1、介绍：Shrio主要对用户身份的认证，授权，以及会话管理，加密等操作。
    2、核心组件：
        1.UsernamePasswordToken：封装用户登录信息，使用用户登录信息来创建令牌Token。
        2.SecurityManager：核心部分，负责安全认证和授权。
        3.Subject：一个抽象概念，包含了用户信息。
        4.Realm：开发者自定义的模块，根据项目需求，验证和授权的逻辑全部写在Realm中。
        5.AuthenticationInfo：用户角色信息集合，认证时使用。
        6.AuthorzationInfo：角色的权限信息，授权时使用。
        7.DefaultWebSecurityManager：安全管理器，开发者自定义的Realm需要注入到DefaultWebSecurityManager。
        8.ShiroFilterFactoryBean：过滤器工厂，Shiro的基本运行机制是开发者定制规则，Shiro去执行，具体的执行操作是由ShiroFilterFactoryBean创建的一个个Filter对象来完成。

以下demo涉及的角色和权限只在一张表中，多表关联请移步：

https://www.jianshu.com/p/f240a5bd46ec

3、SpringBoot整合Shiro
1.新建一个SpringBoot项目：

pom.xml文件里添加shiro依赖

新建一张数据表

pom文件添加mysql，mybatis-plus的依赖

application.yml文件配置数据库信息

创建entity包，新建一个Account类，使用@Data注解自动添加set get（IDEA自行安装lombok插件）

创建mapper包，新建一个AccountMapper接口

（以下为测试mybatis plus连接数据库功能）
右键创建一个测试类

可以正常查询到数据

3.自定义Shiro过滤器

创建一个realm包 ，编写AccountRealm类

编写配置使其生效

编写注入认证和授权规则
认证过滤器：
anon：无需认证
authc：必须认证
authcBasic：需要通过HTTPBasic
user：不一定通过认证，只要曾经被shiro记录即可。（如记住我）
授权过滤器：
perms：必须拥有某个权限才能访问
role：必须拥有某个角色才能访问
port：请求端口必须是指定值
rest：请求必须是RESTful
ssl：必须是安全的url，协议必须是https

以上逻辑写在ShiroFilterFactoryBean

新建三个页面，使其能够根据用户权限显示对应的页面

先编写一个controller

配置视图解析器

创建三个页面：main.html，manage.html，administrator.html

访问权限分别为：必须登录；必须拥有manage授权；必须是administrator角色；

访问/main，被shiro拦截 并自动跳转到login.jsp(login.jsp不存在)

创建一个index页面：显示相关菜单
（index没有设置权限 shiro不会拦截）

添加一个登录页面：
配置文件里设置登录页面，shiro自动放行

添加处理login的controller

编写一个login.html页面

认证完成，接下来写授权的逻辑

至此可测试用户登录可查看有对应权限的页面

自定义未授权页面

controller中添加处理该请求的方法

显示你好xxx 欢迎回来：

退出登录功能：

根据用户权限显示页面对应权限的菜单功能
添加 Shiro 整合 Thymeleaf 依赖
1.添加依赖

2.配置类添加ShiroDialect

3.index.html中使用

测试：

代码区：

ShiroConfig.java   

@Configuration
public class ShiroConfig {
@Bean

public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
ShiroFilterFactoryBean factoryBean =new ShiroFilterFactoryBean();
factoryBean.setSecurityManager(securityManager);
//权限设置

Mapmap =new Hashtable<>();
map.put("/main","authc");
map.put("/manage","perms[manage]");
map.put("/administrator","roles[administrator]");
factoryBean.setFilterChainDefinitionMap(map);

//设置登录页面
        factoryBean.setLoginUrl("/login");
//设置未授权页面
        factoryBean.setUnauthorizedUrl("/unauth");
return factoryBean;}
@Bean
    public DefaultWebSecurityManager securityManager(@Qualifier("accountRealm")AccountRealm accountRealm){
DefaultWebSecurityManager manager =new DefaultWebSecurityManager();
manager.setRealm(accountRealm);
return manager;
}
@Bean
    public AccountRealm accountRealm(){
return new AccountRealm();
}
@Bean public ShiroDialect shiroDialect(){return new ShiroDialect(); }
}

AccountController.java

@Controller

public class AccountController {

@GetMapping("/{url}")

public String redirect(@PathVariable("url")String url){

return  url;

}

@PostMapping("/login")

public String login(String username ,String password,Model model){

Subject subject =SecurityUtils.getSubject();

UsernamePasswordToken token =new UsernamePasswordToken(username,password);

try {

subject.login(token);//进入到realm里边认证方法

            Account account = (Account)subject.getPrincipal();

subject.getSession().setAttribute("account",account);

return "index";

}catch (UnknownAccountException e){

e.printStackTrace();

model.addAttribute("error","用户名不存在");

return "login";

}catch (IncorrectCredentialsException e){

e.printStackTrace();

model.addAttribute("error","密码错误");

return "login";

}

}

@GetMapping("/unauth")

@ResponseBody

    public String unauth(){

return "未授权 禁止访问";

}

@GetMapping("/logout")

public String logout(){

Subject subject =SecurityUtils.getSubject();

subject.logout();

return "login";

}

}

AccountRealm.java

public class AccountRealm extends AuthorizingRealm {
@Autowired
    private AccountService accountService;
//授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//1.获取当前用户信息，
        Subject subject =SecurityUtils.getSubject();
//获取用户信息
        Account account = (Account)subject.getPrincipal();
//设置角色
        Setroles =new HashSet<>();
roles.add(account.getRole());
SimpleAuthorizationInfo info =new SimpleAuthorizationInfo(roles);
//权限
        info.addStringPermission(account.getPerms());
return info;
}
//认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)throws AuthenticationException {
//1.先认证
        /**客户端传来的账号密码封装在token里，根据用户名进行查询，如果不存在return null，shiro自动抛出账户不存在的异常。
         * 不为空，返回SimpleAuthenticationInfo对象，对象里传入数据库查询的密码和token的得到的密码。自动验证，如果密码不对，市容也会抛出异常
         * 我们只需要捕获这两个异常
         */
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
Account account =accountService.findByUsername(token.getUsername());
if(account !=null){
return new SimpleAuthenticationInfo(account,account.getPassword(),getName());
}
return null;
  }
}