关于java:权限认证Shiro安全框架

Shiro平安框架简介

1. Shiro概述

Shiro是apache旗下一个开源平安框架(http://shiro.apache.org/)，它将软件系统的平安认证相干的性能抽取进去，实现用户身份认证，权限受权、加密、会话治理等性能，组成了一个通用的平安认证框架。应用shiro就能够十分疾速的实现认证、受权等性能的开发，升高零碎老本。

用户在进行资源拜访时，要求零碎要对用户进行权限管制,其具体流程如图-1所示：

图-1

1. Shiro概要架构

在概念层面，Shiro 架构蕴含三个次要的理念，如图-2所示：

图-2

其中：

1. Subject :主体对象，负责提交用户认证和受权信息。
2. SecurityManager：平安管理器，负责认证，受权等业务实现。
3. Realm：畛域对象，负责从数据层获取业务数据。

4. Shiro具体架构

Shiro框架进行权限治理时,要波及到的一些外围对象,次要包含:认证治理对象,受权治理对象,会话治理对象,缓存治理对象,加密治理对象以及Realm治理对象(畛域对象:负责解决认证和受权畛域的数据访问题)等，其具体架构如图-3所示：

图-3

其中：

1. Subject（主体）:与软件交互的一个特定的实体（用户、第三方服务等）。
2. SecurityManager(平安管理器) :Shiro 的外围，用来协调治理组件工作。
3. Authenticator(认证管理器):负责执行认证操作。
4. Authorizer(受权管理器):负责受权检测。
5. SessionManager(会话治理):负责创立并治理用户 Session 生命周期，提供一个强有力的 Session 体验。
6. SessionDAO:代表 SessionManager 执行 Session 长久（CRUD）动作，它容许任何存储的数据挂接到 session 治理根底上。
7. CacheManager（缓存管理器）:提供创立缓存实例和治理缓存生命周期的性能。
8. Cryptography(加密管理器):提供了加密形式的设计及治理。
9. Realms(畛域对象):是shiro和你的应用程序平安数据之间的桥梁。

Shiro框架认证拦挡实现（filter）

1. Shiro根本环境配置

2. 增加shiro依赖

实用spring整合shiro时，须要在pom.xml中增加如下依赖：

<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.3</version></dependency>

1. Shiro外围对象配置

   基于SpringBoot 实现的我的项目中，没有提供shiro的自动化配置，须要咱们本人配置。

第一步:创立SpringShiroConfig类。要害代码如下：

package com.cy.pj.common.config;/**@Configuration 注解形容的类为一个配置对象, * 此对象也会交给spring治理 */@Configurationpublic class SpringShiroConfig {}

第二步：在Shiro配置类中增加SecurityManager配置(这里肯定要应用org.apache.shiro.mgt.SecurityManager这个接口对象)，要害代码如下：

@Beanpublic SecurityManager securityManager() { DefaultWebSecurityManager sManager= new DefaultWebSecurityManager(); return sManager;}

第三步: 在Shiro配置类中增加ShiroFilterFactoryBean对象的配置。通过此对象设置资源匿名拜访、认证拜访。要害代码如下：

@Beanpublic ShiroFilterFactoryBean shiroFilterFactory ( SecurityManager securityManager) { ShiroFilterFactoryBean sfBean= new ShiroFilterFactoryBean(); sfBean.setSecurityManager(securityManager); //定义map指定申请过滤规定(哪些资源容许匿名拜访,哪些必须认证拜访) LinkedHashMap<String,String> map= new LinkedHashMap<>(); //动态资源容许匿名拜访:"anon" map.put("/bower_components/**","anon"); map.put("/build/**","anon"); map.put("/dist/**","anon"); map.put("/plugins/**","anon"); //除了匿名拜访的资源,其它都要认证("authc")后拜访 map.put("/**","authc"); sfBean.setFilterChainDefinitionMap(map); return sfBean; }

其配置过程中,对象关系如下图-4所示:

图-4

1. Shiro登陆页面出现

2. 服务端Controller实现

• 业务形容及设计实现

当服务端拦挡到用户申请当前,断定此申请是否曾经被认证,如果没有认证应该先跳转到登录页面。

• 要害代码剖析及实现.

