再后来的工作过程中,发现了shiro的一些不足之处--对于多端登录支持不是很友好,需要自己去实现具体功能.在大致研究了JWT功能后,决定对之前写的权限管理做一些优化--使用JWT做认证,配合Shrio强大的授权功能,实现更加全面、轻量化的权限管理.之前那篇

JdbcRealm就是用户的角色，权限都从数据库中读取，也就是用来进行用户认证授权的安全数据源更换为从数据库中读取，其他没有差别，首先在数据库创建三张表：

--APR library loader. Documentation at /docs/apr.html --> <Listener classname="org.apache.catalina.core.AprLifecycleL

在tomcat的server.xml文件中，配置自己的JDBCRealm，tomcat提供了六种Realm实现，这里使用JDBCRealm演示。userRoleTable="user_roles" roleNameCol="u

时隔这么久终于有时间更新了，今天和大家分享一下Shiro的原理。我认为无论是Shiro也好，还是其他安全框架也好，其功能主要就分为三部分：认证、授权、加密。下面我们来详细说明Shiro具体是如何实现的。Shiro结构图讲原理当然离不开结构图，我们先来看一下

现在来看一下 Basic Auth。携带信息的时候是把用户名、密码简单的拼接 & base64 掉，主要是为了解决账号、密码中可能存在的编码问题。额外的好处是不会直接看到账号密码，但是本质还是明文传输账号、密码，所以如果不是 HTTPS 会很容易被

也许你并没有听说过Realm，这是一个面向安卓的移动端数据库技术。和SQLite不同，它允许你在持久层直接和数据对象工作。在它之上是一个函数式风格的查询api，众多的努力让它比传统的SQLite操作更快。基于这些原因让我决定试试Realm。大约一年前，当我

针对一个tomcat中有的项目需要使用ssl加密有些可以直接访问的情况，可通过修改tomcat/conf下的server.xml来实现。具体配置可参考下面这段代码，注意<Service name=”Catalina1″>这个标签中的配置。des