Shiro和Spring Security的特点

Shiro：

Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。三个核心组件：Subject, SecurityManager 和 Realms。

Subject：主体，即访问应用的用户，在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。

SecurityManager：安全管理器，主体进行认证和授权都 是通过securityManager进行。它包含认证器和授权器。相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher。它是 Shiro 的核心，所有具体的交互都通过 SecurityManager 进行控制。它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。

Authenticator：认证器，负责主体认证的，这是一个扩展点，如果用户觉得 Shiro 默认的不好，可以自定义实现。其需要认证策略（Authentication Strategy），即什么情况下算用户认证通过了。

Authrizer：授权器，或者访问控制器。它用来决定主体是否有权限进行相应的操作，即控制着用户能访问应用中的哪些功能。

Realm：可以有1个或多个 Realm，可以认为是安全实体数据源，即用于获取安全实体的。它可以是 JDBC 实现，也可以是 LDAP 实现，或者内存实现等。

SessionDAO：数据访问对象，用于会话的 CRUD。可以自定义 SessionDAO 的实现，控制 session 存储的位置。如通过 JDBC 写到数据库或通过 jedis 写入 redis 中。另外 SessionDAO 中可以使用 Cache 进行缓存，以提高性能。

CacheManager：缓存管理器。它来管理如用户、角色、权限等的缓存的。因为这些数据基本上很少去改变，放到缓存中后可以提高访问的性能。

Realm：域，领域，相当于数据源，通过realm存取认证、授权相关数据。查询数据库中的认证的信息，查询授权的信息。

认证原理：

1、通过ini配置文件创建securityManager

2、调用subject.login方法主体提交认证，提交的token

3、securityManager进行认证，securityManager最终由ModularRealmAuthenticator进行认证。

4、ModularRealmAuthenticator调用IniRealm(给realm传入token) 去ini配置文件中查询用户信息

5、IniRealm根据输入的token（UsernamePasswordToken，即这里的token是用户从页面输入的信息）从 shiro-first.ini查询用户信息（这里是测试阶段，后面都是查询的数据库，注入service，调用dao），根据账号查询用户信息（账号和密码）

         如果查询到用户信息，就给ModularRealmAuthenticator返回用户信息（账号和密码）

         如果查询不到，就给ModularRealmAuthenticator返回null

6、ModularRealmAuthenticator接收IniRealm返回Authentication认证信息

         如果返回的认证信息是null，ModularRealmAuthenticator抛出异常（org.apache.shiro.authc.UnknownAccountException）

         如果返回的认证信息不是null（说明inirealm找到了用户），对IniRealm返回用户密码 （在ini文件中存在）和 token中的密码 进行对比，如果不一致抛出异常（org.apache.shiro.authc.IncorrectCredentialsException）

Spring Security：

1、SecurityContext持久化过滤器：FilterChain出入口

SecurityContextPersistenceFilter,这个Filter是整个拦截过程的入口和出口，会在请求开始时从配置好的SecurityContextRepository中获取SecurityContext，然后把它设置给SecurityContextHolder。在请求完成后将SecurityContextHolder持有的SecurityContext再保存到配置好的SecurityContextRepository, 同时清除securityContextHolder所持有的SecurityContext。

2、用户名密码认证过滤器：认证

UsernamePasswordAuthenticationFilter 用于处理来自表单提交的认证。该表单必须提供对应的用户名和密码，其内部还有登录成功或者失败后进行处理的AuthenticationSuccessHandler和AuthenticationFailurehandler，这些可以根据需求做出相关改变

3、过滤安全拦截器：授权

FilterSecurityInterceptor 是用于保护Web资源的，使用AccessDecisionManager对当前用户进行授权访问。

4 异常调任过滤器：异常处理

ExceptionTranslationFilter 能够捕获来自FilterChain所有的异常并进行处理。
但是它只会处理两类异常：AuthenticationException和AccessDeniedException，其他异常它会继续抛出。
 

区别：

1、Spring Security 基于Spring 开发，项目若使用 Spring 作为基础，配合 Spring Security 做权限更加方便，而 Shiro 需要和 Spring 进行整合开发；
2、Spring Security 功能比 Shiro 更加丰富些，例如安全维护方面；
3、Spring Security 社区资源相对比 Shiro 更加丰富；
4、Shiro 的配置和使用比较简单，Spring Security 上手复杂些；
5、Shiro 依赖性低，不需要任何框架和容器，可以独立运行.Spring Security 依赖Spring容器；
6、shiro 不仅仅可以使用在web中，它可以工作在任何应用环境中。在集群会话时Shiro最重要的一个好处或许就是它的会话是独立于容器的。