第一步：在PageController中增加一个出现登录页面的办法,要害代码如下：

@RequestMapping("doLoginUI")public String doLoginUI(){ return "login";}

第二步：批改SpringShiroConfig类中shiroFilterFactorybean的配置，增加登陆url的设置。要害代码见sfBean.setLoginUrl("/doLoginUI")局部。

@Beanpublic ShiroFilterFactoryBean shiroFilterFactory ( SecurityManager securityManager) { ShiroFilterFactoryBean sfBean= new ShiroFilterFactoryBean(); sfBean.setSecurityManager(securityManager); sfBean.setLoginUrl("/doLoginUI");//定义map指定申请过滤规定(哪些资源容许匿名拜访,哪些必须认证拜访) LinkedHashMap<String,String> map= new LinkedHashMap<>(); //动态资源容许匿名拜访:"anon" map.put("/bower_components/**","anon"); map.put("/modules/**","anon"); map.put("/dist/**","anon"); map.put("/plugins/**","anon"); //除了匿名拜访的资源,其它都要认证("authc")后拜访 map.put("/**","authc"); sfBean.setFilterChainDefinitionMap(map); return sfBean;}

1. 客户端页面实现

• 业务形容及设计实现。

在/templates/pages/增加一个login.html页面,而后将我的项目部署到web服务器,并启动测试运行.

• 要害代码剖析及实现。

具体代码见我的项目中login.html。

1. Shiro框架认证业务实现

2. 认证流程剖析

身份认证即断定用户是否是零碎的非法用户，用户拜访系统资源时的认证（对用户身份信息的认证）流程图-5所示:

图-5

其中认证流程剖析如下:

1. 零碎调用subject的login办法将用户信息提交给SecurityManager
2. SecurityManager将认证操作委托给认证器对象Authenticator
3. Authenticator将用户输出的身份信息传递给Realm。
4. Realm拜访数据库获取用户信息而后对信息进行封装并返回。
5. Authenticator 对realm返回的信息进行身份认证。

思考：不应用shiro框架如何实现认证操作？filter，intercetor。

1. 认证服务端实现

2. 外围业务剖析

认证业务API解决流程剖析，如图-6所示：

图-6

1. DAO接口定义

• 业务形容及设计实现。

在用户数据层对象SysUserDao中，按特定条件查问用户信息，并对其进行封装。

• 要害代码剖析及实现。

在SysUserDao接口中，增加依据用户名获取用户对象的办法，要害代码如下：

SysUser findUserByUserName(String username)。

1. Mapper元素定义

• 业务形容及设计实现。

依据SysUserDao中定义的办法，在SysUserMapper文件中增加元素定义。

• 要害代码剖析及实现。

基于用户名获取用户对象的办法，要害代码如下：

<select id="findUserByUserName" resultType="com.cy.pj.sys.entity.SysUser"> select * from sys_users  where username=#{username} </select>

