Tiger的专栏

JSP中直接引用Shiro标签比较简单可以参考JSP / GSP 标签库-Shiro权限学习1：http://blog.youkuaiyun.com/ahou2468/article/details/71130582JS中引用Shiro的标签不起作用的问题解决方法：1.第一种情况假如js中生成标签代码是固定死的解决起来比较容易，直接在需要权限判断标签前和后加上权限控制标签，即可以起作用

Session超时的两种情况：shiro在管理session后，在session超时会进行跳转，这里有两种情况需要考虑，一种是ajax方式的请求超时，一种页面跳转请求的超时；解决问题的思路：通过定义过滤器来检查是否Session过期问题，当前是否session超时，超时判定是否是ajax请求，如果是ajax请求，则在response头部设置session-status值，返回到前端读取

Apache Shiro是什么？Apache Shiro是一个功能强大并且方便的开源安全框架，它可以处理认证(Authentication)，授权(Authorization),企业会话管理(Enterprise Session Management)和加密(Cryptography)。Apache Shiro的首要目标就是更加容易的使用和理解。安全有时是非常复杂的，甚至是痛苦的，但不一定

请花2分钟阅读并理解这一点——这真的很重要。真的。这里的术语和概念在文档中随处可见，它将极大地简化您对Shiro和安全性的理解。由于使用了术语，安全性可能会令人困惑。通过澄清一些核心概念，我们会让生活变得更简单，你会看到Shiro API是多么完美地反映了它们：Authentication(认证)：认证是验证一个主体(Subject)身份的过程——本质上是证明某人确实是他们

翻译自：http://shiro.apache.org/architecture.html Apache Shiro的设计目标是通过直观和易于使用来简化应用程序的安全性。Shiro的核心设计模型是大多数人对应用程序安全性的看法——在某人(或某物)与应用程序交互的上下文中。 软件应用程序通常是基于用户需求设计的。也就是说，您通常会根据用户如何(或应该)与软件交互设计用户界面或服务api。例如，您可能

经过查找论坛和分析源码，确认了是在ShiroHttpServletResponse里加上的。 因此继承ShiroHttpServletResponse类，覆盖相应方法，再重写 ShiroFilterFactoryBean就可以把添加JSESSIONID部分去掉。重写ShiroHttpServletResponse Java代码 public class MyShiroHt