Shiro架构原理与使用

Apache Shiro 是 Java 的一个安全（权限）框架

Shiro 可以完成：认证、授权、加密、会话管理、与Web 集成、缓存

http://shiro.apache.org/

​ author–>xiaokai

---

一、简介

1. 基本功能点如下:

• Authentication：身份认证/登录，验证用户是不是拥有相应的身份；

• Authorization：授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用
  户是否能进行什么操作，如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户
  对某个资源是否具有某个权限；

• Session Manager：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有
  信息都在会话中；会话可以是普通 JavaSE 环境，也可以是 Web 环境的；

• Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；

• Web Support：Web 支持，可以非常容易的集成到Web 环境；

• Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可
  以提高效率；

• Concurrency：Shiro 支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能

  把权限自动传播过去；

• Testing：提供测试支持；

• Run As：允许一个用户假装为另一个用户（如果他们允许）的身份进行访问；

• Remember Me：记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登
  录了

2.Shiro 架构(Shiro外部来看)

• 从外部来看Shiro ，即从应用程序角度的来观察如何使用 Shiro 完成工作：

• Subject：应用代码直接交互的对象是 Subject，也就是说 Shiro 的对外API 核心就是 Subject。Subject 代表了当前“用户”， 这个用户不一定是一个具体的人，与当前应用交互的任何东西都是 Subject，如网络爬虫，机器人等；与 Subject 的所有交互都会委托给 SecurityManager；Subject 其实是一个门面，SecurityManager 才是实际的执行者；
• SecurityManager：安全管理器；即所有与安全有关的操作都会与SecurityManager 交互；且其管理着所有 Subject；可以看出它是 Shiro的核心，它负责与 Shiro 的其他组件进行交互，它相当于 SpringMVC 中DispatcherServlet 的角色
• Realm：Shiro 从 Realm 获取安全数据（如用户、角色、权限），就是说SecurityManager 要验证用户身份，那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法；也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作；可以把 Realm 看成 DataSource

3.Shiro 架构(Shiro内部来看)

• Subject：任何可以与应用交互的“用户”；
• SecurityManager ：相当于SpringMVC 中的 DispatcherServlet；是 Shiro 的心脏；所有具体的交互都通过 SecurityManager 进行控制；它管理着所有 Subject、且负责进行认证、授权、会话及缓存的管理。
• Authenticator：负责 Subject 认证，是一个扩展点，可以自定义实现；可以使用认证策略（Authentication Strategy），即什么情况下算用户认证通过了；
• Authorizer：授权器、即访问控制器，用来决定主体是否有权限进行相应的操作；即控制着用户能访问应用中的哪些功能；
• Realm：可以有 1 个或多个 Realm，可以认为是安全实体数据源，即用于获取安全实体的；可以是JDBC 实现，也可以是内存实现等等；由用户提供；所以一般在应用中都需要实现自己的 Realm；
• SessionManager：管理 Session 生命周期的组件；而 Shiro 并不仅仅可以用在 Web 环境，也可以用在如普通的 JavaSE 环境
• CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的；因为这些数据基本上很少改变，放到缓存中后可以提高访问的性能
• Cryptography：密码模块，Shiro 提高了一些常见的加密组件用于如密码加密/解密。

---

二、官方example(quickstar)

• 导入jar包

  • log4j-1.2.15.jar
  • shiro-all-1.3.2.jar
  • slf4j-api-1.6.1.jar
  • slf4j-log4j12-1.6.1.jar

• Quickstart.java（见images文件夹中quickstart）

• shiro.ini（见images文件夹中quickstart）

---

三、shiro整合spring、springmvc

1. 构建项目

• 加入 Spring 和 Shiro 的 jar 包
• 配置 Spring 及 SpringMVC
• 参照：1.3.2\shiro-root-1.3.2-sourcerelease\shiro-root-1.3.2\samples\spring 配置 web.xml 文件和 Spring 的配置文件

2. web.xml配置(shiro部分)

<!-- Shiro Filter is defined in the spring application context: -->
<!-- 
 1. 配置  Shiro 的 shiroFilter.  
 2. DelegatingFilterProxy 实际上是 Filter 的一个代理对象. 默认情况下, Spring 会到 IOC 容器中查找和 
 <filter-name> 对应的 filter bean. 也可以通过 targetBeanName 的初始化参数来配置 filter bean 的 id. 
 -->
<filter>
  <filter-name>shiroFilter</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  <init-param>
    <param-name>targetFilterLifecycle</param-name>
    <param-value>true</param-value>
  </init-param>
</filter>

