apache shiro是一个强大且易用的java安全框架，用于执行身份验证、授权、密码和会话管理。通过shiro的易于理解的api，您可以快速、轻松地为任何应用程序提供安全性，从最小的移动应用程序到最大的网络和企业应用程序。

Shiro的官方网站提供了详细的框架图和架构说明。从外部来看，Shiro框架的核心是Subject，应用代码直接与Subject交互。Shiro的对外API主要围绕Subject设计。

内部结构图显示了Shiro的组件，包括SecurityManager、Authenticator、Authorizer和SessionManager等。这些组件协同工作，确保安全功能的实现。

在Shiro中，shiro.ini文件用于配置，main部分提供了对根对象SecurityManager及其依赖对象的配置。以下是配置示例：

# 创建对象
securityManager=org.apache.shiro.mgt.DefaultSecurityManager

其构造器必须是public空参构造器，通过反射创建相应的实例。配置格式如下：

对象名=全限定类名  # 相对于调用public无参构造器创建对象
对象名.属性名=值    # 相当于调用setter方法设置常量值
对象名.属性名=$对象引用  # 相当于调用setter方法设置对象引用

users部分用于配置用户/密码及其角色：

[users]
zhang=123,role1,role2
wang=123

roles部分用于配置角色及权限之间的关系：

[roles]
role1=user:create,user:update
role2=*

如果只有角色没有对应的权限，可以不配置roles。

urls部分用于web，配置web url的拦截规则：

/index.html = anon
/admin/** = authc, roles[admin],perms["permission1"]

官方教程的第一个案例展示了如何添加依赖和配置shiro.ini文件。首先，添加依赖：

    org.apache.shiro
    shiro-core
    1.1.0


    org.slf4j
    slf4j-simple
    1.6.1
    test


    junit
    junit
    4.12
    test


    commons-logging
    commons-logging
    1.2

然后，在src/main/resources下添加shiro.ini文件：

内容如下：

[users]
root = 123456 # 账号为root 密码是 123456

认证操作的代码示例：

@Test
public void test() {
    // 1.获取SecurityManager工厂对象
    Factory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
    // 2.通过Factory对象获取SecurityManager对象
    SecurityManager securityManager = factory.getInstance();
    // 3.将SecurityManager对象添加到当前运行环境中
    SecurityUtils.setSecurityManager(securityManager);
    // 4.获取Subject对象
    Subject subject = SecurityUtils.getSubject();
    AuthenticationToken token = new UsernamePasswordToken("root", "123456");
    // 登录操作
    subject.login(token);
    // 获取登录的状态
    System.out.println(subject.isAuthenticated());
}

测试账号密码正确：

账号错误时抛出UnknownAccountException异常：

密码错误时抛出IncorrectCredentialsException异常：

因此，代码可以调整为：

@Test
public void test() {
    // 1.获取SecurityManager工厂对象
    Factory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
    // 2.通过Factory对象获取SecurityManager对象
    SecurityManager securityManager = factory.getInstance();
    // 3.将SecurityManager对象添加到当前运行环境中
    SecurityUtils.setSecurityManager(securityManager);
    // 4.获取Subject对象
    Subject subject = SecurityUtils.getSubject();
    AuthenticationToken token = new UsernamePasswordToken("root", "111");
    // 登录操作
    try {
        subject.login(token);
    } catch (UnknownAccountException e) {
        System.out.println("账号出错...");
    } catch (IncorrectCredentialsException e) {
        System.out.println("密码出错...");
    }
    // 获取登录的状态
    System.out.println(subject.isAuthenticated());
}

认证流程总结如下：

login方法：

DelegatingSubject中的login方法：

在此方法中，SecurityManager管理认证操作。继续进入DefaultSecurityManager的login方法：

此方法中调用Authenticator进行认证：

AbstractAuthenticator认证：

ModularRealmAuthenticator：

在该方法中获取ini文件中的信息，加载解析不是在此方法中进行。

AuthenticatingRealm：

流程描述：创建token令牌，token中有用户提交的认证信息，即账号和密码。执行subject.login(token)，最终由SecurityManager通过Authenticator进行认证。Authenticator的实现ModularRealmAuthenticator调用realm从ini配置文件获取用户真实的账号和密码，这里使用的是IniRealm（Shiro自带）。IniRealm先根据token中的账号去ini中查找该账号，如果找不到则给ModularRealmAuthenticator返回null，如果找到则匹配密码，匹配密码成功则认证通过。