受权

受权须要了解的几个关键对象：主体（subject）、资源（resource）、权限（permission）、角色（role）。

1. 主体：即问应用的用户，在shiro中使用subject表明该用户。用户只要受权后才容许访问相应的资源。

2.资源：在应用中用户能够访问的如何东西，用户只有受权后才能访问。

3.权限：安全策略中的原受权单位，经过权限咱们能够表示在应用中用户有没有操做某个资源的权利，不反映谁去执行这个操做。

4.角色：表明了操做集合，能够理解为权限的集合，通常状况下咱们会赋予用户角色而不是权限，即这样用户能够拥有一组权限，赋予权限是比较方便。

对于Subject咱们通常这么使用：

一、身份验证（login） 二、受权（hasRole*/isPermitted*或checkRole*/checkPermission*） 三、将相应的数据存储到会话（Session） 四、切换身份（RunAs）/多线程身份传播 五、退出

url模式使用Ant风格模式

Ant路径通配符支持?、*、**，注意通配符匹配不包括目录分隔符“/”： ?：匹配一个字符，如”/admin?”将匹配/admin1，但不匹配/admin 或/admin2； *：匹配零个或多个字符串，如/admin*将匹配/admin、/admin123，但不匹配/admin/1； **：匹配路径中的零个或多个路径，如/admin/**将匹配/admin/a或/admin/a/b。

会话

所谓会话，即用户访问应用时保持的链接关系，在屡次交互中应用可以识别出当前访问的
用户是谁，且能够在屡次交互中保存一些数据。如访问一些网站时登陆成功后，网站能够
记住用户，且在退出以前均可以识别当前用户是谁。