1. Service接口及实现

• 业务形容及设计实现。

本模块的业务在Realm类型的对象中进行实现，咱们编写realm时，要继承

AuthorizingRealm并重写相干办法，实现认证及受权业务数据的获取及封装。

• 要害代码剖析及实现。

第一步：定义ShiroUserRealm类，要害代码如下：

package com.cy.pj.sys.service.realm;@Servicepublic class ShiroUserRealm extends AuthorizingRealm { @Autowired private SysUserDao sysUserDao; /** * 设置凭证匹配器(与用户增加操作应用雷同的加密算法) */ @Override public void setCredentialsMatcher( CredentialsMatcher credentialsMatcher) { //构建凭证匹配对象 HashedCredentialsMatcher cMatcher= new HashedCredentialsMatcher(); //设置加密算法 cMatcher.setHashAlgorithmName("MD5"); //设置加密次数 cMatcher.setHashIterations(1); super.setCredentialsMatcher(cMatcher); } /** * 通过此办法实现认证数据的获取及封装,零碎 * 底层会将认证数据传递认证管理器，由认证 * 管理器实现认证操作。 */ @Override protected AuthenticationInfo doGetAuthenticationInfo( AuthenticationToken token) throws AuthenticationException { //1.获取用户名(用户页面输出) UsernamePasswordToken upToken= (UsernamePasswordToken)token; String username=upToken.getUsername(); //2.基于用户名查问用户信息 SysUser user= sysUserDao.findUserByUserName(username); //3.断定用户是否存在 if(user==null) throw new UnknownAccountException(); //4.断定用户是否已被禁用。 if(user.getValid()==0) throw new LockedAccountException(); //5.封装用户信息 ByteSource credentialsSalt= ByteSource.Util.bytes(user.getSalt()); //记住：构建什么对象要看办法的返回值 SimpleAuthenticationInfo info= new SimpleAuthenticationInfo( user,//principal (身份) user.getPassword(),//hashedCredentials credentialsSalt, //credentialsSalt getName());//realName //6.返回封装后果 return info;//返回值会传递给认证管理器(后续 //认证管理器会通过此信息实现认证操作) } ....}

第二步：对此realm，须要在SpringShiroConfig配置类中，注入给SecurityManager对象,批改securityManager办法，见黄色背景局部，例如:

@Beanpublic SecurityManager securityManager(Realm realm) { DefaultWebSecurityManager sManager= new DefaultWebSecurityManager(); sManager.setRealm(realm); return sManager;}

1. Controller 类实现

• 业务形容及设计实现。

在此对象中定义相干办法，解决客户端的登陆申请，例如获取用户名，明码等而后提交该shiro框架进行认证。

• 要害代码剖析及实现。

第一步：在SysUserController中增加解决登陆的办法。要害代码如下：

 @RequestMapping("doLogin") public JsonResult doLogin(String username,String password){ //1.获取Subject对象 Subject subject=SecurityUtils.getSubject(); //2.通过Subject提交用户信息,交给shiro框架进行认证操作 //2.1对用户进行封装 UsernamePasswordToken token= new UsernamePasswordToken( username,//身份信息 password);//凭证信息 //2.2对用户信息进行身份认证 subject.login(token); //剖析: //1)token会传给shiro的SecurityManager //2)SecurityManager将token传递给认证管理器 //3)认证管理器会将token传递给realm return new JsonResult("login ok"); }

第二步：批改shiroFilterFactory的配置，对/user/doLogin这个门路进行匿名拜访的配置，查看如下黄色标记局部的代码:

@Beanpublic ShiroFilterFactoryBean shiroFilterFactory ( SecurityManager securityManager) { ShiroFilterFactoryBean sfBean= new ShiroFilterFactoryBean(); sfBean.setSecurityManager(securityManager); //如果没有认证申请先拜访此认证的url sfBean.setLoginUrl("/doLoginUI"); //定义map指定申请过滤规定(哪些资源容许匿名拜访,哪些必须认证拜访) LinkedHashMap<String,String> map= new LinkedHashMap<>(); //动态资源容许匿名拜访:"anon" map.put("/bower_components/**","anon"); map.put("/build/**","anon"); map.put("/dist/**","anon"); map.put("/plugins/**","anon"); map.put("/user/doLogin","anon"); //authc示意，除了匿名拜访的资源,其它都要认证("authc")后能力拜访拜访 map.put("/**","authc"); sfBean.setFilterChainDefinitionMap(map); return sfBean; }

第三步：当咱们在执行登录操作时,为了进步用户体验,可对系统中的异样信息进行解决,例如,在对立异样解决类中增加如下办法:

