安全管理框架 可以完成认证和授权的功能

认证（Authentication）
验证当前访问系统的是不是本系统的用户，并且要确认具体是哪个用户

授权（Authorization）
经过认证后判断当前用户是否有权限进行某个操作



Spring Security

spring-security对spring整合较好，使用起来更加方便；
有更强大的spring社区进行支持；
支持第三方的 oauth 授权

Spring Security一般流程
1. 用户登录时，前端将用户输入的用户名、密码信息传输到后台，后台用一个类对象将其封装起来，通常是 UsernamePasswordAuthenticationToken 这个类 
2. 用户密码验证
   调用Service根据username从数据库中取用户信息到实体类的实例中，比较两者的密码，
   如果密码正确就成功登陆，同时把包含着用户的用户名、密码、所具有的权限等信息的类对象放到SecurityContextHolder（安全上下文容器，类似Session）
3. 用户访问一个资源的时候，首先判断是否是受限资源。如果是的话判断当前是否登录，没有的话就跳到登录页面。
4. 如果用户已经登录，访问一个受限资源的时候，程序要根据url去数据库中取出该资源所对应的所有可以访问的角色，然后拿着当前用户的所有角色一一对比，判断用户是否可以访问 



shiro 

简单 灵活  可脱离spring使用 

1. 易于理解的 Java Security API；
2. 简单的身份认证（登录），支持多种数据源（LDAP，JDBC，Kerberos，ActiveDirectory 等）；
3. 对角色的简单的签权（访问控制），支持细粒度的签权；
4. 支持一级缓存，以提升应用程序的性能；
5. 内置的基于 POJO 企业会话管理，适用于 Web 以及非 Web 的环境；
6. 异构客户端会话访问；
7. 非常简单的加密 API；
8. 不跟任何的框架或者容器捆绑，可以独立运行。

四大核心功能:Authentication,Authorization,Cryptography,Session Management

1. Authentication：身份认证/登录，验证用户是不是拥有相应的身份；

2. Authorization：
授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能做事情，
常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限；

3. Session Manager：
会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通JavaSE环境的，也可以是如Web环境的；

4. Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；

Shiro三个核心组件：Subject, SecurityManager 和 Realms.
1. Subject：主体，任何可以与应用交互的用户；
2. SecurityManager：
相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher；
所有具体的交互都通过 SecurityManager 进行控制；
它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。

3. Realm：域，Shiro从Realm获取安全数据（如用户、角色、权限），
SecurityManager要验证用户身份，需要从Realm获取相应的用户进行比较以确定用户身份是否合法；
也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作；
可以把Realm看成DataSource，即安全数据源


授权第三方登录需要手动实现



Spring Security的权限细粒度更高


https://gitee.com/dyyx/Shiro.git

https://gitee.com/dyyx/spring-security