菜鸟联盟

核心过滤器类：DefaultFilter, 配置哪个路径对应哪个拦截器进行处理 authc：org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user：org.apache.shiro.web.filter.authc.UserFilter 用户拦截器，表示必须存在用户。 anon：org.apache.shiro.web.filter.authc.AnonymousFilte..

1，Shiro认证和授权流程的源码解读，和断点测试 认证流程解读：subject.login(usernamePasswordToken); DelegatingSubject->login() DefaultSecurityManager->login() AuthenticatingSecurityManager->authenticate() AbstractAuthenticator->authenticate() ModularRealmAut

1，讲解shiro默认自带的realm和常见使用方法 realm作用：Shiro 从 Realm 获取安全数据 默认自带的realm：idae查看realm继承关系，有默认实现和自定义继承的realm 两个概念 principal : 主体的标示，可以有多个，但是需要具有唯一性，常见的有用户名，手机号，邮箱等 credential：凭证, 一般就是密码 所以一般我们说 principal + credential 就账号 + 密码 开发中，往往是自定义realm

认证：用户身份识别，俗称为用户“登录”//是否有对应的角色subject.hasRole("root")​//获取subject名subject.getPrincipal()​//检查是否有对应的角色，无返回值，直接在SecurityManager里面进行判断subject.checkRole("admin")​//检查是否有对应的角色subject.hasRole("admin")​//退出登录subject.logout();...

直达官网 ：http://shiro.apache.org/architecture.html Subject 我们把用户或者程序称为主体（如用户，第三方服务，cron作业），主体去访问系统或者资源 SecurityManager 安全管理器，Subject的认证和授权都要在安全管理器下进行 Authenticator 认证器，主要负责Subject的认证 Realm 数据域，Shiro和安全数据的连接器，好比jdbc连接数据库； 通过realm获..

1，简介：讲解Shiro架构图交互和四大核心模块 身份认证，授权，会话管理和加密 直达Apache Shiro官网http://shiro.apache.org/introduction.html 什么是身份认证 Authentication，身份证认证，一般就是登录 什么是授权 Authorization，给用户分配角色或者访问某些资源的权限 什么是会话管理 Session Management, 用户的会话管理员，多数情况下是web session .

1，什么是 spring Security：官网基础介绍 官网：https://spring.io/projects/spring-securitySpring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反转Inversion of Control ,DI:Dependency Injection 依赖注入）和AOP（面向切面编程）...

1，介绍什么是ACL和RBAC ACL: Access Control List 访问控制列表 以前盛行的一种权限设计，它的核心在于用户直接和权限挂钩 优点：简单易用，开发便捷 缺点：用户和权限直接挂钩，导致在授予时的复杂性，比较分散，不便于管理 例子：常见的文件系统权限设计, 直接给用户加权限 RBAC: Role Based Access Control 基于角色的访问控制系统。权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限 优点：简化了用户与权

1，什么是权限控制忽略特别细的概念，比如权限能细分很多种，功能权限，数据权限，管理权限等 理解两个概念：用户和资源，让指定的用户，只能操作指定的资源（CRUD）2，初学javaweb时怎么做Filter接口中有一个doFilter方法，自己编写好业务Filter，并配置对哪个web资源进行拦截后 如果访问的路径命中对应的Filter，则会执行doFilter()方法，然后判断是否有权限进行访问对应的资源 /api/user/info?id=1public void doFilter(S.

项目搭建需求相对简单，1）支持用户首次通过用户名和密码登录；2）登录后通过http header返回token；3）每次请求，客户端需通过header将token带回，用于权限校验；4）服务端负责token的定期刷新，刷新后新的token仍然放到header中返给客户端。pom.xml<?xml version="1.0" encoding="UTF-8"?><p...

一，shiro和jwt区别shiro是一套权限管理框架，包括认证、授权等，在使用时直接写相应的接口就可以了，已经把底层处理都写好了，而jwt只是一种生成token的机制，所有权限处理逻辑还需要自己写。两者不是一个概念上的东西。二，什么时候要用JWT当我们要把服务器做成无状态时（即服务器端不会保存session）,这里我们就可以用到JWT。Shiro就是基于session保持回话，我们可...