1.最近接觸了Shiro這一安全的框架：
這可以幫我們完成：認證、授權、加密、會話管理、與Web整合、快取等。
Shiro可以基本功能分為如下：

Authentication：身份認證/登入，驗證使用者是不是擁有相應的身份；

Authorization：授權，即許可權驗證，驗證某個已認證的使用者是否擁有某個許可權；即判斷使用者是否能做事情，常見的如：驗證某個使用者是否擁有某個角色。或者細粒度的驗證某個使用者對某個資源是否具有某個許可權；
Session Manager：會話管理，即使用者登入後就是一次會話，在沒有退出之前，它的所有資訊都在會話中；會話可以是普通JavaSE環境的，也可以是如Web環境的；
Cryptography：

加密，保護資料的安全性，如密碼加密儲存到資料庫，而不是明文儲存；
**Web Support：**Web支援，可以非常容易的整合到Web環境；
Caching：快取，比如使用者登入後，其使用者資訊、擁有的角色/許可權不必每次去查，這樣可以提高效率；
**Concurrency：**shiro支援多執行緒應用的併發驗證，即如在一個執行緒中開啟另一個執行緒，能把許可權自動傳播過去；
Testing：提供測試支援；
Run As：允許一個使用者假裝為另一個使用者（如果他們允許）的身份進行訪問；
Remember Me：記住我，這個是非常常見的功能，即一次登入後，下次再來的話不用登入了。授權，即許可權驗證，驗證某個已認證的使用者是否擁有某個許可權；即判斷使用者是否能做事情，常見的如：驗證某個使用者是否擁有某個角色。或者細粒度的驗證某個使用者對某個資源是否具有某個許可權；
Session Manager：會話管理，即使用者登入後就是一次會話，在沒有退出之前，它的所有資訊都在會話中；會話可以是普通JavaSE環境的，也可以是如Web環境的；
Cryptography：加密，保護資料的安全性
**Web Support：**Web支援，可以非常容易的整合到Web環境；
Shiro的工作流程（應用程式角度）：

Subject：當前應用互動的任何東西，都是Subject,代表“當前使用者”。

SecutiryManager :(安全管理器)所有與安全有關的操作都會和SecurityManager互動；它管理著所有Subject；是Shiro的核心，它負責與後邊介紹的其他元件進行互動 。可以將它當成前端控制器。

Realm :(安全資料來源) SecurityManager要驗證使用者身份時，那麼它需要從Realm獲取相應的使用者進行比較以確定使用者身份是否合法；也需要從Realm得到使用者相應的角色/許可權進行驗證使用者是否能進行操作。

總結：
1、應用程式碼通過Subject來進行認證和授權，而Subject又委託給SecurityManager；

2、我們需要給Shiro的SecurityManager注入Realm，從而讓SecurityManager能得到合法的使用者及其許可權進行判斷。

在Spring中的主要配置：
1.在web.xml中配置過濾器

2.在spring的配置檔案applicationContext中配置：securityManager，圖為自定義的Realm校驗。

3.在applicationContext中配置 shiroFilter（注意：id一定與web.xml中filter的name一致）