<filter-mapping>
  <filter-name>shiroFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

3.applicationContext.xml

(shiro部分,六步基本初级配置)

<!--
	1. 配置 SecurityManager!
	--> 
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
  <property name="cacheManager" ref="cacheManager"/>
  <property name="authenticator" ref="authenticator"></property>

  <property name="realms">
    <list>
      <ref bean="jdbcRealm"/>
      <ref bean="secondRealm"/>
    </list>
  </property>

  <property name="rememberMeManager.cookie.maxAge" value="10"></property>
</bean>

<!--  
    2. 配置 CacheManager. 
    2.1 需要加入 ehcache 的 jar 包及配置文件. 
    -->     
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
  <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/> 
</bean>

<!-- 
     3. 配置 Realm 
     3.1 直接配置实现了 org.apache.shiro.realm.Realm 接口的 bean
    -->     
<bean id="jdbcRealm" class="com.atguigu.shiro.realms.ShiroRealm">
  <property name="credentialsMatcher">
    <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
      <property name="hashAlgorithmName" value="MD5"></property>
      <property name="hashIterations" value="1024"></property>
    </bean>
  </property>
</bean>

<!--  
    4. 配置 LifecycleBeanPostProcessor. 可以自定的来调用配置在 Spring IOC 容器中 shiro bean 的生命周期方法. 
    -->       
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

<!--  
    5. 启用 IOC 容器中使用 shiro 的注解. 但必须在配置了 LifecycleBeanPostProcessor 之后才可以使用. 
    -->     
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
      depends-on="lifecycleBeanPostProcessor"/>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
  <property name="securityManager" ref="securityManager"/>
</bean>

<!--  
    6. 配置 ShiroFilter. 
    6.1 id 必须和 web.xml 文件中配置的 DelegatingFilterProxy 的 <filter-name> 一致.
                      若不一致, 则会抛出: NoSuchBeanDefinitionException. 因为 Shiro 会来 IOC 容器中查找和 <filter-name> 名字对应的 filter bean.
    -->     
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
  <property name="securityManager" ref="securityManager"/>
  <property name="loginUrl" value="/login.jsp"/>
  <property name="successUrl" value="/list.jsp"/>
  <property name="unauthorizedUrl" value="/unauthorized.jsp"/>

  <property name="filterChainDefinitionMap" ref="filterChainDefinitionMap"></property>

  <!--  
         配置哪些页面需要受保护. 
         以及访问这些页面需要的权限. 
         1). anon 可以被匿名访问
         2). authc 必须认证(即登录)后才可能访问的页面. 
         3). logout 登出.
         4). roles 角色过滤器
        -->
 
  <property name="filterChainDefinitions">
    <value>
      /login.jsp = anon
      /shiro/login = anon
      /shiro/logout = logout

      /user.jsp = roles[user]
      /admin.jsp = roles[admin]

      # everything else requires authentication:
      /** = authc
    </value>
  </property>
       
</bean>

(1)ShiroFilter

• Shiro 提供了与 Web 集成的支持，其通过一个 ShiroFilter 入口来拦截需要安全控制的URL，然后 进行相应的控制
• ShiroFilter 类似于如 Strut2/SpringMVC 这种 web 框架的前端控制器，是安全控制的入口点，其 负责读取配置（如ini 配置文件），然后判断URL 是否需要登录/权限等工作。

