shiro内容主要有两大部分:认证(你之前登录了没)和授权(你有没有权限访问这个接囗)

认证的原理：过滤器Filter，入囗DelegatingFilterProxy，spring的一个过滤器

DelegatingFilterProxy->ShiroFilterFactoryBean->自定义过滤器（也可使用shiro自带过滤器）->subject.login()

授权的原理：springAop实现的代理（现在都用注解来配置），引入AuthorizationAttributeSourceAdvisor

AuthorizationAttributeSourceAdvisor->PermissionAnnotationHandler.assertAuthorized()->subject.checkPermissions()

之前画图用了subject.isPermitted(),图就不改了，两个方法也没啥区别


总之最后都会调用自定义的realm类，我们在这个类要重写两个方法:

getAuthenticationInfo()：用来认证，内容：判断请示的token是否过期，不过期就续期并返回用户信息

getAuthorizationInfo():用来鉴权，内容：查出用户的所有权限，然后返回

内容一般就是这样了，根据业务来写，可能会不一样。

原理其实就是约定编程，约定先走哪些过程，再走哪些过程。

过滤器，拦截器，通知，这些的本质其实就是约定编程。