shiro随笔

1、shiro是什么

　　是一种功能强大（易于使用）的Java安全框架。

2、shiro可以做什么

　

Shiro提供了应用程序安全性API来执行以下方面（我喜欢将它们称为应用程序安全性的4个基石）：

• Authentication（身份验证） 身份验证-证明用户身份，通常称为用户“登录”。

• Authorization （授权）授权-访问控制：权限控制

• Cryptography （加密）加密-保护或隐藏数据以防窥视。加盐（salt） 加密

• Session Management （会话 管理）会话管理-每个用户的时间敏感状态

Shiro还支持一些辅助功能，例如Web应用程序安全性，单元测试和多线程支持，但它们的存在是为了加强上述四个主要方面。

 

3、shiro的三个核心概念

　　①Subject 主题 （和shiro交互的程序）或（当前访问对象的抽象描述）或（主要指一个正在与当前软件交互的东西）

　　②SecurityManager 安全管理员  Shiro架构的核心，通过它可以协调其他组件完成用户认证和授权。实际上，SecurityManager就是Shiro框架的控制器。

　　③realms 领域  Shiro与应用程序的安全数据之间的“桥梁”或“连接器”。定义了访问数据的方式，用来连接不同的数据源，如：LDAP，关系数据库，配置文件等等。

 

4、Shiro认证三步走

　　①收集用户的标识信息（如：账号）和支持身份的凭证（如：密码）。

　　②将主体和凭据提交到系统。

　　③如果提交的凭据与系统对该用户身份的期望匹配，则认为该用户已通过身份验证。如果它们不匹配，则不认为用户已通过身份验证。