本文共 2171 字，大约阅读时间需要 7 分钟。

Apache Shiro是一个强大而灵活的开源安全框架，它能够干净利落地处理身份认证，授权，企业会话管理和加密。

以下是你可以用 ApacheShiro所做的事情：

·   判断用户是否拥有角色admin。

    判断用户是否拥有访问的权限

Shiro的4大部分——身份验证，授权，会话管理和加密

除了以上功能，shiro还提供很多扩展

Subject：

Subject 是与程序进行交互的对象，可以是人也可以是服务或者其他，通常就理解为用户。

所有Subject实例都必须绑定到一个SecurityManager上。我们与一个 Subject 交互，运行时shiro会自动转化为与SecurityManager交互的特定 subject的交互。

SecurityManager：

SecurityManager是 Shiro的核心，初始化时协调各个模块运行。然而，一旦 SecurityManager协调完毕，SecurityManager会被单独留下，且我们只需要去操作Subject即可，无需操作SecurityManager。 但是我们得知道，当我们正与一个 Subject 进行交互时，实质上是SecurityManager在处理 Subject 安全操作。

Realms：

Realms在 Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。他获取安全数据来判断subject是否能够登录，subject拥有什么权限。他有点类似DAO。在配置realms时，需要至少一个realm。而且Shiro提供了一些常用的 Realms来连接数据源，如LDAP数据源的JndiLdapRealm，JDBC数据源的JdbcRealm，ini文件数据源的IniRealm，properties文件数据源的PropertiesRealm，等等。我们也可以插入自己的 Realm实现来代表自定义的数据源。像其他组件一样，Realms也是由SecurityManager控制

1.Subject(org.apache.shiro.subject.Subject):

简称用户

2.SecurityManager(org.apache.shiro.mgt.SecurityManager)

如上所述，SecurityManager是shiro的核心，协调shiro的各个组件

3.Authenticator(org.apache.shiro.authc.Authenticator)：

登录控制

注：AuthenticationStrategy

(org.apache.shiro.authc.pam.AuthenticationStrategy)

如果存在多个 realm ，则接口 AuthenticationStrategy 会确定什么样算是登录成功（例如，如果一个 Realm 成功，而其他的均失败，是否登录成功？）

4.Authorizer(org.apache.shiro.authz.Authorizer) ：

决定subject能拥有什么样角色或者权限。

5.SessionManager(org.apache.shiro.session.SessionManager) ：

创建和管理用户session。通过设置这个管理器，shiro可以在任何环境下使用session。

6.CacheManager(org.apahce.shiro.cache.CacheManager) ：

缓存管理器，可以减少不必要的后台访问。提高应用效率，增加用户体验。

7.Cryptography(org.apache.shiro.crypto.*) :

Shiro的api大幅度简化javaapi中繁琐的密码加密。

8.Realms(org.apache.shiro.realm.Realm) ：

程序与安全数据的桥梁