Shiro权限管理（一）——介绍

你们好，今天给你们分享一个权限管理的框架Apache的Shiro，说实话原本我是准备看Spring Security的，毕竟是Spring家族的框架，和Spring整合更加容易一些。不事后来发现公司的项目使用的是Apache的Shiro，本着学以至用的原则，就先学Shiro，等之后有机会了Spring Security的仍是会分享给你们的。

前言

在写这篇博客的时候我删删写写修改了不少次，最终仍是决定再也不长篇大论的给你们写一些理论性的知识，一方面，这些东西在网上一搜处处都是；另外一方面，及即便我写，也不必定有大牛们写的好。因此，我决定只分享一些我在学习过程当中的一些感觉，你们若是须要系统的学习Shiro我给你们推荐两个地方：

1. 官方网站；
2. 张开涛老师的《跟我学Shiro》

我学习的是时候也是根据张老师的书学习的，在这里首先要感谢张老师的无私奉献。

Shiro 简介

Shiro是Apache出品的一套安全框架。官方给出的介绍是：

Apache Shiro™是一个强大且易用的Java安全框架,执行身份验证、受权、密码学和会话管理。使用Shiro易于理解的API，您能够快速轻松地保护任何应用程序——从最小的移动应用程序到最大的web和企业应用程序。

由此可知，Shiro的主要功能是 认证、受权、加密密和会话管理。

Shiro 特色

对比Spring Security，它至关简单，在实际工做时咱们要根据本身的需求作选择，因此有时候使用小而简单的Shiro就足够了。像我此次跟的项目使用的就是Shiro，它的特色呢，在我看来最主要能够分为如下几点：

1. 它把用户称为Subject，对用户的认证、受权其实都是对Subject的操做。
2. Shiro不依赖于Spring框架，SecurityManager对Session的管理在Web环境和JavaSE的环境下均可以使用。在Web环境下就不说了它管理的是HttpSession，而在JavaSE的环境下，它有一个自带的Session可使用，而且HttpSession和Shiro的Session是能够互通的，好比说咱们在控制层中像session中放入属性，正常状况下在业务层想要获取是不太方便的，若是有了Shiro，咱们能够直接从Shiro的Session中获取HttpSession中存放的属性，十分的方便。