器；即所有与安全有关的操作都会与 SecurityManager 交互； 且它管理着所有 Subject；可以看出它是 Shiro 的核心，它负责与后边介绍的其他组件进行 交互，如果学习过 SpringMVC，你可以把它看成 DispatcherServlet 前端控制器； Realm：域，Shiro 从从 Realm 获取安全数据（如用户、角色、权限），就是说 SecurityManager 要验证用户身份，那么它需要从 Shiro 内部来看下 Shiro 的架构，如下图所示： Subject：主体，可以看到主体可以是任何可以与应用交互的“用户”； SecurityManager ： 相 当 于 SpringMVC 中 的 DispatcherServlet 或 者 Struts2 中 的 FilterDispatcher；是 Shiro 的心脏；所有具体的交互都通过 SecurityManager 进行控制；它管 集成 Shiro 提供了与 Web 集成的支持，其通过一个 ShiroFilter 入口来拦截需要安全控制的 URL， 然后进行相应的控制，ShiroFilter 类似于如 Strut2/SpringMVC 这种 web 框架的前端控制器， 其是安全控制的入口点，其负责读取配置（如 ini 配置文件），然后判断 URL 是否需要登 录/权限等工作。 准备环境 1、创建 webapp 应用