@ExceptionHandler(ShiroException.class) @ResponseBody public JsonResult doHandleShiroException( ShiroException e) { JsonResult r=new JsonResult(); r.setState(0); if(e instanceof UnknownAccountException) { r.setMessage("账户不存在"); }else if(e instanceof LockedAccountException) { r.setMessage("账户已被禁用"); }else if(e instanceof IncorrectCredentialsException) { r.setMessage("明码不正确"); }else if(e instanceof AuthorizationException) { r.setMessage("没有此操作权限"); }else { r.setMessage("系统维护中"); } e.printStackTrace(); return r; }

1. 认证客户端实现

2. 编写用户登陆页面

在/templates/pages/目录下增加登陆页面(login.html)。

1. 异步登陆操作实现

点击登录操作时,将输出的用户名,明码异步提交到服务端。

$(function () { $(".login-box-body").on("click",".btn",doLogin); }); function doLogin(){ var params={ username:$("#usernameId").val(), password:$("#passwordId").val() } var url="user/doLogin"; $.post(url,params,function(result){ if(result.state==1){ //跳转到indexUI对应的页面 location.href="doIndexUI?t="+Math.random(); }else{ $(".login-box-msg").html(result.message); } }); }

1. 退出操作配置实现

在SpringShiroConfig配置类中，批改过滤规定，增加黄色标记局部代码的配置,请看如下代码:

@Beanpublic ShiroFilterFactoryBean shiroFilterFactory( SecurityManager securityManager) { ShiroFilterFactoryBean sfBean= new ShiroFilterFactoryBean(); sfBean.setSecurityManager(securityManager); //如果没有认证申请先拜访此认证的url sfBean.setLoginUrl("/doLoginUI"); //定义map指定申请过滤规定(哪些资源容许匿名拜访,哪些必须认证拜访) LinkedHashMap<String,String> map=new LinkedHashMap<>(); //动态资源容许匿名拜访:"anon" map.put("/bower_components/**","anon"); map.put("/build/**","anon"); map.put("/dist/**","anon"); map.put("/plugins/**","anon"); map.put("/user/doLogin","anon"); map.put("/doLogout","logout");  //除了匿名拜访的资源,其它都要认证("authc")后拜访 map.put("/**","authc"); sfBean.setFilterChainDefinitionMap(map); return sfBean; }

Shiro框架受权过程实现

受权流程剖析
受权即对用户资源拜访的受权（是否容许用户拜访此资源），用户拜访系统资源时的受权流程如图-7所示:

图-7
其中受权流程剖析如下：
零碎调用subject相干办法将用户信息(例如isPermitted)递交给SecurityManager。
SecurityManager将权限检测操作委托给Authorizer对象。
Authorizer将用户信息委托给realm。
Realm拜访数据库获取用户权限信息并封装。
Authorizer对用户受权信息进行断定。

 思考：思考不应用shiro如何实现受权操作？intercetor，aop。

增加受权配置
在SpringShiroConfig配置类中，增加受权时的相干配置：
第一步:配置bean对象的生命周期治理(SpringBoot能够不配置)。

@Beanpublic LifecycleBeanPostProcessor   lifecycleBeanPostProcessor() {                 return new LifecycleBeanPostProcessor();}

第二步: 通过如下配置要为指标业务对象创立代理对象（SpringBoot中可省略）。

@DependsOn("lifecycleBeanPostProcessor")@Beanpublic DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {                 return new DefaultAdvisorAutoProxyCreator();}    

第三步:配置advisor对象,shiro框架底层会通过此对象的matchs办法返回值(相似切入点)决定是否创立代理对象,进行权限管制。

@Beanpublic AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor (                                SecurityManager securityManager) {                        AuthorizationAttributeSourceAdvisor advisor=                                new AuthorizationAttributeSourceAdvisor();advisor.setSecurityManager(securityManager);        return advisor;}

