Apache Shiro是一個功能強大，靈活的開源的安全框架，它可以干脆利落的處理身份驗證、授權、企業會話管理和加密。
與spring security一樣，都是一個作為權限管理的安全框架。但是與spring security相比，在于shiro使用了比較簡單、易懂且易于使用的授權方式。

shiro官網：http://shiro.apache.org/

Apache Shiro特征

Apache Shiro是一個全面的、功能豐富的安全框架，如圖描述了shiro的一些集中關注點。

其中綠色的四大塊分別是認證(Authentication)、授權(Authorization)、會話管理(Session Management)、加密(Cryptography)，它們被shiro的開發團隊稱之為應用程序安全的四大基石：

• 認證：用戶的識別，通常被稱為用戶登錄
• 授權：做訪問控制，比如某個用戶是否具有某個操作的使用權限
• 會話管理：特定于用戶的會話管理
• 加密：對數據源使用加密算法加密保證數據安全，同時保證它容易使用

當然了，還有其他功能來支持和加強這些不同應用環境下安全領域的關注點，特別是對以下功能的支持：

• 首先是web的支持，shiro提供了web支持API，可以輕松的保護web應用程序的安全，
• 接下來是緩存，緩存是shiro保證安全操作快速高效的重要手段
• 并發：shiro支持多線程應用程序的并發特性
• 測試：支持單元測試和集成測試，確保代碼和預想的一樣安全
• 支持run as功能，這個功能允許用戶假設另一個用戶的身份，當然了，這是在許可的前提下才可以
• remember me功能，它可以跨session記錄用戶的身份，只有在強制需要時，才需要登錄

這里需要注意，shiro不會去維護用戶和權限，需要我們自己去設計和實現，然后提供相應的接口注入給shiro

高級別的概述

在概念層，shiro架構主要包含3個主要理念：subject、securitymanager、realm，下圖為這些組件如何交互的高級概述圖，我們分別介紹每個概念。

subject

主體，代表了當前用戶，subject可以是一個人，也可以是第三方服務，守護進程的賬戶或者其他當前和軟件交互的任何事件比如網絡爬蟲、機器人等，它是一個抽象的概念。
所有的subject都綁定到securitymanager，與subject所有的交互都會委托給securitymanager，可以把subject認為是一個門面，securitymanager才是一個實際的執行者。

SecurityManager

securitymanager是一個安全的管理器，即所有與安全有關的操作都會與securitymanager交互，它管理著所有的subject，可以看出它是shiro的核心，它負責與后面介紹的其他組件進行交互。

Realm

shiro從realm中獲取安全數據，包括用戶角色、權限等等，securitymanager要驗證身份的話，需要從realm獲取相應的用戶，然后進行比較，以確定用戶身份是否合法，也需要從realm中得到用戶相應的角色以及權限進行驗證用戶是否能進行操作，可以把realm看成datasource，即安全的數據源

最簡單的一個shiro應用，首先是應用代碼通過subject來進行授權和認證，而subject又委托給securitymanager，我們需要給securitymanager注入realm，從而讓securitymanager能夠得到合法的用戶及其權限進行判斷。

Apache Shiro架構

接下來看一下Apache Shiro的架構圖

Authenticator

這是用戶認證管理器，這個組件主要是用于處理用戶的登錄邏輯，它通過調用realm的接口來判斷登錄用戶的身份，這里涉及到用戶認證策略，比如如果系統中配置了多個realm，則需要使用Authentication Strategy來協調這些realm以便決定一個用戶的登錄和認證是成功還是失敗。

比如一個realm驗證成功了，但是其他都失敗了，這次認證是算成功還是失敗呢，還是說必須所有的realm都成功了才算成功，或者第一個realm成功就算成功，因此我們需要一個策略，這個策略相對還是挺復雜的。

Authorizer

這是權限管理器，這個組件主要是用來做用戶的訪問控制，通俗來說，就是決定用戶能做什么，不能做什么，和Authenticator類似，Authorizer它也知道怎么協調多個realm數據源的數據，它有自己的一套策略

Session Manager

會話管理器，它知道如何創建會話，管理用戶會話的生命周期，以便在所有運行環境下都能給用戶提供一個健壯的會話管理體驗，shiro在任何環境下都可以在本地管理用戶會話，即便沒有web容器也可以，這在安全管理框架中算是獨門絕技了。

當然如果當前環境中有會話管理機制，比如servlet容器，則shiro默認會使用該環境的會話管理機制，而如果像控制臺這種獨立的應用程序，本身沒有會話管理機制的時候，shiro就會使用內部的會話管理器來給應用開發提供一致的編程體驗。

Session Dao

它允許用戶使用任何類型的數據源來存儲session數據，它主要是用來代替Session Manager執行session相關的增刪改查，這個接口允許我們將任意種類的數據、存儲方式引入到session管理的基礎框架之中。

Cache Manager

用于創建和維護一些在其他shiro組件中用到的cache實例，維護這些cache實例的生命周期，緩存用于存儲那些從后端獲取到的用戶驗證、及權限控制方面的數據來提高性能。在獲取數據時，先是從緩存查找，如果沒有，再調用后端接口從其他數據源獲取，shiro允許用戶使用其他更加現代的企業級數據源來代替內部的默認實現，以提高更高的性能和更好的用戶體驗。

Cryptography

加密技術，對于一個企業級的安全框架來說，加密算是其固有的一種特性，shiro的Crypto包裝包含了一系列的易于理解和使用的加密hash輔助類，所有的類都是經過精心設計，相比于java本身提供的一套反人類的加密組件，shiro的這套加密組件簡直好用太多了。

Realm

是連接shiro和安全數據的橋梁，任何時候當shiro需要執行登錄或者訪問控制的時候，都需要調用已經配置的realm接口去獲取數據，一個應用程序可以配置一個或者多個realm，通常來說一個數據源會配置一個。