shiro安全框架

1.什么是shiro？

Apache Shiro 是一个强大易用的 Java 安全框架，提供了认证、授权、加密和session会话管理等功能，对于任何一个应用程序，Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架spring security，Shiro 要简单的多.

2.什么是权限管理？

基本上涉及到用户参与的系统都要进行权限管理，权限管理属于系统安全的范畴，权限管理==实现对用户访问系统的控制==，按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

权限管理包括用户==身份认证==和==授权==两部分，简称==认证授权==。对于需要访问控制的资源用户首先经过身份认证，认证通过后用户具有该资源的访问权限方可访问。

3.什么是身份认证？

==身份认证==，就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户的用户名和口令一致，来判断用户身份是否正确。对于采用指纹等系统，则出示指纹；对于硬件Key等刷卡系统，则需要刷卡。

4.什么是授权？

授权，即访问控制，控制谁能访问哪些资源。主体进行==身份认证后==需要分配权限方可访问系统的资源，对于某些资源没有权限是无法访问的

5.为什么shiro?

Shiro可以非常容易的开发出足够好的应用，其不仅可以用在JavaSE环境，也可以用在JavaEE环境。Shiro可以帮助我们完成：认证、授权、加密、会话管理、与Web集成、缓存等。

6.使用shiro

了解：

Subject：主体访问系统的用户，主体可以是用户、程序等，进行认证的都称为主体；

Principal：身份信息----账号是主体（subject）进行身份认证的标识，标识必须具有唯一性，如用户名、手机号、邮箱地址等，一个主体可以有多个身份，但是必须有一个主身份（Primary Principal）。

credential：凭证信息---密码是只有主体自己知道的安全信息，如密码、证书等。

6.1.认证

1.简单创建一个maven工程，加入依赖

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.9.0</version>
        </dependency>

2.创建ini文件

3.测试

public class TestShiro01 {
    public static void main(String[] args) {
        //1.获取SecutiryManager对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        //2.读取ini文件
        IniRealm iniRealm = new IniRealm("classpath:shiro.ini");
        //3.设置securityManager的realm
        securityManager.setRealm(iniRealm);
        //4. 设置securityManager上下文生效
        SecurityUtils.setSecurityManager(securityManager);

        //5. 获取subject主体对象
        Subject subject= SecurityUtils.getSubject();
        try {
            //UsernamePasswordToken作用就是封装你输入的账号和密码 是客户输入的账号和密码
            UsernamePasswordToken token=new UsernamePasswordToken("zhangsan","123456");
            //抛出异常 比对shiro中realm把你自带对比
            subject.login(token);
            System.out.println("登录成功");
        }catch (Exception e){
            e.printStackTrace();
            System.out.println("账号或密码错误");
        }



    }
}

4.认证原理图

Subject: 主体将登录信息提交给SecurityManager, --->认证器Authenticator---->根据你的realm提供的数据进行相关的认证。 realm---与数据源交互的类。  

6.2.授权

 必须完成认证后才可以授权

1.编辑ini文件

2.编辑代码测试 

public class TestShiro01 {
    public static void main(String[] args) {
        //1.获取SecutiryManager对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
//        //2.读取ini文件
        IniRealm iniRealm = new IniRealm("classpath:shiro.ini");
        //3.设置securityManager的realm
        securityManager.setRealm(iniRealm);
        //4. 设置securityManager上下文生效
        SecurityUtils.setSecurityManager(securityManager);

        //5. 获取subject主体对象
        Subject subject= SecurityUtils.getSubject();
        try {
            //UsernamePasswordToken作用就是封装你输入的账号和密码 是客户输入的账号和密码
            UsernamePasswordToken token=new UsernamePasswordToken("zhangsan","123456");
            //抛出异常 比对shiro中realm把你自带对比
            subject.login(token);
            System.out.println("登录成功");
        }catch (Exception e){
            e.printStackTrace();
            System.out.println("账号或密码错误");
        }
       // subject.logout();
        System.out.println("===============&#