abou15871390117的博客

工程目录：创建shiro-realm.ini:[main]#\u81ea\u5b9a\u4e49 realmcustomRealm=cn.itcast.shiro.realm.CustomRealm#\u5c06realm\u8bbe\u7f6e\u5230securityManager\uff0c\u76f8\u5f53 \u4e8espring\u4e2d\u6ce

1.shiro使用FormAuthenticationFilter进行验证码进行表单验证，验证码的功能应该加在FormAuthenticationFilter中，在认证之前进行验证码校验。需要编写FormAuthenticationFilter的子类，继承FormAuthenticationFilter，改写它的认证方法，在认证之前进行验证码校验2.自定义FormAuthenticatio

xsi:noNamespaceSchemaLocation="../config/ehcache.xsd">maxElementsInMemory="1000" maxElementsOnDisk="10000000"eternal="false" overflowToDisk="false" diskPersistent="false"timeToIdleSe

package cn.itcast.ssm.controller;import org.springframework.stereotype.Controller;import org.springframework.web.bind.annotation.RequestMapping;import cn.itcast.ssm.shiro.CustomRealm;

shiroFilterorg.springframework.web.filter.DelegatingFilterProxytargetFilterLifecycletruetargetBeanNameshiroFiltershiroFilter/*

在使用shiro管理框架下，在登录拦截时我们可以注销掉如下代码：/* //用户退出@RequestMapping("/logout")public String logout(HttpSession session)throws Exception{//session失效session.invalidate();//重定向到商品查询页面return "redirec

1.1.1 SubjectSubject即主体，外部应用与subject进行交互，subject记录了当前操作用户，将用户的概念理解为当前操作的主体，可能是一个通过浏览器请求的用户，也可能是一个运行的程序。 Subject在shiro中是一个接口，接口中定义了很多认证授相关的方法，外部程序通过subject进行认证授，而subject是通过SecurityManager安全管理器进行认证授

1.1 什么是shiroShiro是apache旗下一个开源框架，它将软件系统的安全认证相关的功能抽取出来，实现用户身份认证，权限授权、加密、会话管理等功能，组成了一个通用的安全认证框架。1.2 为什么要学shiro既然shiro将安全认证相关的功能抽取出来组成一个框架，使用shiro就可以非常快速的完成认证、授权等功能的开发，降低系统成本。shiro使用广泛，shiro可以运行在

1.根据系统安全首先将用到的ActiveUser和SysPermission这两个类进行系列化接口2.在安全管理气的属性中配置rememberMe，并设置失效时间，3.在页面中添加rememberMe这个选项4.在自定义的form认证过滤器中的bean属性中添加rememberMe记住我用户登陆选择“自动登陆”本次登陆成功会向cookie写身份信息，下次登陆从cooki

shiro过滤器过滤属性含义securityManager：这个属性是必须的。loginUrl ：没有登录的用户请求需要登录的页面时自动跳转到登录页面，不是必须的属性，不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。successUrl ：登录成功默认跳转页面，不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面，则在登录