阐明:应用框架最重要的尊重规定,框架规定指定了什么形式就应用什么形式。

受权服务端实现
外围业务剖析
受权时，服务端外围业务以及API剖析，如图-8所示：

图-8
Dao实现
业务形容及设计实现。
基于登陆用户ID，认证信息获取登陆用户的权限信息，并进行封装。
要害代码剖析及实现。
第一步：在SysUserRoleDao中定义基于用户id查找角色id的办法(如果办法曾经存在则无需再写)，要害代码如下：

 List<Integer> findRoleIdsByUserId(Integer id);

第二步：在SysRoleMenuDao中定义基于角色id查找菜单id的办法，要害代码如下：

List<Integer> findMenuIdsByRoleIds(                        @Param("roleIds")List<Integer> roleIds);

第三步：在SysMenuDao中基于菜单id查找权限标识的办法，要害代码如下：

List<String> findPermissions(                        @Param("menuIds")                        List<Integer> menuIds);

Mapper实现
业务形容及设计实现。
基于Dao中办法，定义映射元素。
要害代码剖析及实现。
第一步：在SysUserRoleMapper中定义findRoleIdsByUserId元素。要害代码如下：

<select id="findRoleIdsByUserId"            resultType="int">           select role_id           from sys_user_roles           where user_id=#{userId}        </select>

第二步:在SysRoleMenuMapper中定义findMenuIdsByRoleIds元素。要害代码如下：

<select id="findMenuIdsByRoleIds"         resultType="int">         select menu_id         from sys_role_menus         where role_id in          <foreach collection="roleIds"                  open="("                  close=")"                  separator=","                  item="item">               #{item}         </foreach></select>

第三步:在SysMenuMapper中定义findPermissions元素，要害代码如下：

<select id="findPermissions"           resultType="string">       select permission <!-- sys:user:update -->       from sys_menus       where id in        <foreach collection="menuIds"                open="("                close=")"                separator=","                item="item">            #{item}       </foreach>   </select>

Service实现
业务形容及设计实现。
在ShiroUserReam类中，重写对象realm的doGetAuthorizationInfo办法，并实现用户权限信息的获取以及封装，最初将信息传递给受权管理器实现受权操作。
要害代码剖析及实现。
批改ShiroUserRealm类中的doGetAuthorizationInfo办法，要害代码如下：

@Servicepublic class ShiroUserRealm extends AuthorizingRealm {        @Autowired        private SysUserDao sysUserDao;        @Autowired        private SysUserRoleDao sysUserRoleDao;        @Autowired        private SysRoleMenuDao sysRoleMenuDao;        @Autowired        private SysMenuDao sysMenuDao;        /**通过此办法实现受权信息的获取及封装*/        @Override        protected AuthorizationInfo doGetAuthorizationInfo(                PrincipalCollection principals) {                //1.获取登录用户信息，例如用户id                SysUser user=(SysUser)principals.getPrimaryPrincipal();                Integer userId=user.getId();                //2.基于用户id获取用户领有的角色(sys_user_roles)                List<Integer> roleIds=                sysUserRoleDao.findRoleIdsByUserId(userId);                if(roleIds==null||roleIds.size()==0)                throw new AuthorizationException();                //3.基于角色id获取菜单id(sys_role_menus)                List<Integer> menuIds=                sysRoleMenuDao.findMenuIdsByRoleIds(roleIds);            if(menuIds==null||menuIds.size()==0)            throw new AuthorizationException();                //4.基于菜单id获取权限标识(sys_menus)            List<String> permissions=            sysMenuDao.findPermissions(menuIds);                //5.对权限标识信息进行封装并返回            Set<String> set=new HashSet<>();            for(String per:permissions){                    if(!StringUtils.isEmpty(per)){                            set.add(per);                    }            }            SimpleAuthorizationInfo info=            new SimpleAuthorizationInfo();            info.setStringPermissions(set);                return info;//返回给受权管理器        }   。。。。}

