SpringBoot+Shiro实现登陆拦截功能

      上一章讲到使用自定义的方式来实现用户登录的功能，这章采用shiro来实现用户登陆拦截的功能。

      首先介绍下Shiro：Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理，以下是shiro的整体的框架：

Subject: 即"用户"，外部应用都是和Subject进行交互的，subject记录了当前操作用户，将用户的概念理解为当前操作的主体，可能是一个通过浏览器请求的用户，也可能是一个运行的程序。 Subject在shiro中是一个接口，接口中定义了很多认证授相关的方法，外部程序通过subject进行认证授，而subject是通过SecurityManager安全管理器进行认证授权(Subject相当于SecurityManager的门面)。

SecurityManager: 即安全管理器，它是shiro的核心，负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等，实质上SecurityManager是通过Authenticator进行认证，通过Authorizer进行授权，通过SessionManager进行会话管理等。此外SecurityManager是一个接口，继承了Authenticator, Authorizer, SessionManager这三个接口

Authenticator：是一个执行对用户的身份验证（登录）的组件。通过与一个或多个Realm 协调来存储相关的用户/帐户信息。从Realm中找到对应的数据，明确是哪一个登陆人。如果存在多个realm，则接口AuthenticationStrategy（策略）会确定什么样算是登录成功（例如，如果一个Realm成功，而其他的均失败，是否登录成功？）。它是一个接口，shiro提供ModularRealmAuthenticator实现类，通过ModularRealmAuthenticator基本上可以满足大多数需求，也可以自定义认证器。

Authorizer:即授权器，用户通过认证器认证通过，在访问功能时需要通过授权器判断用户是否有此功能的操作权限。就是用来判断是否有权限，授权，本质就是访问控制，控制哪些URL可以访问.

Realm:即领域，相当于datasource数据源，securityManager进行安全认证需要通过Realm获取用户权限数据，通常一个数据源配置一个realm.s比如：如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。

注意：不要把realm理解成只是从数据源取数据，在realm中还有认证授权校验的相关的代码。

SessionDAO:即会话dao，是对session会话操作的一套接口，SessionDao代替sessionManager来代替对session进行增删改查，允许用户使用任何类型的数据源来存储session数据，也可以将数据引入到session框架来。比如要将session存储到数据库，可以通过jdbc将会话存储到数据库。

CacheManager:即缓存管理，用于管理其他shiro组件中维护和创建的cache实例，维护这些cache实例的生命周期，缓存那些从后台获取的用于用户权限，验证的数据，将它们存储在缓存，这样可以提高性能。顺序：先从缓存中查找，再从后台其他接口从其它数据源中进行查找，可以用其他现代的企业级数据源来代替默认的数据源来提高性能

Cryptography: