1、什么是 Apache Shiro？
Apache Shiro是Java安全框架，其提供认证，授权，加密，和会话管理，与Spring Security 一样都是权限安全框架，但是与Spring Security相比：
A、简单性，Shiro在使用上较 Spring Security更简单，更容易理解。
B、灵活性，Shiro运行环境广且不依赖这些环境，Spring Security只能与Spring一起集成使用。
C、可插拔，Shiro干净的API和设计模式使它可以与诸如 Spring、Grails、Wicket、Tapestry、Mule、Apache Camel、Vaadin 这类第三方框架无缝集成。Spring Security 在这方面就显得有些捉衿见肘。

2、Apache Shiro 的三大核心组件：
A、Subject ：当前用户的操作
B、SecurityManager：用于管理所有的Subject
C、Realms：用于进行权限信息的验证

Shiro.jpg

Subject：即当前用户，在权限管理的应用程序里往往需要知道谁能够操作什么，谁拥有操作该程序的权利，shiro中则需要通过Subject来提供基础的当前用户信息，Subject 不仅仅代表某个用户，也可以是第三方进程、后台帐户（Daemon Account）或其他类似事物。

SecurityManager：即所有Subject的管理者，这是Shiro框架的核心组件，可以把他看做是一个Shiro框架的全局管理组件，用于调度各种Shiro框架的服务。

Realms：Realms则是用户的信息认证器和用户的权限人证器，我们需要自己来实现Realms来自定义的管理我们自己系统内部的权限规则。

PS:Authentication 和 Authorization
在shiro的用户权限认证过程中其通过两个方法来实现：
A、Authentication：是验证用户身份的过程。
B、Authorization：是授权访问控制，用于对用户进行的操作进行人证授权，证明该用户是否允许进行当前操作，如访问某个链接，某个资源文件等。

3、Shiro 的安装
Shiro 官网下载： shiro-all-1.2.0.jar、shiro-cas-1.2.0.jar（单点登录需要），及 SLF4J 官网下载 Shiro 依赖的日志组件 slf4j-api-1.6.1.jar。（JAR 包需要放置到 Web 工程 /WEB-INF/lib/ 目录）
下载链接：https://download.csdn.net/download/weixin_39309402/10771782
利用Maven管理：

     <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-all</artifactId>
            <version>1.2.5</version>
    </dependency>
<!--shiro核心类库-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.5</version>
        </dependency>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.2.5</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-quartz</artifactId>
            <version>1.2.5</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.2.5</version>
        </dependency>
<!--日志工具包-->
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>slf4j-log4j12</artifactId>
        <version>1.6.1</version>
    </dependency>
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>slf4j-api</artifactId>
        <version>1.6.1</version>
    </dependency>

4、web.xml 配置

<filter> 
  <filter-name>shiroFilter</filter-name> 
  <filter-class> 
     org.springframework.web.filter.DelegatingFilterProxy 
  </filter-class> 
</filter> 
<filter-mapping> 
  <filter-name>shiroFilter</filter-name> 
  <url-pattern>/*</url-pattern> 
</filter-mapping>

5、 spring_shiro.xml配置

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> 
  <property name="securityManager" ref="securityManager"/> 
  <property name="loginUrl" value="/login.do"/> 
  <property name="successUrl" value="/welcome.do"/> 
  <property name="unauthorizedUrl" value="/403.do"/> 
  <property name="filters"> 
     <util:map> 
        <entry key="authc" value-ref="formAuthenticationFilter"/> 
     </util:map> 
  </property> 
  <property name="filterChainDefinitions"> 
     <value> 
        /=anon 
        /login.do*=authc 
        /logout.do*=anon 
         
        # 权限配置示例
        /security/account/view.do=authc,perms[SECURITY_ACCOUNT_VIEW] 
         
        /** = authc 
     </value> 
  </property> 
</bean> 
 
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager" />
        <property name="loginUrl" value="/u/login.shtml" />
        <!--    TODO 待提取    -->
        <property name="successUrl" value="/" />
        <property name="unauthorizedUrl" value="/?login" />
        
<!--    初始配置，现采用自定义 -->
<!--        <property name="filterChainDefinitions" >-->
<!--            <value>-->
<!--                /** = anon-->
<!--                /page/login.jsp = anon-->
<!--                /page/register/* = anon-->
<!--                /page/index.jsp = authc-->
<!--                /page/addItem* = authc,roles[数据管理员]-->
<!--                /page/file* = authc,roleOR[普通用户,数据管理员]-->
<!--                /page/listItems* = authc,roleOR[数据管理员,普通用户]-->
<!--                /page/showItem* = authc,roleOR[数据管理员,普通用户]-->
<!--                /page/updateItem*=authc,roles[数据管理员]-->
<!--            </value>-->
<!--        </property>-->
        <!-- 读取初始自定义权限内容-->
       <property name="filterChainDefinitions" value="#{shiroManager.loadFilterChainDefinitions()}"/>   
       <property name="filters">
           <util:map>
              <entry key="login" value-ref="login"></entry>
              <entry key="role" value-ref="role"></entry>
              <entry key="simple" value-ref="simple"></entry>
              <entry key="permission" value-ref="permission"></entry>
              <entry key="kickout" value-ref="kickoutSessionFilter"></entry>
           </util:map>
       </property>
    </bean>
    <!-- Shiro生命周期处理器-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
</beans>

6、log4j.properties配置文件：

log4j.rootLogger=INFO, stdout, 

log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m%n

链接：https://blog.csdn.net/qq_39874546/article/details/79081950#commentBox