以提高性能；

CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的；因为这些数据基本上很少去改变，放到缓存中后可以提高访问的性能;

Cryptography：密码模块，Shiro提高了一些常见的加密组件用于如密码加密/解密的。

➷  深入唠唠

在揭开shiro的面纱之前，我们需要先了解一下用户权限模型，是指用来表达用户信息及用户权限信息的数据模型；也就是能证明“你是谁”“你能访问多少受保护的资源”。

☸. 用户权限模型

为了实现一个较为灵活的用户权限数据模型，通常把用户信息单独使用一个实体来表示，用户权限信息用两个实体来表示：

   a.  用户信息用 LoginAccount表示，最简单的用户信息可能只包含用户名 loginName及密码 password两个属性。实际应用中可能会包含用户是否被禁用，用户信息是否过期等信息。
   b.用户权限信息用 Role与 Permission表示，Role与 Permission之间构成多对多关系。Permission可以理解为对一个资源的操作，Role可以简单理解为 Permission的集合。
  c.用户信息与 Role之间构成多对多关系。表示同一个用户可以拥有多个 Role，一个 Role可以被多个用户所拥有。

☸.shiro的认证与授权处理过程

   ◐ 被 Shiro保护的资源，才会经过认证与授权过程。使用 Shiro对 URL 进行保护可以参见“与 Spring集成”章.

   ◐ 用户访问受 Shiro保护的 URL；例如http://host/security/action.do。

   ◐Shiro首先检查用户是否已经通过认证，如果未通过认证检查，则跳转到登录页面，否则进行授权检查。认证过程需要通过 Realm来获取用户及密码信息，通常情况我们实现 JDBC Realm，此时用户认证所需要的信息从数据库获取。如果使用了缓存，除第一次外用户信息从缓存获取。

   ◐认证通过后接受 Shiro授权检查，授权检查同样需要通过 Realm获取用户权限信息。Shiro需要的用户权限信息包括 Role 或 Permission，可以是其中任何一种或同时两者，具体取决于受保护资源的配置。如果用户权限信息未包含 Shiro需要的 Role或 Permission，授权不通过。只有授权通过，才可以访问受保护 URL对应的资源，否则跳转到“未经授权页面”。

    由于篇幅原因，小编先将对shiro组件的基本认识贴在这里与大家共享，小编后续会提供shiro在实例中的应用；