(2)拦截配置

• [urls] 部分的配置，其格式是： “url=拦截器[参数]，拦截 器[参数]”；

• 如果当前请求的 url 匹配 [urls] 部分的某个 url 模式，将会 执行其配置的拦截器。

• 拦截url时候,有两种情况,

  • 拦截放行,执行对应的url请求,例如anon
  • 拦截不放行,执行相应关键字的操作 ,例如logout

• anon（anonymous） 拦截器表示匿名访问（即不需要登 录即可访问）

• authc （authentication）拦截器表示需要身份认证通过后 才能访问

(3)URL 匹配模式和匹配顺序

• url 模式使用 Ant 风格模式
• Ant 路径通配符支持 ?、*、**，注意通配符匹配不 包括目录分隔符“/”：
  • – ?：匹配一个字符，如 /admin? 将匹配 /admin1，但不 匹配 /admin 或 /admin/；
  • – *：匹配零个或多个字符串，如 /admin 将匹配 /admin、 /admin123，但不匹配 /admin/1；
  • – ：匹配路径中的零个或多个路径，如 /admin/ 将匹 配 /admin/a 或 /admin/a/b
• URL 权限采取第一次匹配优先的方式，即从头开始 使用第一个匹配的 url 模式对应的拦截器链。

---

四、shiro Web模块改进

1. 认证

(1)认证思路

1. 获取当前的 Subject. 调用 SecurityUtils.getSubject();
2. 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated()
3. 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象
   1). 创建一个表单页面
   2). 把请求提交到 SpringMVC 的 Handler
   3). 获取用户名和密码.
4. 执行登录: 调用 Subject 的 login(AuthenticationToken) 方法.
5. 自定义 Realm 的方法, 从数据库中获取对应的记录, 返回给 Shiro.
   1). 实际上需要继承 org.apache.shiro.realm.AuthenticatingRealm 类
   2). 实现 doGetAuthenticationInfo(AuthenticationToken) 方法.
6. 由 shiro 完成对密码的比对.

(2)代码实现(单个Realm实现)

/*
 *	Controller层
 */
@RequestMapping("/login")
public String login(@RequestParam("username") String username, 
                    @RequestParam("password") String password){
  Subject currentUser = SecurityUtils.getSubject();

  if (!currentUser.isAuthenticated()) {
    // 把用户名和密码封装为 UsernamePasswordToken 对象
    UsernamePasswordToken token = new UsernamePasswordToken(username, password);
    // rememberme
    token.setRememberMe(true);
    try {
      System.out.println("1. " + token.hashCode());
      // 执行登录. 
      currentUser.login(token);
    } 
    // ... catch more exceptions here (maybe custom ones specific to your application?
    // 所有认证时异常的父类. 
    catch (AuthenticationException ae) {
      //unexpected condition?  error?
      System.out.println("登录失败: " + ae.getMessage());
    }
  }

  return "redirect:/list.jsp";
}


/*
 *	认证的ShiroRealm层,ShiroRealm继承AuthorizingRealm
 *	请求中获取的用户名密码,通过执行controller的currentUser.login(token)方法,token会传入到doGetAuthenticationInfo(AuthenticationToken token)方法中,所以这儿可以对用户名和密码进行验证等
 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
  AuthenticationToken token) throws AuthenticationException {
  System.out.println("[FirstRealm] doGetAuthenticationInfo");

  //1. 把 AuthenticationToken 转换为 UsernamePasswordToken 
  UsernamePasswordToken upToken = (UsernamePasswordToken) token;

  //2. 从 UsernamePasswordToken 中来获取 username
  String username = upToken.getUsername();

  //3. 调用数据库的方法, 从数据库中查询 username 对应的用户记录
  System.out.println("从数据库中获取 username: " + username + " 所对应的用户信息.");

  //4. 若用户不存在, 则可以抛出 UnknownAccountException 异常
  if("unknown".equals(username)){
    throw new UnknownAccountException("用户不存在!");
  }

  //5. 根据用户信息的情况, 决定是否需要抛出其他的 AuthenticationException 异常. 
  if("monster".equals(username)){
    throw new LockedAccountException("用户被锁定");
  }

  //6. 根据用户的情况, 来构建 AuthenticationInfo 对象并返回. 通常使用的实现类为: SimpleAuthenticationInfo
  //以下信息是从数据库中获取的.
  //1). principal: 认证的实体信息. 可以是 username, 也可以是数据表对应的用户的实体类对象. 
  Object principal = username;
  //2). credentials: 密码. 
  Object credentials = null; //"fc1709d0a95a6be30bc5926fdb7f22f4";
  if("admin".equals(username)){
    credentials = "038bdaf98f2037b31f1e75b5b4c9b26e";
  }else if("user".equals(username)){
    credentials = "098d2c478e9c11555ce2823231e02ec1";
  }

