Shiro安全框架

什么是Shiro

　　shiro是一个强大易用的java的安全框架，执行身份校验，受权，密码和会话管理。

　　使用shiro的API。能够轻松的快速的得到任何应用程序，从最小移动程序到最大的网络和企业应用程序。

　　shiro的首要目标就是易于理解和使用，安全有时候是很复杂的，甚至是痛苦的，可是没有必要这样。

　　框架的做用就是尽量的掩盖复杂的地方，暴露出能够直接使用的直观的API，来简化开发人员在使用应用程序安全上的努力，如下是Apache Shiro能够帮我作到的事

　　1.验证用户核实他们的身份

　　2.对用户执行访问控制，如

　　　　①判断用户是否被赋予一个肯定安全的角色

　　　　②判断用户是否被容许作某件事

　　3.在任何环境下使用Session API,即便没有Web和EJB容器

　　4.在身份验证，访问控制期间或在会话的生命周期，对事件作出反应

　　5，汇集一个或者多个安全数据的数据源，并做为一个单一的复合用户"视图"

　　6.启用单点登陆（SSO）功能

　　7，为没有关联到登陆的用户启用"Remeber Me"功能

Shiro与Spring Security的对比：

shiro：

shiro较之于Spring Security，shiro在保持强大功能的同时，还在简单性和灵活性方面拥有巨大的优点。

　　1.易于理解的Java Security API;

　　2.简单的身份认证(登陆)，支持多种数据(LDAP,JDBC,Kerberos,ActiveDirectory);

　　3.对角色的简单签权 (访问控制),支持细粒度访问签权；

　　4.支持一级缓存，能够提高应用程序的性能

　　5.内置的基于POJO企业会话管理，适用于Web以及非Web的环境

　　6.异构客户端会话访问

　　7.很是简单的加密API（MD5加密）

　　8.不和任何框架或者容器绑定，能够独立运行

Spring Security：

 

除了不能脱离spring，shiro的功能他都有，并且Spring Security对Oauth，OpenID也有支持，shiro则须要本身手动实现，Spring Security的权限细粒度更高

Shiro的功能模块：

Shiro能够很是容易的开发出足够好的应用，其不只能够用在java SE环境，也能够在javaEE 环境，Shiro能够帮助咱们完成：认证，受权，加密，会话管理，与Web集成，缓存等。

原文出处：https://www.cnblogs.com/ketty/p/12100485.html