Java的安全框架数得着的有 Apache Shiro 一个,当然还有大名鼎鼎的 Spring Security ,从规模上讲, Shiro 更加简单,而且也满足大多数的需求,所以被使用的频率更高一些.
Shiro 可以做到的事情主要是:

• 认证
• 授权
• 加密
• 会话管理
• Web集成
• 缓存
  
  层次架构
  
  Authentication : 身份认证,验证用户是不是有相应的身份
  Authorization : 授权,权限的认证,验证某一个用户是否拥有某个权限
  Session Manager : 会话管理,用户登录之后就是一次会话,在退出之前,用户的信息也都是在会话中保存的
  Cryptography : 加密,数据是不是安全,密码需要加密存储
  Web Support : 可以集成到Web环境
  Concurrency : 并发多线程的支持,在一个线程中开启另一个,权限也会相应传播
  Testing : 提供测试的支持
  Run As : 用户之间身份的假装
  Remember Me : 记住我,一次登录成功之后不再需要再次登录
  重点 : Shiro 本身并没有角色权限等信息,需要自己设计提供,然后注入到框架中
  那么到底怎么使用 Shiro ?怎么在自己的项目里整合?
  先从使用的角度看看都有哪一些类会在应用程序的代码里用到 :
  
  使用
  
  主要的交互就是使用subject对象来进行的:
  Subject : 所谓的主体,也就是抽象的用户概念,系统的访问者
  Security Manager : 具体的操作执行都是在这个类,安全管理器
  Realm : 存储安全数据的, 具体的角色权限都是用这个表示
• 我们直面的操作都是 subject, 但是 subject 的背后是security manager 来具体掌控
• realm 需要自己注入,也就是规则要实现确定下来, 管理器才好判断具体的权限规则
  再次重点 : Shiro 里面本身没有权限规则,需要自己注入
  Shiro 本身的内部架构:
  
  内部架构
  
  Subject : 主体, 交互的用户
  Security Manager : 安全管理器,看着就是最大的,也就是最重要的吧,Shiro 的中心,什么都是他来执行
  Authenticator : 认证, 可以自定义认证的策略,就是怎么样算是认证通过了
  Authorizer : 授权, 决定权限是不是授予
  Realm : 安全数据, 安全实体,需要用户自己来实现
  Session Manager : 会话管理,只要是Web肯定都是需要管理会话的
  Session DAO : 存在数据库的会话信息, 访问需要一个中间层
  Cache Manager : 缓存, 很少更改的信息,比如安全的规则数据,就可以放在缓存里面,访问就会快很多了
  Cryptography : 加密解密模块