Apache Shiro基本概念了解-优快云博客

本文链接：https://blog.youkuaiyun.com/m0_37501154/article/details/90022309

本文深入解析Apache Shiro框架，涵盖其核心组件Subject、SecurityManager和Realms的功能与作用，以及如何进行认证、授权和会话管理。同时，介绍了Shiro的权限、角色和授权方式，包括代码编写、JDK注解和JSP标签库的应用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Apache Shiro是一个强大且易用的Java安全框架,用于身份验证、授权、加密和会话管理等。

Shiro 能做什么

认证：验证用户的身份;
授权：对用户执行访问控制：判断用户是否被允许做某事;
管理：在任何环境下使用 Session API，即使没有 Web 或EJB 容器。
加密：以更简洁易用的方式使用加密功能，保护或隐藏数据防止被偷窥;
Realms：聚集一个或多个用户安全数据的数据源;
单点登录（SSO）功能：为没有关联到登录的用户启用 "Remember Me“ 服务;

图1-1 Shiro 的主要功能

Shiro 架构 3 个核心组件

3个核心组件：Subject, SecurityManager 和 Realms ;

图1-2 Shiro 3大核心组件

Subject ：正与系统进行交互的人，或某一个第三方服务。所有 Subject 实例都被绑定到（且这是必须的）一个SecurityManager 上。

SecurityManager：Shiro 架构的心脏，用来协调内部各安全组件，管理内部组件实例，并通过它来提供安全管理的各种服务。当 Shiro 与一个 Subject 进行交互时，实质上是幕后的 SecurityManager 处理所有繁重的Subject 安全操作。

Realms ：Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说，当对用户执行认证（登录）和授权（访问控制）验证时，Shiro会从应用配置的Realm中查找用户及其权限信息。

从这个意义上讲，Realm实质上是一个安全相关的DAO：它封装了数据源的连接细节，并在需要时将相关数据提供给Shiro。当配置Shiro时，你必须至少指定一个Realm，用于认证和（或）授权。配置多个Realm是可以的，但是至少需要一个。Shiro 提供了多种可用的 Realms 来获取安全相关的数据。如关系数据库(JDBC)，INI 及属性文件等。可以定义自己 Realm 实现来代表自定义的数据源。