Shiro核心概念

什么是权限管理

权限管理就是实现对用户访问系统的资源进行控制，用户可以访问而且只能访问自己被授权的资源，只要有用户和密码的系统，权限管理几乎都会出现，举例，给张三赋予 “人力资源经理” 的角色，“人力资源经理” 具有 “查询员工”、“添加员工”、“修改员工” 和 “删除员工” 的权限。此时张三能够进入系统，则只可以进行这些操作。

在此建议Shiro可以适当的看看不必深究，现在都是使用Spring security or Sa-Token

权限管理

认证

访问需要授权的系统资源，用户首先需要经过身份认证，也就是判断一个用户是否为合法的用户的处理过程。

授权

认证通过之后，在看看该用户具有哪些权限，就是可以访问的资源范围，控制能够访问哪些资源的一个过程。

Shiro概述

Apache Shiro 是 Java 的一个安全框架，Shiro 是一个强大的简单易用的 Java安全框架，主要用来更便捷的 认证、授权、加密、会话管理、与 Web集成、缓存等，Shiro 使用起来体积小而简单，Spring 中有一个 Spring Security，也是一个权限框架，它和 Spring 依赖过于紧密，没有 Shiro 使用简单，相对比 Spring Security 难一点，Shiro 不依赖于 Spring，Shiro 不仅可以实现 Web应用的权限管理，还可以实现 C/S 系统的权限管理，分布式系统的权限管理，Shiro 属于轻量级的框架，越来越多企业项目开始使用Shiro 来作为自己系统的安全框架了。

核心类

整体类图如下图所示：

主要概念

Subject

当前的操作用户，可以是人，爬虫，当前正在跟软件交互的东西，在 Shiro 当中我们可以统称 Subject 为 "用户" 在代码的任何地方，你都能轻易的获得 Shiro Subject，一旦获得 Subject，你就可以立即获得你希望用 Shiro 为当前用户做的 90% 的事情，也就是说你就可以使用 Shiro 为当前的用户做 90% 的事情了，登录、退出、访问会话、执行授权检查等。

SecurityManager

SecurityManager 则管理所有用户的安全操作，引用了多个内部嵌套的安全组件，是 Shiro 框架的核心，你可以把它看成是一个 DispatcherServlet 前端控制器，用于调度各种 Shiro 框架的服务

Realms

Realms 则是用户的信息认证器和用户的权限认证器，执行认证（登录）和授权（访问控制）时，Shiro 会从应用配置的 Realm 中查找很多内容，Realm 可以理解为读取用户信息、角色及权限的 DAO，SecurityManager 要验证用户的身份与权限，那么它需要从 Realm 中获取相应的信息进行比较来确定用户的身份是否合法，可以把 Realm 看成 DataSource，安全数据源。

Shiro的架构

最后

本期结束咱们下次再见👋~

🌊 关注我不迷路，如果本篇文章对你有所帮助，或者你有什么疑问，欢迎在评论区留言，我一般看到都会回复的。大家点赞支持一下哟~ 💗

我正在参与2023腾讯技术创作特训营第三期有奖征文，组队打卡瓜分大奖！