在使用shiro做权限控制的一个系统中，其中有一个页面需要配置为无需登录就能访问，配置方法如下。这里配置的意思就是所有人都能直接访问 /test 这个路径，但是实际访问时，却报如下错误：

后台框架：springboot2.1.2+ activiti6.0.0+ mybaits+maven+接口

Apache Shiro是Java的一个安全框架。目前，使用Apache Shiro的人越来越多，因为它相当简单，对比Spring Security，可能没有Spring Security做的功能强大，但是在实际工作时可能并不需要那么复杂的东西，所以使用小

SpringBoot使编码配置部署都变得简单，越来越多的互联网公司已经选择SpringBoot作为微服务的入门级微框架。Apache Shiro是一款强大易用的Java安全框架，Java官方推荐使用Shiro，它比Spring Security更简单易用，

目前，使用Apache Shiro的人越来越多，因为它相当简单，对比Spring Security，可能没有Spring Security做的功能强大，但是在实际工作时可能并不需要那么复杂的东西，所以使用小而简单的Shiro就足够了。对于它俩到底哪个好，这

否则返回false，即不能通过这个filter。从逻辑上看如果是登录页面则直接放行，如果是其他资源则必须获得当前用户的principal，这个和淘宝网的收藏夹功能相匹配，如果我们在没有登录的情况下使用之前登录过淘宝的浏览器登录收藏夹是可以的，并且上面会提示

认证就是验证用户身份的过程。在认证过程中，用户需要提交实体信息和凭据信息以检验用户是否合法。最常见的“实体/凭证”组合便是“用户名/密码”组合。但是，“已记住”和“已认证”是有区别的：。但是它并非是认证通过的用户，当你访问需要认证用户的功能时，你仍然需要重

-- Shiro's main business-tier object for web-enabled applications -->. 这里有个可能出现bug的地方，可以通过配置sessionIdCookie属性，解决被服务器重写cookie中

Shiro提供了记住我的功能，比如访问如淘宝等一些网站时，关闭了浏览器下次再打开时还是能记住你是谁，下次访问时无需再登录即可访问，基本流程如下：。</bean>rememberMeParam，即rememberMe请求参数名，请求参数是bool

public <K, V> Cache<K, V> getCache throws CacheException;本章用例使用了与第六章的代码。

NameableFilter给Filter起个名字，如果没有设置默认就是FilterName；还记得之前的如authc吗？当我们组装拦截器链时会根据这个名字找到相应的拦截器实例；ShiroFilter是整个Shiro的入口点，用于拦截需要安全控制的请求进行

授权，也叫访问控制，即在应用中控制谁能访问哪些资源。在授权中需了解的几个关键对象：主体、资源、权限、角色。主体，即访问应用的用户，在Shiro中使用Subject代表该用户。安全策略中的原子授权单位，通过权限我们可以表示在应用中用户有没有操作某个资源的权力

虽然网上很多关于Shiro的样例，但是LZ看了很多，觉得他们好多都不是自己想要的。不是没有URL过滤功能，就是写死在xml配置文件里，还有好多不能使。LZ不才，只能写一些简单样例给大家看看。) ENGINE=InnoDB DEFAULT CHARSET=u

public static Map<String, String[]> map = new HashMap<String, String[]>();public static final String[] ADMIN = { &qu