跟我学Shiro - 张开涛

### Apache Shiro 框架简介 Apache Shiro 是一个简单且功能强大的 Java 安全框架，主要用于身份认证、授权、加密、会话管理等场景。相比 Spring Security，Shiro 的功能相对精简，适合中小项目使用。它支持 JavaSE 和 JavaEE 环境，提供以下核心功能： 1. **身份认证（Authentication）**：验证用户身份，如用户名/密码。 2. **授权（Authorization）**：控制用户对资源的访问权限，支持粗粒度和细粒度权限控制。 3. **加密（Cryptography）**：保护敏感数据，如密码加密存储。 4. **会话管理（Session Management）**：支持 JavaSE 和 Web 环境的会话管理。 5. **Web 支持**：与 Web 应用无缝集成。 6. **缓存（Caching）**：提高性能，减少对数据源的频繁访问。 ### 核心组件 - **Subject**：代表当前用户，是 Shiro 的对外 API 核心。 - **SecurityManager**：安全管理器，负责处理所有安全相关操作。 - **Realm**：数据源，用于从数据库等存储中获取用户、角色和权限信息。 - **SessionManager**：会话管理器，支持会话的创建、存储和生命周期管理。 ### 身份验证 身份验证需要提供 **Principal（身份）** 和 **Credential（凭证）**，如用户名/密码。Shiro 提供 `Subject` 和 `Realm` 来完成身份验证流程。 ### 授权 授权通过 **Permission（权限）** 和 **Role（角色）** 实现。角色是一组权限的集合，权限表示对资源的操作权利。Shiro 支持以下两种授权方式： 1. **粗粒度权限**：基于角色的访问控制。 2. **细粒度权限**：基于具体资源的访问控制。 ### 会话管理 Shiro 提供企业级会话管理功能，支持会话的创建、过期、集群和单点登录（SSO）。会话可以通过 `Subject.getSession()` 获取，并支持设置过期时间和主机地址。 ### Web 集成 Shiro 通过 `ShiroFilter` 拦截需要安全控制的 URL，实现 Web 应用的安全控制。配置文件（如 `shiro.ini`）用于定义安全规则，如登录、权限验证等。 ### 缓存 Shiro 支持缓存用户信息和权限数据，减少对数据库的频繁查询，提高应用性能。 ### 总结 Apache Shiro 是一个简单而强大的安全框架，适合快速实现身份认证、授权和会话管理功能。通过其核心组件 `Subject`、`SecurityManager` 和 `Realm`，开发者可以轻松完成应用的安全控制。结合 Web 支持和缓存功能，Shiro 能够满足大多数项目的安全需求。