Apache Shiro——浅析

1、什么是 Apache Shiro？
Apache Shiro是Java安全框架，其提供认证，授权，加密，和会话管理，与Spring Security 一样都是权限安全框架，但是与Spring Security相比：
A、简单性，Shiro在使用上较 Spring Security更简单，更容易理解。
B、灵活性，Shiro运行环境广且不依赖这些环境，Spring Security只能与Spring一起集成使用。
C、可插拔，Shiro干净的API和设计模式使它可以与诸如 Spring、Grails、Wicket、Tapestry、Mule、Apache Camel、Vaadin 这类第三方框架无缝集成。Spring Security 在这方面就显得有些捉衿见肘。

2、Apache Shiro 的三大核心组件：
A、Subject ：当前用户的操作
B、SecurityManager：用于管理所有的Subject
C、Realms：用于进行权限信息的验证

Shiro.jpg

Subject：即当前用户，在权限管理的应用程序里往往需要知道谁能够操作什么，谁拥有操作该程序的权利，shiro中则需要通过Subject来提供基础的当前用户信息，Subject 不仅仅代表某个用户，也可以是第三方进程、后台帐户（Daemon Account）或其他类似事物。

SecurityManager：即所有Subject的管理者，这是Shiro框架的核心组件，可以把他看做是一个Shiro框架的全局管理组件，用于调度各种Shiro框架的服务。

Realms：Realms则是用户的信息认证器和用户的权限人证器，我们需要自己来实现Realms来自定义的管理我们自己系统内部的权限规则。

PS:Authentication 和 Authorization
在shiro的用户权限认证过程中其通过两个方法来实现：
A、Authentication：是验证用户身份的过程。
B、Authorization：是授权访问控制，用于对用户进行的操作进行人证授权，证明该用户是否允许进行当前操作，如访问某个链接，某个资源文件等。

3、Shiro 的安装
Shiro 官网下载： shiro-all-1.2.0.jar、shiro-cas-1.2.0.jar（单点登录需要），及 SLF4J 官网下载 Shiro 依赖的日志组件 slf4j-api-1.6.1.jar。（JAR 包需要放置到 Web 工程 /WEB-INF/lib/ 目录）
下载链接：https://download.csdn.net/download/weixin_39309402/10771782
利用Maven管理：

     
            org.apache.shiro
            shiro-all
            1.2.5
    

        
            org.apache.shiro
            shiro-core
            1.2.5
        

        
            org.apache.shiro
            shiro-web
            1.2.5
        
        
            org.apache.shiro
            shiro-quartz
            1.2.5
        
        
            org.apache.shiro
            shiro-spring
            1.2.5
        

    
        org.slf4j
        slf4j-log4j12
        1.6.1
    
    
        org.slf4j
        slf4j-api
        1.6.1
    

4、web.xml 配置

 
  shiroFilter 
   
     org.springframework.web.filter.DelegatingFilterProxy 
   
 
 
  shiroFilter 
  /* 

5、 spring_shiro.xml配置

 
   
   
   
   
   
      
         
      
   
   
      
        /=anon 
        /login.do*=authc 
        /logout.do*=anon 
         
        # 权限配置示例
        /security/account/view.do=authc,perms[SECURITY_ACCOUNT_VIEW] 
         
        /** = authc 
      
   
 
 

        
        
        
        
        
        














        
          
       
           
              
              
              
              
              
           
       
    
    
    

6、log4j.properties配置文件：

log4j.rootLogger=INFO, stdout, 

log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m%n

链接：https://blog.csdn.net/qq_39874546/article/details/79081950#commentBox