yutao_Struggle的博客

Shiro简介Apache Shiro 是一个强大易用的 Java 安全（权限）框架，提供了认证、授权、加密、会话管理、与Web集成和缓存等功能，对于任何一个应用程序，Shiro 都可以提供全面的安全管理服务，相较于 Spring Security，Shiro 更加简单易用。shiro基本功能点如下： Authentication：身份认证/登录； Authenrization：授权，即权限

身份验证简介在 shiro 中，用户需要提供 principals （身份）和 credentials（证明）给 shiro，从而应用能验证用户身份：principals：身份，即主体的标识属性，可以是任何东西，如用户名、邮箱等，唯一即可。一个主体可以有多个 principals，但只有一个 Primary principals，一般是邮箱 / 手机号。credentials：证明 / 凭证，即只有

授权简介授权，也叫访问控制，即在应用中控制谁能访问哪些资源（如访问页面/编辑数据/页面操作等）。在授权中需了解的几个关键对象：主体（Subject）、资源（Resource）、权限（Permission）、角色（Role） shiro通过角色赋予主体对资源CRUD（增删改查），角色是一组权限的集合。shiro支持粗粒度权限（基于角色的访问控制）和细粒度权限（基于资源的访问控制）。shiro支持三种

INI配置从之前的shiro架构图可以看出，shiro是从根对象SecurityManager进行身份验证和授权的，这个对象是线程安全且整个应用只需要一个即可，因此Shiro提供了SecurityUtils让我们绑定它为全局的，shiro的类都是POJO的，很容易放到任何IOC容器管理，shiro提供的INI配置类似于Spring之类的IOC/DI容器，shiro支持的依赖注入：public空

与Web集成前面的学习都是在JavaSE下，Shiro提供了与Web集成的支持，其通过一ShiroFilter入口来拦截需要安全控制的URL，然后进行相应的控制，ShiroFilter 类似于如 Strut2/SpringMVC 这种 web 框架的前端控制器，其是安全控制的入口点，其负责读取配置（如 ini 配置文件），然后判断 URL 是否需要登录 / 权限等工作。servlet环境配置一. s

Spring集成spring整合所需的jar包：（1）web.xml配置如下： <!-- ================================================================== spring配置 =======================================================