身份验证 ,即在应用中谁能证明他就是他本人。 一般提供如他们的身份 ID 一些标识信息来表明他就是他本人,如提供身份证,用户名 / 密码来证明。 在 shiro 中,用户需要提供 principals (身份)和 credentials (证明)给 shiro,从而应用能验证用户身份。
主体:及访问应用的用户,再Shiro中使用Subject代表用户。用户只有授权后才访问相应的资源。
资源:在应用中用户可以访问的任何东西都成为资源。用户授权后才能访问。
权限:安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权利。即权限表示在应用中用户能不能访问某个资源。角色代表了操作集合,可以理解为权限的集合,一般情况下我们会赋予用户角色而不是权限,即这样用户可以拥有一组权限。不同的角色拥有一组不同的权限。