shiro框架学习（一）

在我们常见的多角色系统里，可能涉及不同角色只能访问自己的资源，而不能访问别人的资源，这种就叫做权限管理。

来实现权限管理最直接的办法就是利用安全框架来实现，现最常用的安全框架有shiro和springboot两种，具体区后续会详细比较，这里我们先简单说说shiro这个框架。

首先shiro包含哪些模块：
（1）Authentication:认证模块，相当于角色登录
（2）Authorization：授权，判断当前用户是否有访问某个模块的权限
（3）session manage：会话管理，用户登录就是一次会话，在没有退出前，所有信息都保存在会话里。
（4）cryptography：加密,保护数据的安全性
（5）web support：web支持，可集成到web环境
（6）caching：缓存，用户登录后，用户信息和权限信息不用每次都查。

介绍完shiro的大致模块，接下来说几个核心概念：

• subject：主体，代表当前操作的用户，这个“用户”不一定是人，指与应用交互的所有主体，即一个抽象概念。所有subject都会绑定到securityManager,由securityManager统一管理。
• securityManager：安全管理器，所有subject操作都会securityManager交互，管理着所有的subject。负责管理所有的组件，类似springmvc的前端控制器dispatcherServlet。
• Realm:域，安全数据源。shiro从realm获取安全数据，用户，角色，权限。SercurityManager要验证身份，先从realm获取用户相应的角色，权限，验证用户是否能进行操作。可以把realm看成datasource，即安全数据源。
  *shiro不提供维护用户，权限，由开发人员注入。

shiro实现权限管理，过滤器功不可没。