Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。其处理cookie的流程是: 得到reme

本次只是记录一下启用shiro配置过程遗忘掉的几个关键点，首先项目是前后端分离的后台，提供json格式的接口数据，但又是一个web项目，现在要控制登录之后才能使用1、ShiroFilterFactoryBean我这里是一个自定义的，继承ShiroFilte

return "未授权无法访问";

开始配置ShiroConfig，从底层开始配置，Realm需要额外写一个类UserRealm，这个类便是shiro的核心。UserRealm只需继承AuthorizingRealm类即可，要实现如下两个方法，本类为shiro核心：

三：系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理：点开二级菜单进入三级菜单

https://www.cnblogs.com/WUXIAOCHANG/p/10886534.html https://blog.csdn.net/pengjwhx/article/details/84867112

首先，说明运行环境，前后端分离，跨域。先说一下跨域，跨域最好不要直接用注解形式，很麻烦，因为如果有需要设置的内容时还要一个一个找到注解更改，直接配置bean方便很多。　　在使用跨域的时候前端不能直接从响应头中取数据，为null。因为在使用跨域的方式进行前后

　　　　A. 使用@CrossOrigin注解；　　　　但是SpringBoot整合Shiro后，注解跨域就失效了，原因：shiro的过滤器会在注解跨域处理之前执行，这就导致未允许跨域的请求先到达shiro过滤器，这样就会出现跨域错误。　　 问题体现：缓存

user.getPassWord(),　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　//这里是设置的密码盐。比如某个用户是否具有某个操作的使用权限。log.error("授权失败，请检查系统内部错误!!!

1，shiro在认证成功之后就将cookie信息写在了浏览器中，只要浏览器不清空cookie打开其他的tab也请求中都会有。2，postman需要的不是cookie中的JSESSIONID而实整个cookie信息放在header中，其他需要的信息照样要

上一篇文章已经对shiro框架做了一定的介绍，这篇文章讲述使用spring整合shiro框架，实现用户认证已经权限控制。-- Shiro Security filter filter-name这个名字的值将来还会在spring中用到-->. 在exp

　　RBAC是基于角色的访问控制在 RBAC 中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的，权限赋予给角色，而把角色又赋予用户，这样的权限设计很清楚，管理起来很方便。在RBAC

获取微信token 时报错 weblogic

需求1：当shiro请求资源，但是没有进行认证时，默认是进行重定向，现在需要返回JSON响应。注意异步请求，服务器重定向后，ajax拿到的是浏览器重定向后的到的页面源码。方法2:自己通过shiro的Ini类加载ini配置文件。读取自定义的urls。覆盖 o

鉴权，即权限校验，基于经典的role-user-resource模型，还是采用shiro，自己实现鉴权方法与shiro的securityManager集成即可。--需要在 context中声明id为shiroFilter的bean-->

Spring Security 相较于 Apache Shiro 更复杂，学习成本高，仅限于Spring框架中使用，但相较于Apache Shiro在权限控制方面更灵活。Apache Shiro比较容易，不局限于Spring框架，可以在多种环境下使用。re

shiro的权限加载从上到下，按照map的特性，key，利用这种特性，可以在数据库中设好其为菜单，在管理员设置好了权限内的菜单之后，其就在权限控制中，而且会显示，，至于需要显示的菜单有不希望有。在最后设置/**（余下的）都进入权限控制（这样设置的必要是所有

// 开始进入shiro的认证流程。//获取用户信息，可以使用token等其它唯一字段获取用户信息。//定义授权用户信息，Principal为自定义授权用户基本信息。//创建WebSubject，根据自己的应用选择需要创建的Subject类。//为shir

大多数情况，web项目都会集成spring。shiro在普通web项目和spring项目中的配置是不一样的。当访问/success这个路径的时候，如果没有登录，将会自动跳转到登录界面/login.jsp，访问/login这个路径的时候，可以不用登录

shiro是apache的一个开源框架，是一个权限管理的框架，实现 用户认证、用户授权。spring中有spring security ，是一个权限框架，它和spring依赖过于紧密，没有shiro使用简单。shiro不依赖于spring，shiro不仅可