Shrio简介

shiro简介

shiro作用：

	认证、授权、加密、会话管理、与web集成、缓存

shiro的API：

Authentication：身份认证/授权，验证用户是否拥有相应的身份
Authorization：授权，即权限验证，验证某个已认证的用户是否拥有某个权限
Session Manager：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中
Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储
Web Support：Web 支持，可以非常容易的集成到 Web 环境
Caching：缓存，比如用户登录后，其用户信息、拥有的角色 / 权限不必每次去查，这样可以提高效率
Concurrency：shiro 支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去
Testing：提供测试支持
Run As：允许一个用户假装为另一个用户的身份进行访问
Remember Me：记住我，即一次登录后，下次再来的话不用登录了

Subject：主体，代表当前“用户”，“用户”并不一定是具体的人，与当前用户交互的任何东西都可以是“用户”，如爬虫、机器人等，所有的subject都由SecurityManager管理、调用
SecurityManager：安全管理器，所有与安全有关的操作都会与SecurityManger交互，管理所有的subject，是shiro的核心，负责与其他组件交互
Realm：域，Shiro从Realm获取安全模型（用户、角色、权限），SecurityManager要验证用户身份需要从Realm获取相应的用户进行比较验证用户是否合法，也需要从Realm中获取用户对应的角色/权限用来验证用户是否有能够操作
Authenticator：认证器，负责主体认证的，这是一个扩展点，如果用户觉得 Shiro 默认的不好，可以自定义实现；其需要认证策略（Authentication Strategy），即什么情况下算用户认证通过了
Authrizer：授权器，或者访问控制器，用来决定主体是否有权限进行相应的操作；即控制着用户能访问应用中的哪些功能
SessionManager：如果写过 Servlet 就应该知道 Session 的概念，Session 呢需要有人去管理它的生命周期，这个组件就是 SessionManager
SessionDAO：DAO 大家都用过，数据访问对象，用于会话的 CRUD，比如我们想把 Session 保存到数据库，那么可以实现自己的 SessionDAO
CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的；因为这些数据基本上很少去改变，放到缓存中后可以提高访问的性能
Cryptography：密码模块，Shiro 提高了一些常见的加密组件用于如密码加密 / 解密的

Shiro 不会去维护用户、维护权限；需要通过 Realm 让开发人员自己注入

流程：
1、应用代码通过subject进行用户认证/授权，subject委托给SecurityManager处理
2、SecurityManager通过shiro注入的Realm，得到合法的用户和权限进行验证