https://www.w3cschool.cn/shiro/

Shiro 简介

简介

Apache Shiro 是 Java 的一个安适框架。目前，使用 Apache Shiro 的人越来越多，因为它相当简单，比拟 Spring Security，可能没有 Spring Security 做的成果强大，但是在实际事情时可能并不需要那么庞大的对象，所以使用小而简单的 Shiro 就足够了。对付它俩到底哪个好，这个不必纠结，能更简单的解决项目问题就好了。

本教程只介绍根基的 Shiro 使用，不会过多阐起源码等，重在使用。

Shiro 可以非常容易的开发出足够好的应用，其不只可以用在 JavaSE 环境，也可以用在 JavaEE 环境。Shiro 可以辅佐我们完成：认证、授权、加密、会话打点、与 Web 集成、缓存等。这不就是我们想要的嘛，而且 Shiro 的 API 也长短常简单；其根基成果点如下图所示：

Authentication：身份认证 / 登录，验证用户是不是拥有相应的身份；

Authorization：授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能干工作，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限；

Session Manager：会话打点，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通 JavaSE 环境的，也可以是如 Web 环境的；

Cryptography：加密，掩护数据的安适性，如暗码加密存储到数据库，而不是明文存储；

Web Support：Web 撑持，可以非常容易的集成到 Web 环境；

Caching：缓存，好比用户登录后，其用户信息、拥有的角色 / 权限不必每次去查，这样可以提高效率；

Concurrency：shiro 撑持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动流传过去；

Testing：供给测试撑持；

Run As：允许一个用户假装为另一个用户（如果他们允许）的身份进行访谒；

Remember Me：记住我，这个长短每每见的成果，即一次登录后，下次再来的话不用登录了。

记住一点，Shiro 不会去维护用户、维护权限；这些需要我们本身去设计 / 供给；然后通过相应的接口注入给 Shiro 即可。

接下来我们分袂从外部和内部来看看 Shiro 的架构，对付一个好的框架，从外部来看应该具有非常简单易于使用的 API，且 API 契约明确；从内部来看的话，其应该有一个可扩展的架构，即非常容易插入用户自界说实现，因为任何框架都不能满足所有需求。

首先，我们从外部来看 Shiro 吧，即从应用措施角度的来不雅察看如何使用 Shiro 完成事情。如下图：

可以看到：应用代码直接交互的东西是 Subject，也就是说 Shiro 的对外 API 核心就是 Subject；其每个 API 的含义：

Subject：主体，代表了当前 “用户”，这个用户不必然是一个具体的人，与当前应用交互的任何对象都是 Subject，如网络爬虫，机器人等；即一个抽象观点；所有 Subject 都绑定到 SecurityManager，与 Subject 的所有交互城市委托给 SecurityManager；可以把 Subject 认为是一个门面；SecurityManager 才是实际的执行者；

SecurityManager：安适打点器；即所有与安适有关的操纵城市与 SecurityManager 交互；且它打点着所有 Subject；可以看出它是 Shiro 的核心，它卖力与后边介绍的其他组件进行交互，如果学习过 SpringMVC，你可以把它当作 DispatcherServlet 前端控制器；

Realm：域，Shiro 从从 Realm 获取安适数据（如用户、角色、权限），就是说 SecurityManager 要验证用户身份，那么它需要从 Realm 获取相应的用户进行对照以确定用户身份是否合法；也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操纵；可以把 Realm 当作 DataSource，即安适数据源。

也就是说对付我们而言，最简单的一个 Shiro 应用：

应用代码通过 Subject 来进行认证和授权，而 Subject 又委托给 SecurityManager；

我们需要给 Shiro 的 SecurityManager 注入 Realm，从而让 SecurityManager 能得到合法的用户及其权限进行判断。

从以上也可以看出，，Shiro 不供给维护用户 / 权限，而是通过 Realm 让开发人员本身注入。

接下来我们来从 Shiro 内部来看下 Shiro 的架构，如下图所示：

Subject：主体，可以看到主体可以是任何可以与应用交互的 “用户”；