简单易用的Apache shiro框架，以及复杂完整的springboot security安全框架

Posted 2020-11-05 hoanfir

Shiro是一个强大的简单的易用的Java安全框架。

实现认证、授权、加密、会话管理

primary concerns：Authentication、Authorization、Cryptography、Session Manager

supporting features：web support、caching缓存、concurrency并发、testing、Run as线程、remember me记住密码

---

Shiro主要架构

1. subject，当前参与应用安全部分的主角，可以是用户，或者第三方服务，或者cron任务（计划任务），或者其他。

主要表现为一个正在与当前软件交互的东西，所有subject都需要securityManager，因为这些交互行为都被转化为与SecurityManager的交互。

2. securityManager，安全管理员。

Shiro的核心。但是一旦配置了，使用比较少，开发者大部分时间花在subject上。

3. Realms领域，是shiro和用户的应用的连接桥。

当需要与安全数据交互的时候，像用户帐户、访问控制，shiro就从一个或多个realm中查找。

另外，shiro提供一些可以直接使用的realms，如果默认的realms不能满足你的需求，可以自定义。