  //3). realmName: 当前 realm 对象的 name. 调用父类的 getName() 方法即可
  String realmName = getName();
  //4). 盐值. 
  ByteSource credentialsSalt = ByteSource.Util.bytes(username);

  // SimpleAuthenticationInfo是AuthenticationInfo的实现类
  SimpleAuthenticationInfo info = null; 
  //这是不加密的密码使用的参数
  //new SimpleAuthenticationInfo(principal, credentials, realmName);
  info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);
  return info;
}

(3)用户登出的实现

• 页面标签

  <a href="shiro/logout">Logout</a>
  

• applicationContext.xml中第六步配置页面请求拦截

  • /shiro/logout = logout

(4)密码MD5加密

密码的比对:
通过 AuthenticatingRealm 的 credentialsMatcher 属性来进行的密码的比对!

1. 为什么使用 MD5 盐值加密:

2. 如何做到:
   1). 在 doGetAuthenticationInfo 方法返回值创建 SimpleAuthenticationInfo 对象的时候, 需要使用
   SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName) 构造器
   2). 使用 ByteSource.Util.bytes() 来计算盐值.
   3). 盐值需要唯一: 一般使用随机字符串或 user id
   4). 使用 new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations); 来计算盐值加密后的密码的值.

3. 如何把一个字符串加密为 MD5

4. 替换当前 Realm 的 credentialsMatcher 属性. 直接使用 HashedCredentialsMatcher 对象, 并设置加密算法即可.

5. 需要applicationCont.xml中更改(第三步)

   <!--
   	HashedCredentialsMatcher可以选择加密类型,这里选择MD5,实现把请求中获取到的密码实现	MD5加密,这里加密1024次
   -->
   <bean id="jdbcRealm" class="com.atguigu.shiro.realms.ShiroRealm">
     <property name="credentialsMatcher">
       <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
         <property name="hashAlgorithmName" value="MD5"></property>
         <property name="hashIterations" value="1024"></property>
       </bean>
     </property>
   </bean>
   

盐值加密的好处:

• 实际两个用户的密码是相同的,但是盐值加密之后mysql中的密码是不同的

• 防止密码相同用户名不同的用户,存在安全隐患

• 用户名是唯一的,使用用户名作为盐值,对密码进行MD5的加密,这样验证出来的用户登录只能是唯一的

(5)多Realm验证登录

应用场景: 数据存放在不同的数据库中,不同的数据库加密的方法又不一样,比如MD5和SHA1

1. applicationContext.xml配置修改

   • 添加了一个Realm(原来只有一个),在SecurityManager!管理新添加的两个Realm,使他们同时生效
   • 添加的两个Realm,代码一样,只是生成密码的策略不一样(实际多个Realm就是在比对不同的加密策略之后的密码)

   <!--  
       1. 配置 SecurityManager!
       -->     
   <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
     <property name="cacheManager" ref="cacheManager"/>
     <property name="authenticator" ref="authenticator"></property>
   
     <property name="realms">
       <list>
         <ref bean="jdbcRealm"/>
         <ref bean="secondRealm"/>
       </list>
     </property>
     
     <property name="rememberMeManager.cookie.maxAge" value="10"></property>
   </bean>
   
   <!-- 
        3. 配置 Realm 
        3.1 直接配置实现了 org.apache.shiro.realm.Realm 接口的 bean
       -->     
   <bean id="jdbcRealm" class="com.atguigu.shiro.realms.ShiroRealm">
     <property name="credentialsMatcher">
       <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
         <property name="hashAlgorithmName" value="MD5"></property>
         <property name="hashIterations" value="1024"></property>
       </bean>
     </property>
   </bean>
   
   <bean id="secondRealm" class="com.atguigu.shiro.realms.SecondRealm">
     <property name="credentialsMatcher">
       <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
         <property name="hashAlgorithmName" value="SHA1"></property>
         <property name="hashIterations" value="1024"></property>
       </bean>
     </property>
   </bean>
   

2. 多Realm配置策略

   • 默认使用AtLeastOneSuccessfulStrategy策略

• 修改策略时修改bean标签(第二步)

  <bean id="authenticator" 
        class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
    <property name="authenticationStrategy">
      <!-- 修改这个地方 -->
      <bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy">		</bean>
    </property>
  </bean>
  

2. 授权

(1)授权思路

1. 授权需要继承 AuthorizingRealm 类, 并实现其 doGetAuthorizationInfo 方法
2. AuthorizingRealm 类继承自 AuthenticatingRealm, 但没有实现 AuthenticatingRealm 中的
   doGetAuthenticationInfo, 所以认证和授权只需要继承 AuthorizingRealm 就可以了. 同时实现他的两个抽象方法.

