解决你的系统安全问题-Shiro框架（解决你的问题用3个字描述）

Shiro简介

Shiro是apache旗下一个开源框架，它将软件系统的安全认证相关的功能抽取出来，实现用户身份认证，权限授权、加密、会话管理等功能，组成了一个通用的安全认证框架。它为开发人员提供一个直观而全面的认证，授权，加密及会话管理的解决方案。

Shiro功能

• 验证用户身份
• 用户访问权限控制，比如：1、判断用户是否分配了一定的安全角色。2、判断用户是否被授予完成某个操作的权限
• 在非 Web 或 EJB 容器的环境下可以任意使用Session API
• 可以响应认证、访问控制，或者 Session 生命周期中发生的事件
• 可将一个或以上用户安全数据源数据组合成一个复合的用户 “view”(视图)
• 支持单点登录(SSO)功能
• 支持提供“Remember Me”服务，获取用户关联信息而无需登录

Authentication（认证）, Authorization（授权）, Session Management（会话管理）, Cryptography（加密）被 Shiro 框架的开发团队称之为应用安全的四大基石。下图描述了Shiro实现和支持的功能：

Shiro框架总览

Subject：主体，既可以代表用户，也可以代表程序，它需要访问系统，系统则需要对其进行认证和授权，可以看到主体可以是任何可以与应用交互的“用户”。

SecurityManager： 安全管理，对全部的subject进行安全管理，它是shiro的核心，负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等。SecurityManager是通过Authenticator进行认证，通过Authorizer进行授权，通过SessionManager进行会话管理等。SecurityManager是一个接口，继承了Authenticator, Authorizer, SessionManager这三个接口。

Authenricator： 认证器，主要对Subject进行认证，Subject的信息在shrio中是通过AuthenticationToken对象来储存，由AuthenricationStrategy进行验证管理。Authenticator是一个接口，shiro提供 ModularRealmAuthenticator实现类，也可以自定义实现。

Authorizer：授权器，Subject通过认证器认证后，由它来对其授予对应角色权限，在访问功能时需要通过授权器判断用户是否有此功能的操作权限。

SessionManager： Shiro的session管理方式，Shiro提供了一个专门管理session的方式，它不依赖web容器的session，所以shiro可以使用在非web应用上，也可以将分布式应用的会话集中在一点管理，此特性可使它实现单点登录。

SessionDao： session的接口，是对session会话操作的一套接口。Shiro通过它来管理session数据，个性化的session数据储存需要使用sessionDao.

CacheManager： 缓存管理器，主要对session数据和授权数据进行缓存，减小数据库的访问压力．可以通过和ehcache的整合对缓存数据进行管理．

Pluggable Realms： 可扩展领域，相当于数据源，Shiro提供了一个realms的概念，它的作用就是得到数据库中的信息，可以是一个或多个，也可以自定义，只需继承AuthorizingRealm这个接口就可以了。securityManager对Subject进行认证和授权都需要调用realm，realm不仅仅相当于数据源，更加包含了认证和授权的一种逻辑。

Cryptography： 密码模块，一个密码管理工具，提供了一套加密／解密的组件。

认证流程

Shiro处理一个Subject流程图如下图所示：

授权流程和认证流程类似，如下图所示：

本文篇幅有限，Shiro还有过滤器权限拦截器、前端shiro标签，加密解密等功能，在下一遍SpringBoot集成Shiro时再继续介绍。