1、 Shiro框架：认证，授权（验权）

a) 认证逻辑：applicationCode—>通过工具类获取subject对象，调用login方法参数令牌信息->安全管理器------>调用realm中认证方法（1、根据用户名查询真实密码，2、框架比对密码）

 

Shiro框架实现权限控制方式：

1、 在spring配置文件中配置过滤器链-设置项目中url拦截规则：url拦截-过滤器（anon,authc,perms,roles）

2、 注解方式：在service方法上使用shiro提供注解-代理技术

3、 页面标签：只能在jsp页面中使用

4、 代码级别 subject.checkPermisssion(“code”);

 

在realm中完成授权：根据用户ID查询所有的角色以及权限—查询数据库；