Shiro作为应用权限关键，Shiro权限控制实战教程你Get到了吗

Apache Shiro是Java的一个安全框架。目前，使用Apache Shiro的人越来越多，因为它相当简单，对比Spring Security，可能没有Spring Security做的功能强大，但是在实际工作时可能并不需要那么复杂的东西，那么Shiro权限控制实战教程在哪里能看到呢？所以使用小而简单的Shiro就足够了。对于它俩到底哪个好，这个不必纠结，能更简单的解决项目问题就好了。

介绍基本的Shiro使用，不会过多分析源码等，重在使用。

Shiro可以非常容易的开发出足够好的应用，其不仅可以用在JavaSE环境，也可以用在JavaEE环境。Shiro可以帮助我们完成：认证、授权、加密、会话管理、与Web集成、缓存等。这不就是我们想要的嘛，而且Shiro的API也是非常简单；其基本功能点如下图所示：

从上图可以看出，Shiro权限控制实战教程包含的内容很丰富，Shiro权限控制也是主要四个组件发挥了作用：

SecurityManager

典型的 Facade，Shiro 通过它对外提供安全管理的各种服务。

Authenticator

对“Who are you ？”进行核实。通常涉及用户名和密码。

这个组件负责收集 principals 和 credentials，并将它们提交给应用系统。如果提交的 credentials 跟应用系统中提供的 credentials 吻合，就能够继续访问，否则需要重新提交 principals和 credentials，或者直接终止访问。

Authorizer

身份份验证通过后，由这个组件对登录人员进行访问控制的筛查，比如“who can do what”， Shiro权限控制实战教程也是阐明了观点，或者“who can do which actions”。Shiro 采用“基于 Realm”的方法，即用户（又称Subject）、用户组、角色和 permission 的聚合体。

Session Manager

这个组件保证了异构客户端的访问，配置简单。它是基于 POJO/J2SE 的，不跟任何的客户端或者协议绑定。

Shiro 的认证和签权可以通过 JDBC、LDAP 或者 Active Directory 来访问数据库、目录服务器或者 Active Directory 中的人员以及认证 / 签权信息。SessionManager 通过会话 DAO 可以将会话保存在 cache 中，或者固化到数据库或文件系统中。