shiro

一：Shiro

1.shiro是一个安全框架 使用shiro可以非常容易开发出足够好的应用，可以帮助我们完成：认证 授权 加密 会话管理 与web集成 缓存等。

2.Shiro的三个核心组件

*Subject：即”当前操作用户“，但在shiro中不仅仅指人还指第三方进程 后台账户 或其他类似事物。仅仅意味着”当前跟软件交互的东西“。

*SecurityManager：是shiro框架的核心 ，用来管理内部组件实例 提供安全管理的各种服务。

*Realm：充当Shiro与应用安全数据间的”桥梁“或者连接器。当用户执行认证(登录)和授权（访问控制）时，shiro会从应用配置的realm中查找用户及其权限信息。

二 shiro的运行过程

*  程序员自己编写的代码 在程序中需要进行权限控制 需要调用Subject的API

*  Subject主体代表当前用户，所有的Subject都绑定到SecurityMananger。可以理解为Subject是个门面 而真正执行的是SecurityMananger。

* SecurityMananger(安全管理器)  所有与安全有关的操作都会与SecurityMananger交互，并且管理所有的Subject。

* Realm（域） shiro是从realm中获取安全数据(用户 角色 权限) 。就是说SecurityMananger要验证用户身份，那么默认要从realm中获取相应的用户进行比较以确定用户 身份是否合法。也需要从realm得到用户相应的角色、权限进行验证用户是否能进行操作。可以把realm看作是安全数据源。

三：shiro 的四种权限控制方式

* url级别权限控制

* 方法注解权限控制

* 代码级别控制权限

* 页面标签权限控制