這篇文章是我最近對SpringBoot+Shiro+mybatis+redis一個練手項目的記錄。

我是按照慕課網的一篇課程+百度進行練手的

慕課課程

練手項目Github地址

跟著開濤學Shiro

首先，先講一下Shiro的主要兩個功能。Authentication（認證）和Authorization（授權）。不光英文看起來像，中文名字看起來意思也相近。我舉個通俗的例子：我們登錄某寶，我們的賬號密碼就是認證，確認你是否能登錄。我們登錄后，我們是否有某寶會員，還是高級會員，還是最新的88vip，這些就是授權，確認你是否有這些權利。

Authentication是Who u are，Authorization是What can u do。

接下來我們講一下solr的幾個重點模塊：

1.Subject

主體，代表了當前“用戶”，一般通過Subject來進行認證和授權。

2.SecurityManager

安全管理器，我們代碼通過Subject來進行認證和授權，而Subject又會委托SecurityManager來處理請求。

3.Realm

同時，我們需要給SecurityManager注入Realm，從而讓SecurityManager能得到合法的用戶極其權限進行判斷。我們也可以從中看出。Shiro不提供如何認證或權限，而是通過Realm讓開發人員自己編寫規則注入。

我們來從Shiro內部來看一下Shiro的架構

Subject：主體，可以看到主體可以是任何可以與應用交互的 “用戶”；

SecurityManager：相當于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher；是 Shiro 的心臟；所有具體的交互都通過 SecurityManager 進行控制；它管理著所有 Subject、且負責進行認證和授權、及會話、緩存的管理。

Authenticator：認證器，負責主體認證的，這是一個擴展點，如果用戶覺得 Shiro 默認的不好，可以自定義實現；其需要認證策略（Authentication Strategy），即什么情況下算用戶認證通過了；

Authrizer：授權器，或者訪問控制器，用來決定主體是否有權限進行相應的操作；即控制著用戶能訪問應用中的哪些功能；

Realm：可以有 1 個或多個 Realm，可以認為是安全實體數據源，即用于獲取安全實體的；可以是 JDBC 實現，也可以是 LDAP 實現，或者內存實現等等；由用戶提供；注意：Shiro 不知道你的用戶 / 權限存儲在哪及以何種格式存儲；所以我們一般在應用中都需要實現自己的 Realm；

SessionManager：如果寫過 Servlet 就應該知道 Session 的概念，Session 呢需要有人去管理它的生命周期，這個組件就是 SessionManager；而 Shiro 并不僅僅可以用在 Web 環境，也可以用在如普通的 JavaSE 環境、EJB 等環境；所有呢，Shiro 就抽象了一個自己的 Session 來管理主體與應用之間交互的數據；這樣的話，比如我們在 Web 環境用，剛開始是一臺 Web 服務器；接著又上了臺 EJB 服務器；這時想把兩臺服務器的會話數據放到一個地方，這個時候就可以實現自己的分布式會話（如把數據放到 Memcached 服務器）；

SessionDAO：DAO 大家都用過，數據訪問對象，用于會話的 CRUD，比如我們想把 Session 保存到數據庫，那么可以實現自己的 SessionDAO，通過如 JDBC 寫到數據庫；比如想把 Session 放到 Memcached 中，可以實現自己的 Memcached SessionDAO；另外 SessionDAO 中可以使用 Cache 進行緩存，以提高性能；

CacheManager：緩存控制器，來管理如用戶、角色、權限等的緩存的；因為這些數據基本上很少去改變，放到緩存中后可以提高訪問的性能

Cryptography：密碼模塊，Shiro 提高了一些常見的加密組件用于如密碼加密 / 解密的。

到此 Shiro 架構及其組件就認識完了，接下來挨著學習 Shiro 的組件吧。

總結

以上是生活随笔為你收集整理的SpringBoot+Shiro学习（一）：主要模块介绍的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。