是什么?

Shiro是一个非常强大的、易于使用的、开源的、权限框架。它包括了权限校验、权限授予、会话管理、安全加密等组件。

为什么要使用shiro?

如果你是需要设计RBAC（Role Based Access Control）基础系统，需要编写大量用于权限控制的代码时。那么你需要使用Shiro。因为Shiro已经将RBAC系统大量的代码封装好，可以减少我们大量的工作量。

如：页面的显示的HTML控件根据登录用户的权限不同而不同。使用Shiro可以轻松解决。

Authentication：权限校验，每次操作校验用户是否有访问权限

Authorization：授权，用户登录时，授予用户对应的权限

Session Management：会话管理，用于记录用户的登录状态

Cryptography：加密，加密算法的实现（SHA、MD5）

web Support：对Web项目的支持，Shiro的标签！！

首先应用访问（可以使用远程调用，可以是Web请求等），Shiro通过一个Subject对象来标识当前访问的身份。这句话告诉我们，第一次访问的时候，Shiro肯定会创建一个Subject对象标签当前请求（用户）的身份。
SecurityManger容器创建一个Subject对象验证请求的参数，SecurityManager的作用是统一管理Subject。这句话意味着，一个SecurityManager对象管理多个Subject的对象。
Subject通过SecurityManger获得操作当前用户的权限，在启动的那一刻，SecurityManger就会加载shiro.ini权限配置文件，在用户登录成功后，可以根据shiro配置的信息，获得用户对应的权限。
shiro配置：是一个权限控制信息文件，里面必须包括用户的验证信息，权限的信息