Shiro

什么是Shiro

ApacheShiro是Java的一个安全框架。目前，使用ApacheShiro的人越来越多，

因为它相当简单，对比SpringSecurity，可能没有SpringSecurity做的功能强大，但是

在实际工作时可能并不需要那么复杂的东西，所以使用小而简单的Shiro就足够了。

用户表用户角色表角色表角色资源表资源表

Shiro可以非常容易的开发出足够好的应用，其不仅可以用在JavaSE环境，也可以

用在JavaEE环境。Shiro可以帮助我们完成：认证、授权、加密、会话管理、与Web集

成、缓存等。

Shiro的主要功能：

Authentication（认证方式）：身份认证/登录，验证用户是不是拥有相应的身份；

Authorization（授权）：授权，即权限验证，验证某个已认证的用户是否拥有某个权限；

即判断用户是否能做事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证

某个用户对某个资源是否具有某个权限；

SessionManager（session）：会话管理，即用户登录后就是一次会话，在没有退出之

前，它的所有信息都在会话中；会话可以是普通JavaSE环境的，也可以是如Web环境

的；

Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；

Subject：主体，代表了当前“用户”，这个用户不一定是一个具体的人，与当前应用交

互的任何东西都是Subject，如网络爬虫，机器人等；即一个抽象概念；所有Subject都

绑定到SecurityManager，与Subject的所有交互都会委托给SecurityManager；可以

把Subject认为是一个门面；SecurityManager才是实际的执行者；

主体给核心做入参

SecurityManager：安全管理器；即所有与安全有关的操作都会与SecurityManager交

互；且它管理着所有Subject；可以看出它是Shiro的核心，它负责与后边介绍的其他组

件进行交互，如果学习过SpringMVC，你可以把它看成DispatcherServlet前端控制器；

核心携带入参查询领域

Realm：领域，Shiro从Realm获取安全数据（如用户、角色、权限），就是说

SecurityManager要验证用户身份，那么它需要从Realm获取相应的用户进行比较以确

定用户身份是否合法；也需要从Realm得到用户相应的角色/权限进行验证用户是否能

进行操作；可以把Realm看成DataSource，即安全数据源。