1、簡介shiro是一個安全框架，是Apache的一個子專案。shiro提供了：認證、授權、加密、會話管理、與web整合、快取等模組。   1.1、模組介紹

• Authentication:使用者身份識別，可以認為是登入；
• Authorization:授權，即許可權驗證，驗證某個已認證的使用者是否擁有某個許可權；即判斷使用者是否能做事情，常見的如：驗證某個使用者是否擁有某個角色。或者細粒度的驗證某個使用者對某個資源是否具有某個許可權。
• Session Manager：會話管理，即使用者登入後就是一次會話，在沒有退出之前，它的所有資訊都在會話中；會話可以是普通 JavaSE 環境的，也可以是如 Web 環境的。
• Cryptography：加密，保護資料的安全性，如密碼加密儲存到資料庫，而不是明文儲存。
• Web Support：Web支援，可以非常容易的整合到 web 環境。
• Caching：快取，比如使用者登入後，其使用者資訊、擁有的角色/許可權不必每次去查，這樣可以提高效率。
• Concurrency：shiro 支援多執行緒應用的併發驗證，即如在一個執行緒中開啟另一個執行緒，能把許可權自動傳播過去。
• Testing：提供測試支援。
• Run As：允許一個使用者假裝為另一個使用者（如果他們允許）的身份進行訪問。
• Remember Me：記住我，這個是非常常見的功能，即一次登入後，下次再來的話不用登入了。

注意：shiro不會去維護使用者和許可權之間的關係，需要我們自己去設計、提供；然後通過相應的介面注入給shiro即可。2、核心概念Subject：主體，代表了當前操作“使用者”，這個使用者不一定是具體的人，與當前應用互動的任何東西都是subject，即一個抽象概念。所有Subject都繫結到SecurityManager，與Subject互動都會委託給SercurityManager；SecurityManager：安全管理器；即所有與subject安全有關的操作都會與SecurityManager互動；且它管理著所有的Subject；它負責與裡面的各個元件的互動，也可以把它理解成springmvc中的DispatcherServlet前端控制器。Realm：域，安全資料來源。shiro從Realm獲取安全資料（如使用者、許可權、角色），就是說SecurityManager要驗證使用者身份，那麼它需要從Realm得到使用者相應的角色、許可權進行驗證使用者是否能進行操作；可以把Realm看成DataSource，即安全資料來源。從上圖可以看出：1、應用程式碼通過Subject來進行認證和授權，而Subject又委託給SecurityManager；2、SecurityManager要驗證使用者身份，那麼它需要從Realm中獲取相對應的使用者、角色、許可權進行比較以確定使用者身份是否合法。總結：shiro不提供維護使用者、許可權，而是通過Realm讓開發人員自己注入。3、shiro內部架構介紹
1) Subject：主體，可以看到主體可以是任何與應用互動的“使用者”。2) SecurityManager：相當於 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的FilterDispatcher。它是 Shiro 的核心，所有具體的互動都通過 SecurityManager 進行控制。它管理著所有 Subject、且負責進行認證和授權、及會話、快取的管理。3) Authenticator：認證器，負責主體認證的，這是一個擴充套件點，如果使用者覺得 Shiro 預設的不好，我們可以自定義實現。其需要認證策略（Authentication Strategy），即什麼情況下算使用者認證通過了。4) Authrizer：授權器，或者訪問控制器。它用來決定主體是否有許可權進行相應的操作，即控制著使用者能訪問應用中的哪些功能。5) Realm：可以有1個或多個 Realm，可以認為是安全實體資料來源，即用於獲取安全實體的。它可以是 JDBC 實現，也可以是 LDAP 實現，或者記憶體實現等。6) SessionManager：如果寫過 Servlet 就應該知道 Session 的概念，Session 需要有人去管理它的生命週期，這個元件就是 SessionManager。而 Shiro 並不僅僅可以用在 Web 環境，也可以用在如普通的 JavaSE 環境。7) SessionDAO：DAO 大家都用過，資料訪問物件，用於會話的 CRUD。我們可以自定義 SessionDAO 的實現，控制 session 儲存的位置。如通過 JDBC 寫到資料庫或通過 jedis 寫入 redis 中。另外 SessionDAO 中可以使用 Cache 進行快取，以提高效能。8) CacheManager：快取管理器。它來管理如使用者、角色、許可權等的快取的。因為這些資料基本上很少去改變，放到快取中後可以提高訪問的效能。9) Cryptography：密碼模組，Shiro 提高了一些常見的加密元件用於如密碼加密/解密的。4、過濾器當 Shiro 被運用到 web 專案時，Shiro 會自動建立一些預設的過濾器對客戶端請求進行過濾。以下是 Shiro 提供的過濾器：

過濾器簡稱	對應的 Java 類
anon	org.apache.shiro.web.filter.authc.AnonymousFilter
authc	org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic	org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
perms	org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port	org.apache.shiro.web.filter.authz.PortFilter
rest	org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles	org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl	org.apache.shiro.web.filter.authz.SslFilter
user	org.apache.shiro.web.filter.authc.UserFilter
logout	org.apache.shiro.web.filter.authc.LogoutFilter
noSessionCreation	org.apache.shiro.web.filter.session.NoSessionCreationFilter

解釋：

/admins/**=anon # 表示該 uri 可以匿名訪問/admins/**=auth # 表示該 uri 需要認證才能訪問/admins/**=authcBasic # 表示該 uri 需要 httpBasic 認證/admins/**=perms[user:add:*] # 表示該 uri 需要認證使用者擁有 user:add:* 許可權才能訪問/admins/**=port[8081] # 表示該 uri 需要使用 8081 埠/admins/**=rest[user] # 相當於 /admins/**=perms[user:method]，其中，method 表示 get、post、delete 等/admins/**=roles[admin] # 表示該 uri 需要認證使用者擁有 admin 角色才能訪問/admins/**=ssl # 表示該 uri 需要使用 https 協議/admins/**=user # 表示該 uri 需要認證或通過記住我認證才能訪問/logout=logout # 表示登出,可以當作固定配置

注意：anon，authcBasic，auchc，user 是認證過濾器。perms，roles，ssl，rest，port 是授權過濾器。