摘要：大家好，今天給大家分享一個(gè)權(quán)限管理的框架的，說(shuō)實(shí)話本來(lái)我是準(zhǔn)備看的，畢竟是家族的框架，和整合更加容易一些。官方給出的介紹是是一個(gè)強(qiáng)大且易用的安全框架執(zhí)行身份驗(yàn)證授權(quán)密碼學(xué)和會(huì)話管理。由此可知，的主要功能是認(rèn)證授權(quán)加密密和會(huì)話管理。

大家好，今天給大家分享一個(gè)權(quán)限管理的框架Apache的Shiro，說(shuō)實(shí)話本來(lái)我是準(zhǔn)備看Spring Security的，畢竟是Spring家族的框架，和Spring整合更加容易一些。不過(guò)后來(lái)發(fā)現(xiàn)公司的項(xiàng)目使用的是Apache的Shiro，本著學(xué)以致用的原則，就先學(xué)Shiro，等以后有機(jī)會(huì)了Spring Security的還是會(huì)分享給大家的。

在寫(xiě)這篇博客的時(shí)候我刪刪寫(xiě)寫(xiě)修改了很多次，最終還是決定不再長(zhǎng)篇大論的給大家寫(xiě)一些理論性的知識(shí)，一方面，這些東西在網(wǎng)上一搜到處都是；另一方面，及即使我寫(xiě)，也不一定有大牛們寫(xiě)的好。所以，我決定只分享一些我在學(xué)習(xí)過(guò)程中的一些感受，大家如果需要系統(tǒng)的學(xué)習(xí)Shiro我給大家推薦兩個(gè)地方：

官方網(wǎng)站；

張開(kāi)濤老師的《跟我學(xué)Shiro》

我學(xué)習(xí)的是時(shí)候也是根據(jù)張老師的書(shū)學(xué)習(xí)的，在這里首先要感謝張老師的無(wú)私奉獻(xiàn)。

Shiro是Apache出品的一套安全框架。官方給出的介紹是：

Apache Shiro?是一個(gè)強(qiáng)大且易用的Java安全框架,執(zhí)行身份驗(yàn)證、授權(quán)、密碼學(xué)和會(huì)話管理。使用Shiro易于理解的API，您可以快速輕松地保護(hù)任何應(yīng)用程序——從最小的移動(dòng)應(yīng)用程序到最大的web和企業(yè)應(yīng)用程序。

由此可知，Shiro的主要功能是 認(rèn)證、授權(quán)、加密密和會(huì)話管理。

對(duì)比Spring Security，它相當(dāng)簡(jiǎn)單，在實(shí)際工作時(shí)我們要根據(jù)自己的需求做選擇，所以有時(shí)候使用小而簡(jiǎn)單的Shiro就足夠了。像我這次跟的項(xiàng)目使用的就是Shiro，它的特點(diǎn)呢，在我看來(lái)最主要可以分為以下幾點(diǎn)：

它把用戶稱為Subject，對(duì)用戶的認(rèn)證、授權(quán)其實(shí)都是對(duì)Subject的操作。

Shiro不依賴于Spring框架，SecurityManager對(duì)Session的管理在Web環(huán)境和JavaSE的環(huán)境下都可以使用。在Web環(huán)境下就不說(shuō)了它管理的是HttpSession，而在JavaSE的環(huán)境下，它有一個(gè)自帶的Session可以使用，并且HttpSession和Shiro的Session是可以互通的，比如說(shuō)我們?cè)诳刂茖又邢駍ession中放入屬性，正常情況下在業(yè)務(wù)層想要獲取是不太方便的，如果有了Shiro，我們可以直接從Shiro的Session中獲取HttpSession中存放的屬性，十分的方便。