Java权限控制框架，Apache Shiro 1.2.3 发布

Apache Shiro是一个强大易用的Java安全框架，提供了认证、授权、加密和会话管理功能，可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。

Shiro提供了应用安全四要素的API：

• 认证 - 用户身份识别，常被称为用户“登录”；
• 授权 - 访问控制；
• 密码加密 - 保护或隐藏数据防止被偷窥；
• 会话管理 - 每用户相关的时间敏感的状态。

Shiro还支持一些辅助特性，如Web应用安全、单元测试和多线程，它们的存在强化了上面提到的四个要素。

• 易于使用 - 易用性是这个项目的最终目标。应用安全有可能会非常让人糊涂，令人沮丧，并被认为是“必要之恶”【译注：比喻应用安全方面的编程。】。若是能让它简化到新手都能很快上手，那它将不再是一种痛苦了。
• 广泛性 - 没有其他安全框架可以达到Apache Shiro宣称的广度，它可以为你的安全需求提供“一站式”服务。
• 灵活性 - Apache Shiro可以工作在任何应用环境中。虽然它工作在Web、EJB和IoC环境中，但它并不依赖这些环境。Shiro既不强加任何规范，也无需过多依赖。
• Web能力 - Apache Shiro对Web应用的支持很神奇，允许你基于应用URL和Web协议（如REST）创建灵活的安全策略，同时还提供了一套控制页面输出的JSP标签库。
• 可插拔 - Shiro干净的API和设计模式使它可以方便地与许多的其他框架和应用进行集成。你将看到Shiro可以与诸如Spring、Grails、Wicket、Tapestry、Mule、Apache Camel、Vaadin这类第三方框架无缝集成。
• 支持 - Apache Shiro是Apache软件基金会成员，这是一个公认为了社区利益最大化而行动的组织。项目开发和用户组都有随时愿意提供帮助的友善成员。像Katasoft这类商业公司，还可以给你提供需要的专业支持和服务。

Apache Shiro团队已经发布Apache Shiro的 1.2.3 版本。这是1.2.0后第三个错误修复发行点。    所有二进制包(.jars)都可以从 Maven Central 中下载.      此版本包括1个严重漏洞   SHIRO-460 - LDAP 验证成功，即使用户名和密码不通过。 [2] [CVE-2014-0074]    Versions Affected:  1.0.0-incubating - 1.2.2    Details:  When using an LDAP server that allows unauthenticated bind, Shiro will  authenticate users with an empty password.  NOTE: this is NOT the default for OpenLDAP    Mitigation:  Users should upgrade to 1.2.3    Workaround:  Disable unauthenticated binds on your LDAP server (best practice).      Cheers,    The Apache Shiro Team    [1] http://shiro.apache.org/download.html [2] https://issues.apache.org/jira/browse/SHIRO-460