受权拜访实形容现
在须要进行受权拜访的业务层（Service）办法上，增加执行此办法须要的权限标识，参考代码@RequiresPermissions(“sys:user:update”)
阐明：此要注解肯定要增加到业务层办法上。

Shiro扩大性能利用

Shiro缓存配置
当咱们进行受权操作时,每次都会从数据库查问用户权限信息,为了进步受权性能,能够将用户权限信息查问进去当前进行缓存,下次受权时从缓存取数据即可。
Shiro中内置缓存利用实现,其步骤如下:
第一步:在SpringShiroConfig中配置缓存Bean对象(Shiro框架提供)。

@Beanpublic CacheManager shiroCacheManager(){         return new MemoryConstrainedCacheManager();}

阐明:这个CacheManager对象的名字不能写cacheManager,因为spring容器中曾经存在一个名字为cacheManager的对象了.
第二步:批改securityManager的配置，将缓存对象注入给SecurityManager对象。
@Bean
public SecurityManager securityManager(

                    Realm realm,                    CacheManager cacheManager) {             DefaultWebSecurityManager sManager=             new DefaultWebSecurityManager();             sManager.setRealm(realm);             sManager.setCacheManager(cacheManager);             return sManager;

}
阐明:对于shiro框架而言,还能够借助第三方的缓存产品(例如redis)对用户的权限信息进行cache操作.
Shiro记住我
记住我性能是要在用户登录胜利当前,如果敞开浏览器,下次再拜访系统资源(例如首页doIndexUI)时,无需再执行登录操作。
客户端业务实现
在页面上选中记住我,而后执行提交操作,将用户名,明码,记住我对应的值提交到管制层，如图-9所示：

图-9
其客户端login.html中要害JS实现:

 function doLogin(){          var params={                 username:$("#usernameId").val(),                 password:$("#passwordId").val(),                 isRememberMe:$("#rememberId").prop("checked"),          }          var url="user/doLogin";          console.log("params",params);          $.post(url,params,function(result){                  if(result.state==1){                        //跳转到indexUI对应的页面                        location.href="doIndexUI?t="+Math.random();                  }else{                        $(".login-box-msg").html(result.message);                   }                  return false;//避免刷新时反复提交          });  }服务端业务实现服务端业务实现的具体步骤如下:第一步:在SysUserController中的doLogin办法中基于是否选中记住我，设置token的setRememberMe办法。@RequestMapping("doLogin")         @ResponseBody         public JsonResult doLogin(                         boolean isRememberMe,                         String username,                         String password) {                 //1.封装用户信息                 UsernamePasswordToken token=                 new UsernamePasswordToken(username, password);                 if(isRememberMe) {                        token.setRememberMe(true);                  }                 //2.提交用户信息                 Subject subject=SecurityUtils.getSubject();                 subject.login(token);//token会提交给securityManager                 return new JsonResult("login ok");         }第二步:在SpringShiroConfig配置类中增加记住我配置，要害代码如下：@Bean         public RememberMeManager rememberMeManager() {                 CookieRememberMeManager cManager=                 new CookieRememberMeManager();  SimpleCookie cookie=new SimpleCookie("rememberMe");                 cookie.setMaxAge(7*24*60*60);                 cManager.setCookie(cookie);                 return cManager;         }第三步:在SpringShiroConfig中批改securityManager的配置，为securityManager注入rememberManager对象。参考黄色局部代码。         @Bean         public SecurityManager securityManager(                        Realm realm,CacheManager cacheManagerRememberMeManager rememberManager) {                 DefaultWebSecurityManager sManager=                 new DefaultWebSecurityManager();                 sManager.setRealm(realm);                 sManager.setCacheManager(cacheManager);                 sManager.setRememberMeManager(rememberManager);                 return sManager;         }

