shiro(1) 介绍

一、什么是shiro

（1）属性：java框架

（2）用途：身份验证、用户授权、加密、会话管理

（3）优点：轻量、易用

二、三大组件

（1）subject：代表当前主体，与当前应用交互的任何东西都是subject；

（2）SecurityManager ：安全管理器，所有有关安全的操作均与此有关。是shiro核心，负责与其他组件交互。

（3）Realms：域。Shiro 从 Realm 获取安全数据（如用户、角色、权限），就是说 SecurityManager 要验证用户身份，那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法，也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作。

举个例子：

小明，小红、小强和小刚买火车票回家，此时整个火车站（包括售票机，工作人员，火车）都属于subject，与用户进行交互。

进入火车站时需要检票，检票人员需要核对票的有效性，发现小刚的票是假的，就拒绝他进入。核票时，需要从数据库获取信息，此时数据库就是域，用于提供用户信息。

进入候车厅后，小强突然大发雷霆，随意伤人，被巡逻的安保人员扣下。此时安保人员充当SecurityManager ，用来控制操作安全。

三、其他组件

Authenticator：认证器，用于用户身份确认。相当于检票人员。

Authorizer：授权器，用于判断用户是否有权限操作。比如，小红是一等座，小明是无座，小明若是强行占座，就会被抓起来。

Session Manager：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；小明到站后，再想上火车，就必须再买票检票。

Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；火车票上的信息都会进行加密处理，防止坏人获取。

CacheManager：缓存管理，将用户权限数据存储在缓存，这样可以提高性能。列车员会进行用户登记，登记过一次后就不再查票了。

Cryptography即密码管理，shiro提供了一套加密/解密的组件，方便开发。比如提供常用的散列、加/解密等功能。比如火车票上的二维码，扫码时可以获取当前车次信息。