本文基於B站UP主【程式設計不良人】視訊教程【2020最新版Shiro教程,整合SpringBoot專案實戰教程】進行整理記錄，僅用於個人學習交流使用。

視訊連結：https://www.bilibili.com/video/BV1uz4y197Zm

官方文件：http://www.baizhiedu.xin

一、許可權的管理
1.1 什麼是許可權管理
基本上涉及到使用者參與的系統都要進行許可權管理，許可權管理屬於系統安全的範疇，許可權管理實現對使用者訪問系統的控制，按照安全規則或者安全策略控制使用者可以訪問而且只能訪問自己被授權的資源。

許可權管理包括使用者身份認證和授權兩部分，簡稱認證授權。對於需要訪問控制的資源使用者首先經過身份認證，認證通過後使用者具有該資源的訪問許可權方可訪問。

1.2 什麼是身份認證
身份認證，就是判斷一個使用者是否為合法使用者的處理過程。最常用的簡單身份認證方式是系統通過核對使用者輸入的使用者名稱和口令，看其是否與系統中儲存的該使用者的使用者名稱和口令一致，來判斷使用者身份是否正確。對於採用指紋等系統，則出示指紋；對於硬體Key等刷卡系統，則需要刷卡。

1.3 什麼是授權
授權，即訪問控制，控制誰能訪問哪些資源。主體進行身份認證後需要分配許可權方可訪問系統的資源，對於某些資源沒有許可權是無法訪問的

二、什麼是shiro
Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.

Shiro 是一個功能強大且易於使用的Java安全框架，它執行身份驗證、授權、加密和會話管理。使用Shiro易於理解的API，您可以快速輕鬆地保護任何應用程式—從最小的移動應用程式到最大的web和企業應用程式。

Shiro是apache旗下一個開源框架，它將軟體系統的安全認證相關的功能抽取出來，實現使用者身份認證，許可權授權、加密、會話管理等功能，組成了一個通用的安全認證框架。

三、shiro的核心架構

3.1 Subject
Subject即主體，外部應用與subject進行互動，subject記錄了當前操作使用者，將使用者的概念理解為當前操作的主體，可能是一個通過瀏覽器請求的使用者，也可能是一個執行的程式。

Subject在shiro中是一個介面，介面中定義了很多認證授相關的方法，外部程式通過subject進行認證授，而subject是通過SecurityManager安全管理器進行認證授權

3.2 SecurityManager
SecurityManager即安全管理器，對全部的subject進行安全管理，它是shiro的核心，負責對所有的subject進行安全管理。通過SecurityManager可以完成subject的認證、授權等，實質上SecurityManager是通過Authenticator進行認證，通過Authorizer進行授權，通過SessionManager進行會話管理等。

SecurityManager是一個介面，繼承了Authenticator, Authorizer, SessionManager這三個介面。

3.3 Authenticator
Authenticator即認證器，對使用者身份進行認證，Authenticator是一個介面，shiro提供ModularRealmAuthenticator實現類，通過ModularRealmAuthenticator基本上可以滿足大多數需求，也可以自定義認證器。

3.4 Authorizer
Authorizer即授權器，使用者通過認證器認證通過，在訪問功能時需要通過授權器判斷使用者是否有此功能的操作許可權。

3.5 Realm
Realm即領域，相當於datasource資料來源，securityManager進行安全認證需要通過Realm獲取使用者許可權資料，比如：如果使用者身份資料在資料庫那麼realm就需要從資料庫獲取使用者身份資訊。

​ 注意：不要把realm理解成只是從資料來源取資料，在realm中還有認證授權校驗的相關的程式碼。
3.6 SessionManager
sessionManager即會話管理，shiro框架定義了一套會話管理，它不依賴web容器的session，所以shiro可以使用在非web應用上，也可以將分散式應用的會話集中在一點管理，此特性可使它實現單點登入。

3.7 SessionDAO
SessionDAO即會話dao，是對session會話操作的一套介面，比如要將session儲存到資料庫，可以通過jdbc將會話儲存到資料庫。

3.8 CacheManager
CacheManager即快取管理，將使用者許可權資料儲存在快取，這樣可以提高效能。

3.9 Cryptography
Cryptography即密碼管理，shiro提供了一套加密/解密的元件，方便開發。比如提供常用的雜湊、加/解密等功能。