三：系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理：点开二级菜单进入三级菜单

Shiro就是一套安全连接器链框架！！基于cookie的单点登录机制：

即从根目录开始。shiro 数据库url资源表中不要加/url 例如：/urule/frame ，应该urule/frame 或者../urule/frame ，加了/的时候会自动ip+/urule/frame

shiro是apache提供的强大而灵活的开源安全框架，它主要用来处理身份认证，授权，企业会话管理和加密。shiro功能：用户验证、用户执行访问权限控制、在任何环境下使用sessionAPI，如cs程序。可以使用多数据源如同时使用oracle、mysql。

SecurityManager Shiro的核心，Shiro通过SecurityManager 提供安全服务；Authenticator 认证器，管理主体的登录、登出；Authorizer 授权器，赋予主体有哪些权限；SessionManager Sess

Apache Shiro 是一个强大易用的 Java 安全框架，提供了认证、授权、加密和会话管理等功能，对于任何一个应用程序，Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架，Shiro 要简单的多。这不就是我们想要的嘛，而且 Shiro

其实权限验证完全可以类比登录校验，登录校验的时候也有一个Authenticator，他是调用的reaml的信息，这个Authorizer也是调用的realm里面的信息。所以最主要的是还是我们配置的realm，权限的判断最终的根据就是realm中的权限角色信

我们看一下他的isAccessAllowed方法：。里面有个successUrl属性，但是这个不是成功登录后跳转的地址，而是一个默认的地址。我们考虑一个在开发中经常用到的场景：我要在淘宝上买东西，在商品详情页输了买10个，但是点击确认后买后却是要求我们登录

用户的信息多都在Realm中，所以我们先从realm开始看源码吧。}其中第一个参数是CacheManager，是一个null，第二个是CredentialsMatcher。log.debug("Performing credentials equ

Shiro提供了与Web集成的支持，其通过一个ShiroFilter入口来拦截需要安全控制的URL，然后进行相应的控制，ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器，其是安全控制的入口点，其负责读取配置，然后判断

protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object weaving). String[] weaving_ = (String