Apache shiro的简单介绍与使用教程(与spring整合使用）

apache shiro框架简介

　　Apache Shiro是一个强大而灵活的开源安全框架，它能够干净利落地处理身份认证，授权，企业会话管理和加密。现在，使用Apache Shiro的人越来越多，因为它相当简单，相比比Spring Security，Shiro可能没有Spring Security那么多强大的功能，但是在实际工作时可能并不需要那么复杂的东西，所以使用简单的Shiro就足够了。

　　以下是你可以用 Apache Shiro所做的事情：

　　Shiro的4大核心部分——身份验证，授权，会话管理和加密

 　　　　Authentication：身份验证，简称“登录”。

 　　　　Authorization：授权，给用户分配角色或者权限资源

 　　　　Session Management：用户session管理器，可以让CS程序也使用session来控制权限

 　　　　Cryptography：把JDK中复杂的密码加密方式进行封装。

　　除了以上功能，shiro还提供很多扩展   

　　Web Support：主要针对web应用提供一些常用功能。

　　Caching：缓存可以使应用程序运行更有效率。

　　Concurrency：多线程相关功能。

　　Testing：帮助我们进行测试相关功能

　　Run As：一个允许用户假设为另一个用户身份（如果允许）的功能，有时候在管理脚本很有用。

　　Remember Me：记住用户身份，提供类似购物车功能。

　　shiro框架认证流程

　　Application Code：应用程序代码，由开发人员负责开发的

　　Subject：框架提供的接口，是与程序进行交互的对象，可以是人也可以是服务或者其他，通常就理解为用户。所有Subject 实例都必须绑定到一个SecurityManager上。我们与一个 Subject 交互，运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。

　　SecurityManager：框架提供的接口，是 Shiro的核心，代表安全管理器对象。初始化时协调各个模块运行。然而，一旦 SecurityManager协调完毕，SecurityManager 会被单独留下，且我们只需要去操作Subject即可，无需操作SecurityManager 。 但是我们得知道，当我们正与一个 Subject 进行交互时，实质上是 SecurityManager在处理 Subject 安全操作。