全网最简单的shiro教程第二节

Shiro是什么？

shiro是Apache提供的一个强大且易用的Java安全框架，执行身份验证，授权、密码和会话管理。

优势：
     使用shiro的易于理解的API，可以快速、轻松的获取任何应用程序。

Shiro特性以及理解：

Shiro特性及理解

Authentication : 身份认证/登录，验证用户是不是拥有相应的身份。

Authorization:  授权，即验证权限，验证某个已认证的用户是否拥有某个权限，即判断用户是否能做事情，常见的如：验证某个用户

是否拥有某个角色，或者细粒度的验证某个用户对某个资源是否有某个权限。

Session  Management： 会话管理，即用户登录，就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通的javaSE环境，也可以是Web环境。

Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；
Web Support： Web支持，可以非常容易的集成到Web环境中
Caching： 缓存，比如用户登录后，其用户信息，拥有的角色/权限不必每次去查，提高效率。
Concurrency： Shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去
Testing： 提供测试支持
Run As： 允许一个用户假装为另一个用户（如果他们允许）的身份进行访问
Rember Me： 记住我，这是非常常见的功能，即一次登录后，下次再来的话不用登录了
 

Shiro核心三大组件：
 

Shiro框架的核心三大组件分别是：

Subject、 SecurityManager和Realms
 

Subject：

Subject 是与程序进行交互的对象，可以是人也可以是服务或者其他，通常就理解为用户

所有Subject实例都必须绑定到一个SecurityManager上。程序与一个Subject交互，运行时shiro会自动转化为
与SecurityManager交互的特定subject的交互
 

SecurityManager组件：

SecurityManager是Shiro的核心，初始化时协调各个模块运行。
一旦SecurityManager协调完毕， SecurityManager 会被单独留下， 且程序只需要去操作Subject即可，无需
操作SecurityManager。 当程序正与一个 Subject 进行交互时，实质上是SecurityManager在处理Subject安
全操作
SecurityManager是所有Subject的管理者，可以把它看做成是一个shiro框架的全局管理组件，用于调用各种
shiro框架的服务
 

Realms组件：

Realms在Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”
Realms获取安全数据来判断subject是否能够登录， Subject拥有什么权限
像其它组件一样， Realms也是由SecurityManager控制
 

Shiro完成工作的基本流程：