Shiro 可以非常容易的開發(fā)出足夠好的應(yīng)用，其不僅可以用在 JavaSE 環(huán)境，也可以用在JavaEE 環(huán)境。Shiro 可以幫助我們完成：認(rèn)證、授權(quán)、加密、會(huì)話管理、與 Web 集成、緩存等。

1. Authentication：身份認(rèn)證/登錄，驗(yàn)證用戶是不是擁有相應(yīng)的身份；

2. Authorization：授權(quán)，即權(quán)限驗(yàn)證，驗(yàn)證某個(gè)已認(rèn)證的用戶是否擁有某個(gè)權(quán)限；即判斷用戶是否能做事情，常見的如：驗(yàn)證某個(gè)用戶是否擁有某個(gè)角色。或者細(xì)粒度的驗(yàn)證某個(gè)用戶對(duì)某個(gè)資源是否具有某個(gè)權(quán)限；

3. Session Manager：會(huì)話管理，即用戶登錄后就是一次會(huì)話，在沒有退出之前，它的所有信息都在會(huì)話中；會(huì)話可以是普通JavaSE 環(huán)境的，也可以是如 Web 環(huán)境的；

4. Cryptography：加密，保護(hù)數(shù)據(jù)的安全性，如密碼加密存儲(chǔ)到數(shù)據(jù)庫，而不是明文存儲(chǔ)；

5. Web Support：Web 支持，可以非常容易的集成到 Web 環(huán)境；

6. Caching：緩存，比如用戶登錄后，其用戶信息、擁有的角色/權(quán)限不必每次去查，這樣可以提高效率；

7. Concurrency：shiro 支持多線程應(yīng)用的并發(fā)驗(yàn)證，即如在一個(gè)線程中開啟另一個(gè)線程，能把權(quán)限自動(dòng)傳播過去；

8. Testing：提供測(cè)試支持；

9. Run As：允許一個(gè)用戶假裝為另一個(gè)用戶（如果他們?cè)试S）的身份進(jìn)行訪問；

10. Remember Me：記住我，這個(gè)是非常常見的功能，即一次登錄后，下次再來的話不用登錄了。

注：Shiro 不會(huì)去維護(hù)用戶、維護(hù)權(quán)限；這些需要我們自己去設(shè)計(jì)/提供；然后通過相應(yīng)的接口注入給 Shiro 即可。

從外部看，Shiro 中對(duì)外交互的API如下：

1. Subject：主體，代表了當(dāng)前“用戶”，這個(gè)用戶不一定是一個(gè)具體的人，與當(dāng)前應(yīng)用交互的任何東西都是 Subject，如網(wǎng)絡(luò)爬蟲，機(jī)器人等；即一個(gè)抽象概念；所有 Subject 都綁定到 SecurityManager，與 Subject 的所有交互都會(huì)委托給 SecurityManager；可以把 Subject 認(rèn)為是一個(gè)門面；SecurityManager 才是實(shí)際的執(zhí)行者；

2. SecurityManager：安全管理器；即所有與安全有關(guān)的操作都會(huì)與 SecurityManager 交互；且它管理著所有 Subject；可以看出它是 Shiro 的核心，它負(fù)責(zé)與后邊介紹的其他組件進(jìn)行交互，如果學(xué)習(xí)過 SpringMVC，你可以把它看成 DispatcherServlet 前端控制器；

3. Realm：域，Shiro 從從 Realm 獲取安全數(shù)據(jù)（如用戶、角色、權(quán)限），就是說 SecurityManager要驗(yàn)證用戶身份，那么它需要從 Realm 獲取相應(yīng)的用戶進(jìn)行比較以確定用戶身份是否合法；也需要從 Realm 得到用戶相應(yīng)的角色/權(quán)限進(jìn)行驗(yàn)證用戶是否能進(jìn)行操作；可以把 Realm 看成 DataSource，即安全數(shù)據(jù)源。

從內(nèi)部看，Shiro 中的架構(gòu)如下：

1. Subject：主體，可以看到主體可以是任何可以與應(yīng)用交互的“用戶”；

2. SecurityManager ： 相 當(dāng) 于 SpringMVC 中 的 DispatcherServlet 或 者 Struts2 中 的 FilterDispatcher；是 Shiro 的心臟；所有具體的交互都通過 SecurityManager 進(jìn)行控制；它管理著所有 Subject、且負(fù)責(zé)進(jìn)行認(rèn)證和授權(quán)、及會(huì)話、緩存的管理。

3. Authenticator：認(rèn)證器，負(fù)責(zé)主體認(rèn)證的，這是一個(gè)擴(kuò)展點(diǎn)，如果用戶覺得 Shiro 默認(rèn)的不好，可以自定義實(shí)現(xiàn)；其需要認(rèn)證策略（Authentication Strategy），即什么情況下算用戶認(rèn)證通過了；

4. Authrizer：授權(quán)器，或者訪問控制器，用來決定主體是否有權(quán)限進(jìn)行相應(yīng)的操作；即控制著用戶能訪問應(yīng)用中的哪些功能；

5. Realm：可以有 1 個(gè)或多個(gè) Realm，可以認(rèn)為是安全實(shí)體數(shù)據(jù)源，即用于獲取安全實(shí)體的；可以是 JDBC 實(shí)現(xiàn)，也可以是 LDAP 實(shí)現(xiàn)，或者內(nèi)存實(shí)現(xiàn)等等；由用戶提供；注意：不知道你的用戶/權(quán)限存儲(chǔ)在哪及以何種格式存儲(chǔ)；所以我們一般在應(yīng)用中都需要實(shí)現(xiàn)自己的 Realm；

6. SessionManager：如果寫過 Servlet 就應(yīng)該知道 Session 的概念，Session 呢需要有人去管理它的生命周期，這個(gè)組件就是 SessionManager；而 Shiro 并不僅僅可以用在 Web 環(huán)境，也可以用在如普通的 JavaSE 環(huán)境、EJB 等環(huán)境；所有呢，Shiro 就抽象了一個(gè)自己的 Session來管理主體與應(yīng)用之間交互的數(shù)據(jù)；這樣的話，比如我們?cè)?Web 環(huán)境用，剛開始是一臺(tái)Web 服務(wù)器；接著又上了臺(tái) EJB 服務(wù)器；這時(shí)想把兩臺(tái)服務(wù)器的會(huì)話數(shù)據(jù)放到一個(gè)地方，這個(gè)時(shí)候就可以實(shí)現(xiàn)自己的分布式會(huì)話（如把數(shù)據(jù)放到 Memcached 服務(wù)器）；

7. SessionDAO：DAO 大家都用過，數(shù)據(jù)訪問對(duì)象，用于會(huì)話的 CRUD，比如我們想把 Session保存到數(shù)據(jù)庫，那么可以實(shí)現(xiàn)自己的 SessionDAO，通過如 JDBC 寫到數(shù)據(jù)庫；比如想把Session 放到 Memcached 中，可以實(shí)現(xiàn)自己的 Memcached SessionDAO；另外 SessionDAO中可以使用 Cache 進(jìn)行緩存，以提高性能；

8. CacheManager：緩存控制器，來管理如用戶、角色、權(quán)限等的緩存的；因?yàn)檫@些數(shù)據(jù)基本
   上很少去改變，放到緩存中后可以提高訪問的性能

9. Cryptography：密碼模塊，Shiro 提高了一些常見的加密組件用于如密碼加密/解密的。