权限管理

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。Shiro 可以非常容易的开发出足够好的应用，其不仅可以用在 JavaSE 环境，也可以用在 JavaEE 环境。

权限控制

RBAC(Role Based Access Control) :某个用户拥有什么角色,被允许做什么事情(权限)

用户登录—>分配角色---->(权限关联映射)---->鉴权(拥有什么什么权限)

基本上涉及到用户参与的系统都要进行权限管理，权限管理属于系统安全的范畴，权限管理实现对用户访问系统的控制，按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

权限管理包括用户身份认证和授权两部分，简称认证授权。对于需要访问控制的资源用户首先经过身份认证，认证通过后用户具有该资源的访问权限方可访问。

身份认证

身份认证，就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户的用户名和口令一致，来判断用户身份是否正确。对于采用指纹等系统，则出示指纹；对于硬件Key等刷卡系统，则需要刷卡。

授权

授权，即访问控制，控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源，对于某些资源没有权限是无法访问的

Shiro

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。Shiro 可以非常容易的开发出足够好的应用，其不仅可以用在 JavaSE 环境，也可以用在 JavaEE 环境。

架构

• Subject(用户) 当前的操作用户 获取当前用户Subject currentUser = SecurityUtils.getSubject()

• SecurityManager（安全管理） Shiro的核心,负责与其他组件进行交互,实现 subject 委托的各种功能

• Realms（数据源） Realm会查找相关数据源,充当与安全管理间的桥梁,经过Realm找到数据源进行认证,授权等操作

• Authenticator（认证器): 用于认证，从 Realm 数据源取得数据之后进行执行认证流程处理

• Authorizer（授权器) 用户访问控制授权，决定用户是否拥有执行指定操作的权限

• SessionManager（会话管理器） 支持会话管理

• CacheManager （缓存管理器) 用于缓存认证授权信息

• Cryptography（加密组件） 提供了加密解密的工具包

基本功能

1. Authorization（授权） 即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能做事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限

2. SessionManager（会话管理） 即用户登录后就是一次会话，在没有退出之前，它的所有信 息都在会话中；会话可以是普通JavaSE环境的，也可以是如Web环境的；

3. Cryptography 加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；

4. WebSupport Web 支持，可以非常容易的集成到Web 环境；

5. Caching 缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率；

6. Concurrency shiro 支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能 把权限自动传播过去；

7. Testing 提供测试支持；

8. Run As 允许一个用户假装为另一个用户（如果他们允许）的身份进行访问；

9. Remember Me 记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了。