(2)权限配置规则

1. applicationContext.xml

   <!--
   	第六步:需要对请求添加一个权限配置
   		/user.jsp = roles[user]
   		->有user权限的用户才可以访问/user.jsp
      	 	/admin.jsp = roles[admin]
   		->有admin权限的用户才可以访问/admin.jsp
   -->
   <property name="filterChainDefinitions">
     <value>
       /login.jsp = anon
       /shiro/login = anon
       /shiro/logout = logout
   
       /user.jsp = roles[user]
       /admin.jsp = roles[admin]
   
       # everything else requires authentication:
       /** = authc
     </value>
   </property>
   

2. 具体权限配置规则

3. 代码实现

   public class ShiroRealm extends AuthorizingRealm {
     /*
      *	登录认证被调用的方法
      */
     protected AuthenticationInfo doGetAuthenticationInfo(
       AuthenticationToken token) throws AuthenticationException {
       ...
     }
     /*
      * 	MD5盐值加密,生产数据库加密后的密码
      */
     public static void main(String[] args) {
       ...
     }
     /*
      *	授权会被 shiro 回调的方法
      */
     @Override
     protected AuthorizationInfo doGetAuthorizationInfo(
       PrincipalCollection principals) {
       //1. 从 PrincipalCollection 中来获取登录用户的信息
       Object principal = principals.getPrimaryPrincipal();
       //2. 利用登录的用户的信息来用户当前用户的角色或权限(可能需要查询数据库,这儿是与applicationContext.xml中配置去比较)
   	//可以从mysql中直接查询获取某一个用户的权限,与请求路径中中权限设置做对比,决定是否能访问访问该路径
       Set<String> roles = new HashSet<>();
       roles.add("user");
       if("admin".equals(principal)){
         roles.add("admin");
       }
       //3. 创建 SimpleAuthorizationInfo, 并设置其 reles 属性.
       SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
       //4. 返回 SimpleAuthorizationInfo 对象. 
       return info;
     }
   }
   

(3)Shiro标签

• Shiro 提供了 JSTL 标签用于在 JSP 页面进行权限控制，如 根据登录用户显示相应的页面按钮

导入标签库
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

<shiro:guest>
    游客访问 <a href = "login.jsp"></a>
</shiro:guest>
 
user 标签：用户已经通过认证\记住我 登录后显示响应的内容
<shiro:user>
    欢迎[<shiro:principal/>]登录 <a href = "logout">退出</a>
</shiro:user>
 
authenticated标签：用户身份验证通过，即 Subjec.login 登录成功 不是记住我登录的
<shiro:authenticted>
    用户[<shiro:principal/>] 已身份验证通过
</shiro:authenticted>
 
notAuthenticated标签：用户未进行身份验证，即没有调用Subject.login进行登录,包括"记住我"也属于未进行身份验证
<shiro:notAuthenticated>
    未身份验证(包括"记住我")
</shiro:notAuthenticated>
 
 
principal 标签：显示用户身份信息，默认调用
Subjec.getPrincipal()获取，即Primary Principal
<shiro:principal property = "username"/>
 
hasRole标签：如果当前Subject有角色将显示body体内的内容
<shiro:hashRole name = "admin">
    用户[<shiro:principal/>]拥有角色admin
</shiro:hashRole>
 
hasAnyRoles标签：如果Subject有任意一个角色(或的关系)将显示body体里的内容
<shiro:hasAnyRoles name = "admin,user">
    用户[<shiro:pricipal/>]拥有角色admin 或者 user
</shiro:hasAnyRoles>
 
lacksRole:如果当前 Subjec没有角色将显示body体内的内容
<shiro:lacksRole name = "admin">
    用户[<shiro:pricipal/>]没有角色admin
</shiro:lacksRole>
 
hashPermission:如果当前Subject有权限将显示body体内容
<shiro:hashPermission name = "user:create">
    用户[<shiro:pricipal/>] 拥有权限user:create
</shiro:hashPermission>
 
lacksPermission:如果当前Subject没有权限将显示body体内容
<shiro:lacksPermission name = "org:create">
    用户[<shiro:pricipal/>] 没有权限org:create
</shiro:lacksPermission>

