shiro框架的认证和授权流程 shiro框架的使用

前台使用shiro框架后如何直接访问首页

1、我是直接把loginUrl的property标签的VALUE指向首页的路径，虽然可以实现这个效果，但还不是很理想，还在学习中。

2、公司项目使用shiro作为安全框架，我们一般在使用shiro登录之后，会跳转到默认的首页。

3、配置完成后，未登录就可以在浏览器中直接访问css下的资源，新项目用的shiro，简单而又实用的权限框架。

4、申请域名：首先需要在互联网上申请一个域名，例如。您可以通过各大域名注册商进行域名购买和注册，选择适合自己的域名并按照要求填写相关信息。

5、如果使用Apache Shiro框架，只需要设置属性：[urls]/**=ssl如果使用Spring Security.，只需要在设置HttpSecurity时，简单调用一个方法即可。

shiro的框架把用户信息放到了哪里

登录的action中将用户名存到session中，在页面上获取，如果session有值就是登录了。保存到session或者就是保存到一个对象里就行了。在登录页面将请求交个LoginAction处理，（写好对应的ActionForm)并且同时Struts会将表单信息保存。

user：update，delete 其实就等价于 “user：update，delete：*”所以 shiro 的访问控制可以控制到具体实例，或者说具体哪条数据库记录，也可以在表级别控制。如果省略掉 对象实例ID部分，就是在表级别控制。

但考虑到大多数目的和用途，你可以把它认为是Shiro的“用户”概念。 Subject代表了当前用户的安全操作，SecurityManager则管理所有用户的安全操作。

Shiro+SessionId构建token鉴权体系

1、后台的管理系统是采用码云上开源的renren-security系统，该系统采用的认证框架是Shiro。考虑系统采用原本的权限控制采用Session方式，整体风险大且时间周期长，所以整合考虑采用SessionId作为token的方式，进行无状态的token认证方式。

2、携带refresh_token，如果是生产环境不会直接携带refresh_token信息，详见以下防重放攻击。 获取token 根据环境不同而有不同的获取token方式。 解析token 通过JWT工具将token解析。

3、步骤如下：集群下如何实现token鉴权。服务端创建一个加密后的JWT信息，作为Token返回。在后续请求中JWT信息作为请求头，发给服务端。