Apache Shiro 是Java 的一个安全框架。目前，使用Apache Shiro 的人越来越多，因为它相 当简单，对比Spring Security，可能没有Spring Security做的功能强大，但是在实际工作时 可能并不需要那么复杂的东西，所以使用小而简单的Shiro 就足够了。对于它俩到底哪个好，这个不必纠结，能更简单的解决项目问题就好了。 本教程只介绍基本的Shiro使用，不会过多分析源码等，重在使用。

文章首先研究了如今主流的 java 安全框架 Shiro ，了解到 Shiro 是一个简单易 用且功能强大的安全框架，可以与很多第三方框架良好地耦合，并且可以在任何应 用环境中使用。接着通过介绍 Shiro 的四个基本功能：认证、授权、会话管理、加 密的相关知识，以及其通配符权限系统，为后面利用 Shiro 完成安全模块的设计与 实现奠定了基础。 随后，针对实际项目朵儿网，结合其业务分析了其 Web 应用的安全性需求： 登录认证需求，浏览器请求拦截需求，用户权限管理需求。 针对朵儿网的这些安全性需求，先是利用 Shiro 的过滤器实现了浏览器请求的 拦截，使得强制安全规则变得灵活可配置。接着利用 Shiro 的认证功能设计实现了 能及时反馈用户账号异常的登录认证系统。最后结合 Shiro 的通配符权限，设计实 现了多层次细粒化的权限控制系统，并针对权限配置工作量大的问题提出了权限预 置的解决方案。 最后，通过对朵儿网安全模块的测试，结果证明 Shiro 的确帮助完成了朵儿网 安全模块的设计与实现。并且在软件开发过程中， Shiro 框架的植入并未对原有的 代码造成较大影响。而 Shiro 封装的认证、授权流程以及 JSTL 标签，也使得开发 人员的代码工作量大大减少。 综上所述， Shiro 作为一个安全框架，真正帮助软件开发者轻松高效地解决了 安全需求。

Apache Shiro（发音为“shee-roh”，日语为“castle”）是一种功能强大且易于使用的Java安全框架，可执行身份验证，授权，加密和会话管理，可用于保护任何应用程序的安全-从命令行应用程序，移动应用程序到最大的Web和企业应用程序。 Shiro提供了应用程序安全性API来执行以下方面（我喜欢将它们称为应用程序安全性的4个基石）： 身份验证-证明用户身份，通常称为用户“登录”。 授权-访问控制 密码术-保护或隐藏数据以防窥视 会话管理-每个用户的时间敏感状态 Shiro还支持一些辅助功能，例如Web应用程序安全性，单元测试和多线程支持，但它们的存在是为了加强上述四个主要方面。 Apache Shiro特点： 易于使用 易于使用是该项目的最终目标。应用程序安全性可能非常令人困惑和沮丧，并被视为“必要的邪恶”。如果您使它易于使用，以使新手程序员可以开始使用它，那么就不必再痛苦了。 全面 Apache Shiro声称没有其他具有范围广度的安全框架，因此它可能是满足安全需求的“一站式服务”。 灵活 Apache Shiro可以在任何应用程序环境中工作。虽然它可以在Web，EJB和IoC环境中运行，但不需要它们。Shiro也不要求任何规范，甚至没有很多依赖性。 具有Web功能 Apache Shiro具有出色的Web应用程序支持，允许您基于应用程序URL和Web协议（例如REST）创建灵活的安全策略，同时还提供一组JSP库来控制页面输出。 可插拔 Shiro干净的API和设计模式使它易于与许多其他框架和应用程序集成。您会看到Shiro与Spring，Grails，Wicket，Tapestry，Mule，Apache Camel，Vaadin等框架无缝集成。 受支持 Apache Shiro是Apache Software Foundation（Apache软件基金会）的一部分，事实证明该组织的运作符合其社区的最大利益。项目开发和用户群体友好的公民随时可以提供帮助。如果需要，像Katasoft这样的商业公司也可以提供专业的支持和服务。

Java安全框架官方文档