(4)权限注解

注意: 注解一般可以加载service和controller层,但是如果service层已经加了@transaction,这个时候权限注解就只能加到controller层,否则两个代理,会报类型转换异常

(5)从数据表中初始化资源和权限

• 之前一直都是在applicationContext.xml中配置请求路径权限(第六步)
• 改为配置从数据库拿,使用代码方式

1. 配置applicationContext.xml

   第六步中注释掉<property name="filterChainDefinitions">此标签,添加如下标签:
   <property name="filterChainDefinitionMap" ref="filterChainDefinitionMap"></property>
     
   <!-- 配置一个 bean, 该 bean 实际上是一个 Map. 通过实例工厂方法的方式 -->
   <bean id="filterChainDefinitionMap" 
           factory-bean="filterChainDefinitionMapBuilder" factory-method="buildFilterChainDefinitionMap"></bean>
   
   <bean id="filterChainDefinitionMapBuilder"
           class="com.atguigu.shiro.factory.FilterChainDefinitionMapBuilder"></bean>
   

2. 实现一个类

   public class FilterChainDefinitionMapBuilder {
   
   	public LinkedHashMap<String, String> buildFilterChainDefinitionMap(){
   		LinkedHashMap<String, String> map = new LinkedHashMap<>();
   		
   		map.put("/login.jsp", "anon");
   		map.put("/shiro/login", "anon");
   		map.put("/shiro/logout", "logout");
   		map.put("/user.jsp", "authc,roles[user]");
   		map.put("/admin.jsp", "authc,roles[admin]");
   		map.put("/list.jsp", "user");
   		
   		map.put("/**", "authc");
   		
   		return map;
   	}
   }
   

3.会话管理(Session)

1. controller层

   @RequestMapping("/testShiroAnnotation")
   public String testShiroAnnotation(HttpSession session){
     session.setAttribute("key", "value12345");
     shiroService.testMethod();
     return "redirect:/list.jsp";
   }
   

2. service层

   Session session = SecurityUtils.getSubject().getSession();
   Object val = session.getAttribute("key");
   

3. 所以service中的shiro中的session可以获取到controller中的http中的session,会很方便

4. SessionDao,这个看PPT,好像是不怎么用,大概了解一下

4.缓冲

1. 没怎么讲,看PPT
2. 实际工作中使用redis做shiro缓冲

5. RememberMe功能

1. controller层使用

   • token.setRememberMe(true);
   • 开启记住我权限为true,每次登录都会记住
   • 实际开发中,会有个单选框,如果勾选就执行token.setRememberMe(true);不勾选就不执行

2. RememberMe的实际设置

   <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">中设置下面属性(第一步):
     
   <property name="rememberMeManager.cookie.maxAge" value="10"></property>
   

3. Shiro 提供了记住我（RememberMe）的功能，比如访问如淘宝 等一些网站时，关闭了浏览器，下次再打开时还是能记住你是谁， 下次访问时无需再登录即可访问，基本流程如下：

4. 首先在登录页面选中 RememberMe 然后登录成功；如果是 浏览器登录，一般会把 RememberMe 的Cookie 写到客户端并 保存下来；

5. 关闭浏览器再重新打开；会发现浏览器还是记住你的；

6. 访问一般的网页服务器端还是知道你是谁，且能正常访问；

7. 但是比如我们访问淘宝时，如果要查看我的订单或进行支付 时，此时还是需要再进行身份认证的，以确保当前用户还是你。

8. 认证和记住我

   1. subject.isAuthenticated() 表示用户进行了身份验证登录的， 即使有 Subject.login 进行了登录；
   2. subject.isRemembered()：表示用户是通过记住我登录的， 此时可能并不是真正的你（如你的朋友使用你的电脑，或者 你的cookie 被窃取）在访问的
   3. 两者二选一，即 subject.isAuthenticated()=true，则 subject.isRemembered()=false；反之一样