Apache Shiro 认证

认证就是验证用户身份的过程。也就是说用户在使用应用时，需要证明他们自己就是所说的那个人。在认证过程中，用户需要提供一些身份识别信息以检验用户是否合法。

这里一般是提交用户身份信息（Principals）和凭证信息（Credentials）给系统：

Principals(身份)是Subject 的‘identifying attributes(唯一标识属性)’。Principals(身份)可以是任何能够证明Subject 的东西，如名，姓氏，用户名，社会保险号（相当于我们的身份证号码）等等。当然像姓氏这样的用来标识Subject 并不是很好，因此，最好的用来进行身份验证的Principals(身份)是对应用程序来说应该是独一无二的——通常是用户ID或电子邮件地址。

Credentials(凭证)通常是只被Subject 知道的秘值，它用来作为一种起支持作用的证据，此证据事实上包含着所谓的身份证明。一些常见credentials(凭证)的例子有密码，生物特征数据如指纹和视网膜扫描，以及X.509 证书。

principal/credential 配对最常见的例子是用户名和密码。用户名是所声称的身份，密码是匹配所声称的身份的证明。如果提交的密码与应用程序期望的相匹配，应用程序可以很大程度上假设用户真的是他们说的人，因为其他人都应该不知道同样用户名的密码。