今天完成的事情：

今天讲了小课堂，shiro的简单使用

大家好，我是IT修真院深圳分院第4期学员，一枚正直善良的JAVA程序员。

今天给大家分享一下，修真院官网JAVA任务10中，复盘项目部分的知识点——shiro的简单使用

一、背景介绍

    在任务5的时候，我们应任务要求曾经写过登录功能。但是我们的登录功能完全是自己实现的，但也就是简单的登录功能。因此今天介绍shiro框架，实现简单的登录、免登陆、权限管理

二、知识剖析

在使用shiro之前

Shiro不会去维护用户、维护权限；这些需要我们自己去设计/提供；然后通过相应的接口注入给Shiro即可。

也就是说，shiro只会给我们提供一个框架，比如在哪里验证账号密码、在哪里验证权限，但是不会给我们自动的验证账号密码是否正确、自动寻找权限，验证的逻辑全要我们自己来写

SecurityManager

安全管理器；即所有与安全有关的操作都会与SecurityManager交互；且它管理着所有Subject；可以看出它是Shiro的核心，它负责与后边介绍的其他组件进行交互

Subject

主体，代表了当前“用户”，这个用户不一定是一个具体的人，与当前应用交互的任何东西都是Subject，如网络爬虫，机器人等；即一个抽象概念；所有Subject都绑定到SecurityManager，与Subject的所有交互都会委托给SecurityManager；可以把Subject认为是一个门面；SecurityManager才是实际的执行者；

Realm

域，Shiro从从Realm获取安全数据（如用户、角色、权限），就是说SecurityManager要验证用户身份，那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法；也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作；可以把Realm看成DataSource，即安全数据源。

三、常见问题

Realm中Authentication和Authorization之间的区别

四、解决方案

Authentication：身份认证/登录，验证用户是不是拥有相应的身份；

Authorization：授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能做事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限；

总结：前者为登录验证，后者为权限验证

七、参考文献

ITEYE：http://jinnianshilongnian.iteye.com/blog/2018398 by张开涛

八、更多讨论

问：shiro的免登陆是怎么实现的？

答：是通过shiro的simpleCookie建造cookie，然后经过shiro的cookieManager进行加密、管理，然后cookieManager又securityManager进行交互写入数据，然后shiro框架判断这个cookie是否存在，而后验证，进行免登陆的实现

PPT链接：PPT

视频链接：视频

明天计划的事情：

整合shiro到后台

遇到的问题：

无

收获：

以上

进度：

项目预计demo时间：

2018.01.20

延期风险：暂无

禅道：http://task.ptteng.com/zentao/project-task-516-unclosed.html