shiro框架详解 shiro框架的认证和授权流程

Shiro是什么?

Shiro是一个安全管理的框架，其可以实现常见安全管理相关的所有功能。包括：认证，鉴权，加密，记住等等。

其实很多妹纸从去年开始才知道Shiro这个品牌，这也很正常，因为shiro的前身叫LAUREL.北海道的一个小众护肤品牌、一直是走清新天然成分路线(性冷淡路线)成分天然基本上不添加化学物质、含有精油成分。

有哪些类型？Shiro味噌味噌是用大米和大豆做成的，颜色几乎是白色的。它只需要三个月左右的时间就成熟了，这意味着它尝起来温和而甜。味噌拉面麦吉味噌是由大麦制成的，由于成熟过程略长，颜色略红。

shiro中的anon,authc啥意思

Apache Shiro验证（Authentication）验证（Authentication）：身份验证的过程--也就是证明一个用户的真实身份。为了证明用户身份，需要提供系统理解和相信的身份信息和证据。

前者是认证过，后者是登录过，如果开启了Readmemberme功能的话，后者也是可以通过的，而前者通过不了。故我们用authc来校验一些关键操作，比如购买，我们可以采用user校验即可。

= none /** = authc 使用shiro内置拦截器照样拦截前面所有的，因为我是无状态，在访问的时候会报错的。，但是不注入自定义拦截器就是正常的。注入自定义拦截器，感觉整个拦截器链都混乱了，弄了一下午没有弄好这个问题。

Shiro+SessionId构建token鉴权体系

1、后台的管理系统是采用码云上开源的renren-security系统，该系统采用的认证框架是Shiro。考虑系统采用原本的权限控制采用Session方式，整体风险大且时间周期长，所以整合考虑采用SessionId作为token的方式，进行无状态的token认证方式。

2、携带refresh_token，如果是生产环境不会直接携带refresh_token信息，详见以下防重放攻击。 获取token 根据环境不同而有不同的获取token方式。 解析token 通过JWT工具将token解析。

3、步骤如下：集群下如何实现token鉴权。服务端创建一个加密后的JWT信息，作为Token返回。在后续请求中JWT信息作为请求头，发给服务端。

shiro怎么实现免账号密码,通过验证身份码登陆并授权

首先使用SHA256算法加密密码明文，UserService层实现。

使用Shiro实现无状态登录的主要步骤有，禁用缓存、设置不创建session、关闭Session验证、关闭Session存储、注入自定义拦截器、开启Shiro的注解(如@RequiresRoles，@RequiresPermissions)等。

启动项目，正常登录后关闭浏览器，再打开浏览器输入 http：//localhost：8080/index ，这时候就可以直接访问index页面，不需要再登录了。

登录时，POST用户名与密码到/login进行登入，如果成功返回一个会话ID，以会话ID作为token，失败的话直接返回401错误。