后台框架：springboot2.1.2+ activiti6.0.0+ mybaits+maven+接口

我并没有全部看完，只是选择了一部分对我来说急需在项目中使用的知识加以学习。并且对于大多数第一次接触Shiro的同学来说，掌握这些也应该足够了。要学习如何使用Shiro必须先从它的架构谈起，作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何

1. 权限管理：点开二级菜单进入三级菜单显示 角色和按钮权限 角色: 分角色组和角色,独立分配菜单权限和增删改查权限。

session管理可以说是Shiro的一大卖点。Shiro可以为任何应用提供会话解决方案。在Shiro出现之前，如果我们想让你的应用支持session，我们通常会依赖web容器或者使用EJB的Session Bean。Shiro对session的支持更加易

认证就是验证用户身份的过程。在认证过程中，用户需要提交实体信息和凭据信息以检验用户是否合法。最常见的“实体/凭证”组合便是“用户名/密码”组合。//Example using most common scenario of username/passwor

例如我们定义新增用户权限的字符串为：createUser，为role1添加创建用户的权限。上边的简单的字符串形式，需要每个功能都定义一个字符串，不方便管理。shiro提供了多层次的权限组成。验证当前用户是否具有，用户的新增和删除的权限。通配符同时可以支持实

Shiro是Apache下的一个开源项目，它是一个比较简单容易使用的安全框架，它提供了认证，授权，加密，会话管理等功能

后面的部分源码进行了省略，只贴出跟认证主线流程相关代码！首先回顾一下之前剖析的Shiro的HelloWorld程序中有关认证的部分代码：。log.info("The account for username " + token.getP

使用EhCache同时缓存数据库数据及其它需要缓存的数据和shrio共享，集成整合步骤如下：。<1>、在pom.xml文件中添加以下依赖。<2>、添加配置文件 ehcache.xml，放在resources下，内容如下。<3&

后台框架：springboot2.1.2+ activiti6.0.0+ mybaits+maven+接口

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。作为一款安全框架Shiro的设计相当巧妙。Shiro的应用不依赖任何容器，它不仅可以在JavaEE下使用，还可以应用在JavaSE环境中。代表当前系统的使用者，

securityManager:这个属性是必须的。loginUrl:没有登录的用户请求需要登录的页面时自动跳转到登录页面，不是必须的属性，不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。unauthorizedUrl:没有权

Shiro提供了JSTL标签用于在JSP/GSP页面进行权限控制，如根据登录用户显示相应的页面按钮。</shiro:guest>用户没有身份验证时显示相应信息，即游客访问信息。</shiro:lacksRole>如果当前Subjec

说实话，这个类我没怎么明白，我写这个都是看的javadoc，是对javadoc的翻译。这样就保证了即使是异步的执行，也能正确的获得subject。这个类实现了Callable，所以可以被直接用作一个Callable，并且必须实现其call方法。thread

只有两个函数都返回false才会阻止后面的filter和servlet的执行。isAccessAllowed方法在这个类中都是抽象的，依靠实现类实现。onAccessDenied方法不是抽象的，但是调用了另一个抽象的方法：。这个方法忽略了之前配置的para

安全框架其实就干了两件事，一是用户能不能登录，第二个是登录之后能做什么，就这些，shiro的作用也就这么多，所以在学习要对shiro采取一种心理上的藐视，因为他所有的工作都是为了满足这两个来实现的。在shiro中，和很多他的子类，都有：

在某些项目中可能会遇到如每个账户同时只能有一个人登录或几个人同时登录，如果同时有多人登录：要么不让后者登录；要么踢出前者登录。比如spring security就直接提供了相应的功能；Shiro的话没有提供默认实现，不过可以很容易的在Shiro中加入这个功

Shiro的组件都是JavaBean/POJO式的组件，所以非常容易使用Spring进行组件管理，可以非常方便的从ini配置迁移到Spring进行管理，且支持JavaSE应用及Web应用的集成。在示例之前，需要导入shiro-spring及spring-c

Shiro提供了JSTL标签用于在JSP/GSP页面进行权限控制，如根据登录用户显示相应的页面按钮。</shiro:guest>用户没有身份验证时显示相应信息，即游客访问信息。</shiro:lacksRole>如果当前Subjec

public Set<String> findPermissions; //根据用户名查找其权限