realm

提到Shiro，不得不先介绍RBAC介绍 RBAC介绍： 　　RBAC是基于角色的访问控制（Role-Based Access Control ）在 RBAC 中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的，权限赋予给角色，而把角色又赋予用户，这样的权限设计很清楚，管理起来很方便。 在RBAC模型里面，有3个基础组成部分，分别是：用户、角色和权限。 RBAC通过定义角色的权限，并对用户授予某个角色从而来控制用户的权限，实现了用户和权限的逻辑分离，极大地方便了权限的管理，在讲解之前，先介绍一些名词： User（用户）：每个用户都有唯一的UID识别，并被授予不同的角色 Role（角色）：不同角色具有不同的权限 Permission（权限）：访问权限 用户-角色映射：用户和角色之间的映射关系 角色-权限映射：角色和权限之间的映射 权限管理：（包含两部分：用户认证，用户授权） 　　只要有用户参与的管理系统一般都有权限管理，权限管理实现对用户访问系统的控制，按照安全规则实现用户可以访问自己被授权的资源。 用户认证: 关键对象： subject：主体，理解为用户,可能是程序，都要去访问系统的资源，系统需要对subject进行身份认证。 principal：身份信息，通常是唯一的，一个主体还有多个身份信息

Shiro 框架介绍 Subject(主体) shiro中是一个接口，接口中定义了很多认证授权相关的方法 通过安全管理器进行认证和授权。 SecuritManager(安全管理器) 它是shiro的核心 负责对所有的subject进行安全管理。 通过SecuritManager可以完成subject的认证、授权等操作。 SecurityManager通过Authenticator进行认证，通过Autuhrizer进行授权，通过SessionManager进行会话管理。 SecuritManager是一个接口，继承了Authenticator、Authorizer、SessionManager这三个接口。 Authenticator(认证器) 对主体进行认证 Autuhrizer(授权器) 用户通过认证器认证通过，在访问功能时通过授权器判断用户是否有此功能的操作权限。 Realm SecuritManager进行安全认证需要通过Realm获取用户权限数据 Realm也是一个接口，有多种实现： 1 、将用户的权限信息写到配置文件 2 、将用户的权限信息存储到数据库 Realm 从配置文件或者数据库等读取用户的权限信息 SessionManager(会话管理器) shiro框架定义了一套会话管理，它不依赖web容器的session 所以shiro可以使用在非web应用上