儿童节快乐嗯。
完善一下权限相关的Filter和Realm，实际上就是鉴定是否登陆，以及管理员。

不是在Spring MVC下写就是不方便啊……明明有好用的JSON自动装配对象，提交Mapper验证，我为什么要在这里写呢……
对哦。本来shiro就不是负责用户登陆生成Tk的啊……它存在的目的是用来验证Tk的正确性的来着……
这个Filter是用来保护那些登陆才能访问的资源，用户得带Tk访问这些资源，而Filter就用来获取Tk，Realm解析TK。

总算是理解了，实际上就像Mybatis封装JDBC一样，shiro就是把Filter纳入管理，配起来更方便。
不过我在无状态API里用它有点大材小用，它可以负责Session，Cookie，甚至J2SE也可以用到它。。

等会专门写一篇SSM提供无状态API使用shiro的心得吧……

昨天找了一下VPGame的HR，说我当时简历基本没写，要求重新投简历，结果对方真的发来了邮箱地址……

大舅哥帮我提了好多好意见，真的是句句干货，感恩之情真的是无以言表。。

我发现我根本用不到它提供的realm。。。mmp啊，要用到那个Realm机制得每次请求带用户名密码，Realm去查数据库。。

干脆修改一下，废弃Realm，只保留shiro灵活配置Filter的特性，直接Filter中对Tk进行验证。

那么就变成了之前双验证码的再现……