Shiro

Apache Shiro：

　　功能强大的并且容易集成的开源权限框架

　　可以完成认证、授权、加密、会话管理、与web集成、缓存等

　　认证和授权被称为权限控制的核心

　　Shiro不会去维护用户、维护权限，这些需要自己设计，然后通过接口注入给Shiro

　　官方链接：http://shiro.apache.org/download.html

　　参考博客：http://jinnianshilongnian.iteye.com/blog/2018936/

Shiro基本功能：

　　Authentication：身份验证/登录，验证用户是不是拥有相应的身份

　　Authorization：授权，即权限验证，验证已认证用户是否拥有某个权限（验证用户是否拥有某个角色；或者细粒度的验证某个用户对某个资源是否具有某个权限）

　　Session Management：会话管理，即用户登录后就是一次会话，在每推出之前，他的所有信息都在会话中；会话可以是JavaSE环境的，也可以是WEB环境的

　　Cryptography：加密，保护数据的安全性（密码加密存储到数据库中）

　　Web Support：Web支持

　　Caching：缓存

　　Concurrency：支持多线程的应用并发验证，即在一个线程中开启另一个线程，可以把权限自动传播

　　Testing：提供测试支持

　　Run As：允许一个用户以另一个用户的身份进行访问

　　Remember Me：实现自动登录功能

Shiro核心对象：

　　Subject：主体

　　　　代表当前用户（不一定是一个具体的人，与当前应用交互的任何东西都是Subject）

　　　　所有的Subject都绑定到SecutiryManager，与Subject的所有交互都会委托给SecutiryManager

　　　　可以将Subject认为一个门面，Security才是真正的执行者

　　SecutiryManager：安全管理器（Shiro核心）

　　　　所有与安全相关的操作都会与SecurityManager进行交互，并且管理着所有的Subject

　　　　负责与其他组件进行交互

　　Realm：域

　　　　Shiro从Realm获取安全数据（用户、角色、权限）

　　　　即SecurityManager要验证用户的身份，就需要从Realm获取相应的用户进行比较以确定用户身份是否合法

　　　　也需要从Realm得到用户相应的角色、权限进行验证

　　　　可以将Realm看为DataSource（安全数据源）

 Shiro运行原理：

　　应用程序通过Subject来进行认证和授权，而Subject又委托给SecurityManager

　　给SecurityManager注入Reaml，从而让SecurityManager得到合法的用户及权限进行判断

　　Shiro不提供维护用户、权限，而是通过Realm让开发人员注入

Shiro的内部架构：

　　Subject：主体，可以看到主体可以是任何可以与应用交互的“用户”

　　SecurityManager ：相当于SpringMVC 中的DispatcherServlet 或者Struts2 中的FilterDispatcher；是Shiro的心脏；所有具体的交互都通过SecurityManager进行 控制；它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理

　　Authenticator： 认证器，负责主体认证的，这是一个扩展点，如果用户觉得Shiro 默认的不好，可以自定义实现；其需要认证策略（Authentication Strategy）， 即什么情况下算用户认证通过

　　Authrizer：授权器，或者访问控制器，用来决定主体是否有权限进行相应的操作；即控制着用户能访问应用中的哪些功能

　　Realm：可以有1个或多个Realm，可以认为是安全实体数据源，即用于获取安全实体的；可以是JDBC 实现，也可以是LDAP 实现，或者内存实现等等；由用户 提供；注意：Shiro不知道你的用户/权限存储在哪及以何种格式存储；所以我们一般在应用中都需要实现自己的Realm

　　SessionManager：如果写过Servlet就应该知道Session的概念，Session呢需要有人去管理它的生命周期，这个组件就是SessionManager；而Shiro 并不仅仅可 以用在Web 环境，也可以用在如普通的JavaSE 环境、EJB 等环境；所有呢，Shiro 就抽象了一个自己的Session来管理主体与应用之间交互的数据；这样的话， 比如我们在Web 环境用，刚开始是一台Web 服务器；接着又上了台EJB 服务器；这时想把两台服务器的会话数据放到一个地方，这个时候就可以实现自己的分 布式会话（如把数据放到Memcached服务器）

　　SessionDAO：DAO 大家都用过，数据访问对象，用于会话的CRUD，比如我们想把Session保存到数据库，那么可以实现自己的SessionDAO，通过如JDBC 写 到数据库；比如想把Session 放到Memcached 中，可以实现自己的Memcached SessionDAO；另外SessionDAO中可以使用Cache进行缓存，以提高性能

　　CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的；因为这些数据基本上很少去改变，放到缓存中后可以提高访问的性能

　　Cryptography：密码模块，Shiro 提高了一些常见的加密组件用于如密码加密/解密的

Shiro的好处（和Spring Security比较）：

　　简单性：Shiro更简单，更容易理解，适合入门

　　灵活性：Shiro可以运行在Web、EJB、Ioc、Google App Engine等任何应用环境，却不依赖这些环境；Spring Security只能与Spring一起集成使用

　　可插拔：Shiro干净的API和设计模式使它方便的与许多其他框架和应用进行集成