本文介紹了Shrio安全框架的基礎概念，帶你初步認識了解Shrio安全框架，一起學習，共同進步

一.Shrio概念介紹

• Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼和會話管理。使用Shiro的易于理解的API,您可以快速、輕松地獲得任何應用程序,從最小的移動應用程序到最大的網絡和企業應用程序。

二.應用場景

• 目前，使用 Apache Shiro 的人越來越多，因為它相當簡單，對比 Spring Security，可能沒有Spring Security 做的功能強大，但是在實際工作時可能并不需要那么復雜的東西，所以使用小而簡單的 Shiro 就足夠了。
• Shiro 可以幫助我們完成：認證、授權、加密、會話管理、與 Web 集成、緩存等。這不就是我們想要的嘛，而且 Shiro 的 API 也是非常簡單；

三.基本功能介紹

• Authentication：身份認證 / 登錄，驗證用戶是不是擁有相應的身份；
• Authorization：授權，即權限驗證，驗證某個已認證的用戶是否擁有某個權限；即判斷用戶是否能做事情，常見的如：驗證某個用戶是否擁有某個角色。或者細粒度的驗證某個用戶對某個資源是否具有某個權限；
• Session Manager：會話管理，即用戶登錄后就是一次會話，在沒有退出之前，它的所有信息都在會話中；會話可以是普通 JavaSE 環境的，也可以是如 Web 環境的；
• Cryptography：加密，保護數據的安全性，如密碼加密存儲到數據庫，而不是明文存儲；
• Web Support：Web 支持，可以非常容易的集成到 Web 環境；
• Caching：緩存，比如用戶登錄后，其用戶信息、擁有的角色 / 權限不必每次去查，這樣可以提高效率；
• Concurrency：shiro 支持多線程應用的并發驗證，即如在一個線程中開啟另一個線程，能把權限自動傳播過去；
• Testing：提供測試支持；
• Run As：允許一個用戶假裝為另一個用戶（如果他們允許）的身份進行訪問；
• Remember Me：記住我，這個是非常常見的功能，即一次登錄后，下次再來的話不用登錄了。

 //身份驗證相關代碼
 @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //1.從token中獲取用戶名
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        String password = new String(token.getPassword());

        //2.根據用戶名查詢數據庫（UserDAO）,得到一個User對象
        User user = userDAO.queryUserByAccount(username);
        if (user == null) {
            throw new UnknownAccountException("帳號不存在！");
        } else {
            //用戶存在則驗證密碼
            String md5Pwd = new SimpleHash("MD5", password).toHex();
            if (!user.getPassword().equals(md5Pwd)) {
                throw new IncorrectCredentialsException("密碼錯誤！");
            }
        }
        //                                   Object   String   String
        return new SimpleAuthenticationInfo(user, password, getName());

    }

• Shiro 不會去維護用戶、維護權限；這些需要我們自己去設計 / 提供；然后通過相應的接口注入給 Shiro 即可。

四.核心組件

• 三個核心組件：Subject, SecurityManager 和 Realms.
• Subject：即“當前操作用戶”。但是，在Shiro中，Subject這一概念并不僅僅指人，也可以是第三方進程、后臺帳戶（Daemon Account）或其他類似事物。它僅僅意味著“當前跟軟件交互的東西”。Subject代表了當前用戶的安全操作，SecurityManager則管理所有用戶的安全操作。
• SecurityManager：它是Shiro框架的核心,Shiro通過SecurityManager來管理內部組件實例，并通過它來提供安全管理的各種服務。
• Realm：
• ①Realm充當了Shiro與應用安全數據間的“橋梁”或者“連接器”。也就是說，當對用戶執行認證（登錄）和授權（訪問控制）驗證時，Shiro會從應用配置的Realm中查找用戶及其權限信息。
• ②從這個意義上講，Realm實質上是一個安全相關的DAO：它封裝了數據源的連接細節，并在需要時將相關數據提供給Shiro。當配置Shiro時，你必須至少指定一個Realm，用于認證和（或）授權。配置多個Realm是可以的，但是至少需要一個。
• ③Shiro內置了可以連接大量安全數據源（又名目錄）的Realm，如LDAP、關系數據庫（JDBC）、類似INI的文本配置資源以及屬性文件等。如果缺省的Realm不能滿足需求，你還可以插入代表自定義數據源的自己的Realm實現。

• Invest in yourself while you’re young
  
• 2020.03.17 來自辰兮的第30篇博客