shiro的学习笔记

 1、shiro的原理：

      shiro是一个安全框架，主要功能有认证 - 用户身份识别，授权 - 访问控制，密码加密 - 保护或隐藏数据防止被偷窥，会话管理 - 每用户相关的时间敏感的状态，一般登录过程中都需要记住某某用户登录的信息，判断某某用户是否已经登录，登录过的才可以访问主页信息，用户需要认证且查询它是否拥有哪些权限访问页面，保存用户的密码在数据库最好是应该是密文方式存储，这样，密码就算被窃取也不至于被泄露。而shrio这个框架就是通过这些功能所封装的，更确切的说它应该是一个登陆验证框架。

    shrio的使用：

    Subject：即当前用户，需要闯入登陆的账号密码，给它验证，验证通过后才可操作这个用户

    SecurityManager：安全管理器，subject验证调用login(token)就是调用了这个对象去对底层进行身份的认证和权限的管理的。它是shiro的核心。

    Realm：要认证肯定得有数据进行认证，而这些数据往往是存放在数据库的，realm就是与数据库dao交互的一道桥梁，它能够将查询的dao信息交给底层让它与当前登录的用户账号密码进项认证。

   与spring整合使用：在web.xml配置文件如下:

<!-- apache shiro权限 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>*.do</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
</filter-mapping>

     <context-param>
<param-name>contextConfigLocation</param-name>
<param-value>spring-shiro.xml</param-value>
</context-param>

     可通过管理spring-shiro.xml使用shiro。

    以上使自己在学习使用的过程中记下的心得，希望大家一起学习进步。