小Ti博客

Shiro是apache旗下的一个开源安全框架，它可以帮助我们完成身份认证，授权、加密、会话管理等功能。易于理解的API简单的身份认证，支持多种数据源简单的授权和鉴权简单的加密API支持缓存，以提升应用程序的性能内置会话管理，适用于Web以及非Web的环境不跟任何的框架或者容器捆绑，可以独立运行使用dbcRealm认证时，数据库表名、字段名、认证逻辑都不能改变，我们可以自定义 Realm进行更灵活的认证。编写自定义Realm@Autowired//自定义认证方法。

之所以叫无状态，是因为这种方式是把用户会话封装到Token中(用户，权限等)，服务端不用存储用户会话，拿到Token就可以进行鉴权，无效再去获取用户会话，这种方式更加方便，另外少了获取会话的性能开销。使用JWT的好处是：token是无状态的，也就是服务端不用存储用户信息，而且把用户信息封装到Token中，交由前端自己去存储，这种方式的好处是减轻了服务器的压力，坏处是Token会变得很长。通常有2中方式，一是通过后台管理器去手动添加，第二种是自动扫描方法上的注解权限，自动插入到数据库。