Shiro權限管理（一）——介紹

你們好，今天給你們分享一個權限管理的框架Apache的Shiro，說實話原本我是準備看Spring Security的，畢竟是Spring家族的框架，和Spring整合更加容易一些。不事後來發現公司的項目使用的是Apache的Shiro，本着學以至用的原則，就先學Shiro，等之後有機會了Spring Security的仍是會分享給你們的。

前言

在寫這篇博客的時候我刪刪寫寫修改了不少次，最終仍是決定再也不長篇大論的給你們寫一些理論性的知識，一方面，這些東西在網上一搜處處都是；另外一方面，及即便我寫，也不必定有大牛們寫的好。因此，我決定只分享一些我在學習過程當中的一些感覺，你們若是須要系統的學習Shiro我給你們推薦兩個地方：

1. 官方網站；
2. 張開濤老師的《跟我學Shiro》

我學習的是時候也是根據張老師的書學習的，在這裏首先要感謝張老師的無私奉獻。

Shiro 簡介

Shiro是Apache出品的一套安全框架。官方給出的介紹是：

Apache Shiro™是一個強大且易用的Java安全框架,執行身份驗證、受權、密碼學和會話管理。使用Shiro易於理解的API，您能夠快速輕鬆地保護任何應用程序——從最小的移動應用程序到最大的web和企業應用程序。

由此可知，Shiro的主要功能是 認證、受權、加密密和會話管理。

Shiro 特色

對比Spring Security，它至關簡單，在實際工做時咱們要根據本身的需求作選擇，因此有時候使用小而簡單的Shiro就足夠了。像我此次跟的項目使用的就是Shiro，它的特色呢，在我看來最主要能夠分爲如下幾點：

1. 它把用戶稱爲Subject，對用戶的認證、受權其實都是對Subject的操做。
2. Shiro不依賴於Spring框架，SecurityManager對Session的管理在Web環境和JavaSE的環境下均可以使用。在Web環境下就不說了它管理的是HttpSession，而在JavaSE的環境下，它有一個自帶的Session可使用，而且HttpSession和Shiro的Session是能夠互通的，好比說咱們在控制層中像session中放入屬性，正常狀況下在業務層想要獲取是不太方便的，若是有了Shiro，咱們能夠直接從Shiro的Session中獲取HttpSession中存放的屬性，十分的方便。