第四步:批改shiro的过滤认证级别，将/=author批改为/=user,查看黄色背景局部。

@Bean         public ShiroFilterFactoryBean shiroFilterFactory(                         SecurityManager securityManager) {                 ShiroFilterFactoryBean sfBean=                 new ShiroFilterFactoryBean();                 sfBean.setSecurityManager(securityManager);                 //如果没有认证申请先拜访此认证的url                 sfBean.setLoginUrl("/doLoginUI");                 //定义map指定申请过滤规定(哪些资源容许匿名拜访,哪些必须认证拜访)                 LinkedHashMap<String,String> map=                                 new LinkedHashMap<>();                 //动态资源容许匿名拜访:"anon"                 map.put("/bower_components/**","anon");                 map.put("/build/**","anon");                 map.put("/dist/**","anon");                 map.put("/plugins/**","anon");                 map.put("/user/doLogin","anon");                 map.put("/doLogout", "logout");//主动查LoginUrl                 //除了匿名拜访的资源,其它都要认证("authc")后拜访                 map.put("/**","user");//authc                 sfBean.setFilterChainDefinitionMap(map);                 return sfBean;         }

阐明:查看浏览器cookie设置,可在浏览器中输出如下语句。
chrome://settings/content/cookies
Shiro会话时长配置
应用shiro框架实现认证操作,用户登录胜利会将用户信息写入到会话对象中,其默认时长为30分钟,如果须要对此进行配置,可参考如下配置:
第一步：在SpringShiroConfig类中，增加会话管理器配置。要害代码如下：

@Bean   public SessionManager sessionManager() {                 DefaultWebSessionManager sManager=                                 new DefaultWebSessionManager();                 sManager.setGlobalSessionTimeout(60*60*1000);                 return sManager;}

第二步：在SpringShiroConfig配置类中，对平安管理器 securityManager 减少 sessionManager值的注入，要害代码如下：

@Beanpublic SecurityManager securityManager(                        Realm realm,CacheManager cacheManager,RememberMeManager rememberManager,SessionManager sessionManager) {                 DefaultWebSecurityManager sManager=                 new DefaultWebSecurityManager();                 sManager.setRealm(realm);                 sManager.setCacheManager(cacheManager);                 sManager.setRememberMeManager(rememberMeManager);                 sManager.setSessionManager(sessionManager);                 return sManager;}

课堂练习：
1.获取用户登陆信息，并将登陆用户名出现在零碎主页（starter.html）上.
第一步：定义一个工具类(ShiroUtils)，获取用户登陆信息.

package com.cy.pj.common.util;import org.apache.shiro.SecurityUtils;import com.cy.pj.sys.entity.SysUser;public class ShiroUtils {          public static String getUsername() {                  return getUser().getUsername();          }          public static SysUser getUser() {                  return  (SysUser)           SecurityUtils.getSubject().getPrincipal();          }}第二步：批改PageController中的doIndexUI办法，代码如下：        @RequestMapping("doIndexUI")        public String doIndexUI(Model model) {                SysUser user=ShiroUtils.getUser();                model.addAttribute("user",user);                return "starter";        }

第三步：借助thymeleaf中的表达式间接在页面上(starter.html)获取登陆用户信息

  <span class="hidden-xs" id="loginUserId">[[${user.username}]]</span>

2.批改登陆用户的明码？(参考用户模块文档)

剖析：
1)确定都要批改谁?(明码，盐值，批改工夫)
2)服务端的设计实现？(dao,service,controller)
3)客户端的设计实现？(异步提交用户明码信息)

Shiro总结

1. 重点和难点剖析

2. shiro 认证过程剖析及实现(断定用户身份的合法性)。
3. Shiro 受权过程剖析及实现(对资源拜访进行权限检测和受权)。
4. Shiro 缓存，会话时长，记住我等性能实现。

5. Bug剖析

6. SecurityManager包名谬误。
7. MD5加密算法设置谬误。
8. Realm对象没有交给spring治理
9. 用户名和明码接管谬误
10. CacheManager名字与Spring中内置的CacheManager名字抵触。
11. 过滤规定配置谬误?
12. ...