1. 什么是权限

在做一个系统时，通常会涉及到权限问题。不同的人登录，能使用的功能、按钮、菜单是不一样的，这就是权限

2. Shiro简介

Apache Shiro是Java的一个安全（权限）框架。与之类似的还有Spring Security，但是Shiro更加主流、更加简单应用。

Shiro可以非常容易的开发出足够好的应用，其不仅可以用在JavaSE环境，也可以用在JavaEE环境。

Shiro可以完成：认证、授权、加密、会话管理、与Web 集成、缓存等。

官网下载：http://shiro.apache.org/

3. Shiro功能

基本功能点如下图所示：

Authentication（认证）：验证用户是不是拥有相应的身份，说白了就是登录。我们可以利用Shiro帮我们完成登录，密码匹配就是由Shiro来完成的

Authorization（授权）：当我们点击一个链接、按钮时，Shiro会判断你是否有这个权限

Session Management（会话管理）：负责管理Session。用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通JavaSE环境，也可以是Web环境的。在Web环境下，我们可以使用HttpSession。使用Shiro框架，即使在非Web环境下，我们也可以使用Session，这个Session是由Shiro提供的

Cryptography（加密）：对密码进行加密

Web Support（Web支持）：对Web应用提供支持。Shiro可以很容易与JavaEE Web应用集成

Concurrency：Shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去

Testing：提供测试支持

Caching（缓存）：Shiro提供了缓存机制，加速运行速度

Run As：已登录用户以另外一个用户身份来操作当前项目和系统

Remember Me：记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了

4. Shiro架构

4.1. 从外部看

从外部来看Shiro，即从应用程序角度的来观察如何使用Shiro完成工作

主要有以下3个组件：

Subject：应用代码直接交互的对象是Subject，也就是说Shiro的对外API 核心就是Subject。Subject 代表了当前“用户”，这个用户不一定是一个具体的人，与当前应用交互的任何东西都是Subject，如网络爬虫，机器人等；与Subject 的所有交互都会委托给SecurityManager；Subject 其实是一个门面，SecurityManager才是实际的执行者；
SecurityManager：安全管理器；即所有与安全有关的操作都会与SecurityManager交互；且其管理着所有Subject；可以看出它是Shiro的核心，它负责与Shiro的其他组件进行交互，它相当于SpringMVC中DispatcherServlet的角色
Realm：Shiro从Realm 获取安全数据（如用户、角色、权限），就是说SecurityManager要验证用户身份，那么它需要从Realm 获取相应的用户进行比较以确定用户身份是否合法；也需要从Realm 得到用户相应的角色/权限进行验证用户是否能进行操作；可以把Realm 看成DataSource

Application Code 就是我们的Java应用程序。应用程序去访问Shiro，一定是访问Subject这个组件

Subject实际上是一个门面，真正的核心是SecurityManager（负责管理所有的Subject）

当我们需要访问一些安全数据时，比方说获取用户信息、权限信息，需要用到Realm，相当于SecurityDao