受權

受權須要瞭解的幾個關鍵對象：主體（subject）、資源（resource）、權限（permission）、角色（role）。

1. 主體：即問應用的用戶，在shiro中使用subject表明該用戶。用戶只要受權後才容許訪問相應的資源。

2.資源：在應用中用戶能夠訪問的如何東西，用戶只有受權後才能訪問。

3.權限：安全策略中的原受權單位，經過權限咱們能夠表示在應用中用戶有沒有操做某個資源的權利，不反映誰去執行這個操做。

4.角色：表明了操做集合，能夠理解爲權限的集合，通常狀況下咱們會賦予用戶角色而不是權限，即這樣用戶能夠擁有一組權限，賦予權限是比較方便。

對於Subject咱們通常這麼使用：

一、身份驗證（login） 二、受權（hasRole*/isPermitted*或checkRole*/checkPermission*） 三、將相應的數據存儲到會話（Session） 四、切換身份（RunAs）/多線程身份傳播 五、退出

url模式使用Ant風格模式

Ant路徑通配符支持?、*、**，注意通配符匹配不包括目錄分隔符「/」： ?：匹配一個字符，如」/admin?」將匹配/admin1，但不匹配/admin 或/admin2； *：匹配零個或多個字符串，如/admin*將匹配/admin、/admin123，但不匹配/admin/1； **：匹配路徑中的零個或多個路徑，如/admin/**將匹配/admin/a或/admin/a/b。

會話

所謂會話，即用戶訪問應用時保持的鏈接關係，在屢次交互中應用可以識別出當前訪問的
用戶是誰，且能夠在屢次交互中保存一些數據。如訪問一些網站時登陸成功後，網站能夠
記住用戶，且在退出以前均可以識別當前用戶是誰。