Apache Shrio官方介绍文档翻译

本文介绍了Apache Shiro的功能特性及设计特点，阅读此文可以对Shiro有初步的了解。

原文地址：http://shiro.apache.org/introduction.html#apache-shiro-features

Apache Shiro 是什么？

Apache Shiro是一个强大、灵活的开源安全框架，它可以处理认证、授权、企业session管理及加密。

Apache Shiro首要目标是易于使用和理解。安全通常看起来非常的复杂，甚至让你感觉很痛苦，但其实可以不是这样。框架应该屏蔽掉复杂性，暴露出简洁并且直觉化的API，简化开发者的开发工作。

下面是一些你可以用Apache Shiro做的事情：

• 认证一个用户，核实他的身份
• 对用户执行访问控制，比如：
• 确定此用户是否被分配了某个角色
• 确定此用户是否被授权做某些操作
• 在任何环境中使用session API，甚至是非Web或者没有EJB容器
• 对认证、访问控制或者session生命周期中的事件，客制化你自己的业务
• 继承一个或者多个安全数据源，并能把它们集成在一个用户view中
• 启用SSO功能
• 启用Remember Me服务

......

还有更多的功能--都被集成在高聚合并易于使用的API中。

Shiro想要在所有的程序环境中达到这些目标，从最简单的命令行程序到庞大的企业级应用，使之不需要强制依赖于第三方框架、容器或者程序服务器。当然项目的目标是无论什么情况都能集成到任何环境中，但他在任何环境也都是可以开箱即用的。

Apache Shiro 特点

Apache shiro是拥有很多功能特性的综合程序安全框架。下图显示了Shiro专注的产品特性，它的参考文档也是按照同样的方式进行组织。

Shiro 把Shiro开发者所谓的“程序安全的四个基础”作为目标-认证、授权、session管理、加密：

• 认证（Authentication）：有时可以认为就是登录，这个操作是为了证明用户就是他所说的那个用户。
• 授权（Authorization）：访问控制的过程，也就是确定谁能访问什么。
• Session管理（Session Management）：管理针对用户的session，也可以是非web或者非EJB程序。
• 加密（Crypography）：通过使用加密算法来保证数据的安全，同时易于使用。

Shiro也有一些额外的特性来加强在不同环境中的以上这些关注点，特别是如下这些：

• Web的支持：Shiro的web支持API，让你很轻易就能实现web程序的安全
• 缓存：缓存是Apache Shiro API中的一等公民，以确保安全操作保持快速和高效。
• 并发：Apache Shiro通过他的并发特性支持多线程的程序。
• 测试：测试支持可以让你写单元和集成测试，以确保你的代码如你期望那样工作。
• 用户模拟（Run As）：允许用户模拟另外一个用户的身份（如果那个用户允许）。有些时候在管理场景会很有用。
• 记住我（remember me）：跨过session记住用户的身份，这样用户只需要在必要的时候登录。