1、Shiro和Security介绍

Java安全验证框架主流的就两个，一个是Shiro，一个是Spring Security，两者核心功能基本类似，Shiro的特点是上手简单，可以独立运行，而Security则上手较难，功能强大，Shiro提供的功能可以说只是Security的一小部分，依赖于Spring。

笔者大部分时间都是使用的Shiro，基本上Shiro已经能达到我所有的要求，权限后台可以控制到方法级别，前端可以控制到按钮级别。直到后来做微服务，发现Spring全家桶里面的东西实在是太多都是默认用的Security，终于妥协，开始用Security，刚开始用Security，确实花了点精力，但随着深入，发现Security是真的强大，各种场景都提供了标准实现，如oauth，sso等等，而以往使用Shiro都需要自己加些东西，当然也不是很复杂。

对于新手，笔者的建议是使用Shiro，而对于有经验的开发人员来说，笔者建议使用Security，毕竟我们基本上都是用的Spring全家桶。在这个系列教程中，笔者采用Security，以后看情形再决定是否补充Shiro的相关内容。

2、认证与授权

在这里认证我们指的是用户提供用户名和密码后，我们验证这两者的正确性，判断这个用户存不存在，密码正确与否。而授权指的是，这个用户在我们系统里面具有哪些权限，如是不是可以添加文章，编辑文章，删除文章等等。

3、会话Session

用户每次使用我们的网站，当刚进入我们网站的时候，我们会给他创建一个session，然后一直在用户离开网站，session销毁。每个用户对应一个session，session一般存储了用户的一些个人信息，如用户id，用户名等等，session是存在服务器端的，如果服务器端没有这些信息，就不知道，到底是哪个用户访问了我们的系统，我到底该给什么样的权限给他。

session有个缺点，因为他是存储在服务器端的，存储的容量一般是有限。如果应用使用集群，session就不能使用本地内存，一般我们有三种解决方案，最常用的是使用session服务器，如redis缓存来存储session；一种是使用session粘贴，使用代理服务器的特性，让同一个ip始终访问同一台服务器，这种方式，如果一台机器挂了，会导致部分业务无法正常处理；最后一种是session复制，让web容器之间相互同步session，这种方式效率低，也占内存。

4、token

为了解决session的缺点，我们还一种无状态的服务，无状态的服务在服务器端并不存储用户状态，用户登录成功后，服务器端会返回一个token给你，这个token使用特定的加密算法生成，现在有一个标准叫JWT，一般我们可以按照这个标准做，但并不是必须的。每次请求都必须带着这个token，服务器端接收到请求的时候，会解析token，从中获取用户id或者用户名，这样就可以对用户进行授权。

token的优点是，服务器端不存储用户信息，所以无论多少用户使用，对系统都无影响。缺点是用户无法主动剔除，例如，以前使用session，如果要剔除用户，我们只需在服务器端删除对应的session即可，而使用token，就无法做到，只能等token自动过期。还有，如果我们系统将token存储在浏览器cookie或者localStorge里面，存在被其他用户盗取冒用身份的可能。

在这个系列教程里面，我们将视情况而定。

5、总结

这章简单的介绍了安全验证框架里面的几个概念，和一些策略的对比，总体来说，不管是Shiro，还是Security，不管是session模式，还是token模式，使用哪种都是没问题的，我们可以根据具体的应用场景选择对应的方案，这样能减少我们的一些工作。

代码：

https://github.com/www15119258/springboot-study/tree/branch18

这节并没有新的代码，为了保证分支的连贯性，我还是拉了一个分支出来。