Shiro初识

        Shiro是一个用于验证和授权的框架。下面将以一个测试开始对Shiro的认识：

进行这个测试需要shiro-core、junit、slf4j三个包

        testAuthentication方法是我们的真正要测试的方法。在第28行调用了SecurityUtils的静态方法setSecurityManager方法，在28行之前的所有代码都可以理解为在装配一个“环境”。32行通过subject对象调用的login方法，实际上真正的执行调度是由securityManager发出。

        经过28行通过SecurityUtils设置securityManager之后，再通过29行SecurityUtils.getSubject()方法得到的suject，如此在subject上的操作都委托给securityManager进行了。

        在32行有一个登陆操作，方法login接受一个类型为AuthenticationToken的参数，但AuthenticationToken是一个接口，所以实际传入的参数类型是它的一个实现类UsernamePasswordToken，在31行可以看到。注意在31行构造token对象时显示的传入了代表用户的用户名和密码。当32行subject调用login方法时，显然在subject委托securityManager验证身份时，后者会用到token的信息。

        可是securityManager又从哪里去寻找“正确答案”呢，32行传入的token不过是用户的输入，当tonken信息与securityManager找到的“正确答案”一致才说明身份认证通过。在25行，我们显示的实例一个shiro框架提供的SecurityManager默认实现，并且在26行设置了它的realm。

        Realm真实的含义是“区域”，在Shiro中它表明是一个组件，通过这个组件可以访问到所有的用户实体、角色实体等。可以在20行看到在Realm上添加了一个账号。Realm中存放的就是“正确答案”，所以在26行才把它设置到securityManager。

        以上，Shiro的中心是SecurityManager，为了让SecurityManager知道所有问题的答案，要为它设置Realm。Realm代表答案的集合。为了让一个SecurityManager可用，要通过SecurityUtils对应的设置方法。SecurityUtils.getSubject()返回的是一个没有状态的对象，它代表着用户。用户登陆的行为，就是subject.login()的调用，用户输入的信息包装为token，传入login方法。login方法的实际动作又是SecurityManager发出，SecurityManager拿着token和Realm中的“答案”比对，从而决定身份验证是否成功。而subject.checkRole()，则是在身份验证成功之后判断该身份是否具有特定的角色。而角色就意味着权限。