传臣、的博客

一、概述Shiro 提供了记住我（RememberMe）的功能，比如访问如淘宝等一些网站时，关闭了浏览器，下次再打开时还是能记住你是谁，下次访问时无需再登录即可访问，基本流程如下：1、首先在登录页面选中 RememberMe 然后登录成功；如果是浏览器登录，一般会把 RememberMe 的Cookie 写到客户端并保存下来；2、关闭浏览器再重新打开；会发现浏览器还是记住你的；3、访问一般...

一、概述CacheManagerAware 接口• Shiro 内部相应的组件（DefaultSecurityManager）会自动检测相应的对象（如Realm）是否实现了CacheManagerAware 并自动注入相应的CacheManager。Realm 缓存• Shiro 提供了 CachingRealm，其实现了CacheManagerAware 接口，提供了缓存的一些基...

一、会话管理概述Shiro 提供了完整的企业级会话管理功能，**不依赖于底层容器（如web容器tomcat），不管 JavaSE 还是 JavaEE 环境都可以使用，**提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web 的透明支持、SSO 单点登录的支持等特性。会话相关的 APISubject.getSession()：即可获取会话；其等价于Sub...

一、Shiro 标签Shiro 提供了 JSTL 标签用于在 JSP 页面进行权限控制，如根据登录用户显示相应的页面按钮。guest 标签：用户没有身份验证时显示相应信息，即游客访问信息。user 标签：用户已经经过认证/记住我登录后显示相应的信息。authenticated 标签：用户已经身份验证通过，即Subject.login登录成功，不是记住我登录的。notAuthenti...

在了解了Apache Shiro的架构、认证、授权之后，我们来看一下Shiro与Web的整合。下面以Spring Boot为例，介绍一下Spring Boot 与 Shiro的 整合。

Apache Shiro 是一个强大而灵活的开源安全框架，它干净利落地处理身份认证，授权，企业会话管理和加密。Shiro 架构如下图所示：认证身份认证身份验证：一般需要提供如身份 ID 等一些标识信息来表明登录者的身份，如提供 email，用户名/密码来证明。在 shiro 中，用户需要**提供 principals （身份）和 credentials（证明）**给 shiro，从而应用...

Apache Shiro官网：http://shiro.apache.orgApache Shiro 是 Java 的一个安全（权限）框架。Shiro 可以非常容易的开发出足够好的应用，其不仅可以用在JavaSE 环境，也可以用在 JavaEE 环境。Shiro可以完成：认证、授权、加密、会话管理、与Web 集成、缓存等功能。功能简介Authentication：身份认证/登录，验证...