简介：

Apache Shiro是一个强大而灵活的开源安全框架，它能够干净利落地处理身份认证，授权，企业会话管理和加密、做缓存。

关键点3点：

001 Subject(org.apache.shiro.subject.Subject):与程序进行交互的对象,理解为用户。

所有Subject 实例都必须绑定到一个SecurityManager上。我们与一个 Subject 交互，运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。

002 SecurityManager(org.apache.shiro.mgt.SecurityManager) ，SecurityManager是shiro的核心，协调shiro的各个组件。

SecurityManager 是 Shiro的核心，初始化时协调各个模块运行。然而，一旦 SecurityManager协调完毕，SecurityManager 会被单独留下，且我们只需要去操作Subject即可，无需操作SecurityManager 。 但是我们得知道，当我们正与一个 Subject 进行交互时，实质上是 SecurityManager在处理 Subject 安全操作。

003 Realms在 Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。他获取安全数据来判断subject是否能够登录，subject拥有什么权限。他有点类似DAO。在配置realms时，需要至少一个realm。而且Shiro提供了一些常用的 Realms来连接数据源，

如LDAP数据源的JndiLdapRealm，

JDBC数据源的JdbcRealm，

ini文件数据源的IniRealm，

properties文件数据源的PropertiesRealm，等等。

我们也可以插入自己的 Realm实现来代表自定义的数据源。 像其他组件一样，Realms也是由SecurityManager控制