Shiro学习

Shiro概述：
Apache Shiro是Java的一个安全框架，旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证，授权，企业会话管理和加密等。
具体功能点：
1.身份认证/登录，验证用户是不是拥有相应的身份；
2.授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能做事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限；
3.会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通JavaSE环境的，也可以是如Web环境的；
4.加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；
5.Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率；
6.shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去；
9.记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了。

Springboot整合Shiro实现用户认证
Shiro核心api：
1、Subject :当前用户主体（把操作交给SecurityManager）
2、SecurityManager:安全管理器（管理realm）
3、Realm：Shiro连接数据的桥梁

使用 @Autowired 注解是 Spring 依赖注入的绝好方法。但是有些场景下仅仅靠这个注解不足以让Spring知道到底要注入哪个 bean。
默认情况下，@Autowired 按类型装配 Spring Bean。
如果容器中有多个相同类型的 bean，则框架将抛出 NoUniqueBeanDefinitionException， 以提示有多个满足条件的 bean 进行自动装配。
通过使用 @Qualifier 注解，我们可以消除需要注入哪个 bean 的问题。

Shrio的内置过滤器：可以实现权限相关的拦截器。
常用的拦截器：
1、anon:无需认证（登录）就可以访问
2、authc:必须认证才可以访问
3、user：如果使用rememberMe功能可以直接访问
4、perms:该资源必须得到资源权限才可以访问
5、role:该资源必须得到角色权限才可以访问