Shiro 权限框架使用总结

我们首先了解下什么是shiro ，Shiro 是 JAVA 世界中新近出现的权限框架，较之 JAAS 和 Spring Security，Shiro 在保持强大功能的同时，还在简单性和灵活性方面拥有巨大优势

Shiro 是一个强大而灵活的开源安全框架，能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点：

易于理解的 Java Security API；

简单的身份认证（登录），支持多种数据源（LDAP，JDBC，Kerberos，ActiveDirectory 等）；

对角色的简单的签权（访问控制），支持细粒度的签权；

支持一级缓存，以提升应用程序的性能；

内置的基于 POJO 企业会话管理，适用于 Web 以及非 Web 的环境；

异构客户端会话访问；

非常简单的加密 API；

不跟任何的框架或者容器捆绑，可以独立运行。

Shiro 主要有四个组件

SecurityManager

典型的 Facade，Shiro 通过它对外提供安全管理的各种服务。

Authenticator

对“Who are you ？”进行核实。通常涉及用户名和密码。

这个组件负责收集 principals 和 credentials，并将它们提交给应用系统。如果提交的 credentials 跟应用系统中提供的 credentials 吻合，就能够继续访问，否则需要重新提交 principals 和 credentials，或者直接终止访问。

Authorizer

身份份验证通过后，由这个组件对登录人员进行访问控制的筛查，比如“who can do what”， 或者“who can do which actions”。Shiro 采用“基于 Realm”的方法，即用户（又称 Subject）、用户组、角色和 permission 的聚合体。

Session Manager

这个组件保证了异构客户端的访问，配置简单。它是基于 POJO/J2SE 的，不跟任何的客户端或者协议绑定。

Shiro 的认证和签权可以通过 JDBC、LDAP 或者 Active Directory 来访问数据库、目录服务器或者 Active Directory 中的人员以及认证 / 签权信息。SessionManager 通过会话 DAO 可以将会话保存在 cache 中，或者固化到数据库或文件系统中。