springboot+shrio简易登陆登出和用户权限认证。

源码：https://github.com/huangshengz/myJavaDemo本例子参考：https://www.cnblogs.com/HowieYuan/p/9259638.html本例子验证主要有两个类，一个是自定义的拦截类ShiroConfig，在这里咱们自定义了不少须要的操做。例如：角色权限路径，登陆路径等，一些具体的含义以下： * anon：无参，开放权限，能够理解为匿名用户或游客 * logout：无参，注销，执行后会直接跳转到shiroFilterFactoryBean.setLoginUrl(); 设置的 url * authc：无参，须要认证 * authcBasic：无参，表示 httpBasic 认证 * user：无参，表示必须存在用户，当登入操做时不作检查 * ssl：无参，表示安全的URL请求，协议为 https * perms[user]：参数可写多个，表示须要某个或某些权限才能经过，多个参数时写 perms["user, admin"]，当有多个参数时必须每一个参数都经过才算经过 * roles[admin]：参数可写多个，表示是某个或某些角色才能经过，多个参数时写 roles["admin，user"]，当有多个参数时必须每一个参数都经过才算经过 * rest[user]：根据请求的方法，至关于 perms[user:method]，其中 method 为 post，get，delete 等 * port[8081]：当请求的URL端口不是8081时，跳转到schemal://serverName:8081?queryString 其中 schmal 是协议 http 或 https 等等， * serverName 是你访问的 Host，8081 是 Port 端口，queryString 是你访问的 URL 里的 ? 后面的参数第二个类是CustomRealm。它继承了AuthorizingRealm类而且重写了登陆验证和权限验证。在里面咱们能够自定义咱们的业务逻辑。这个类很是重要，由于在拦截类ShiroConfig里，securityManager.setRealm()，就是把这个类注入进去，使得拦截能知道用户信息。这个类doGetAuthenticationInfo 和 doGetAuthorizationInfo必定要区分明白，第一个是身份认证，例如登陆时就是它，而第二个是角色权限认证，在里面咱们设置了角色权限。在登陆方法里，很明确的把用户信息放入到了UsernamePasswordToken里，而doGetAuthenticationInfo进行身份认证时，用户信息就从UsernamePasswordToken取。最后说一下整个流程：1. 项目启动时，Shiro拦截器工厂类ShiroConfig已经成功的注入。2. 而后咱们登陆的时候，跳转到login方法里，数据会保存到UsernamePasswordToken里面，主要是用户名和用户密码。3. 而后就走到了CustomRealm类了的身份证方法doGetAuthenticationInfo，在这里，咱们根据用户名从数据库里拿到了用户密码与登陆密码作比较，而后判断密码是否正确，而后放行，到此用户登陆成功。4. 而后用户访问数据的时候，会调用CustomRealm的doGetAuthorizationInfo进行权限认证。