一个菜鸡的博客

验证用户是否被记忆： 登录认证成功subject.isAuthenticated()为true 登录后被记忆subject.isRemembered()为true。通过给接口服务方法添加注解可以实现权限校验，可以加在控制器方法上，也可以加 在业务方法上，一般加在控制器方法上。验证subject是否有相应角色，有角色访问方法，没有则会抛出异常 AuthorizationException。验证subject是否有相应权限，有权限访问方法，没有则会抛出异常 AuthorizationException。

认证策略的另外一项工作就是聚合所有 Realm 的结果信息封装至一个 AuthenticationInfo 实例中，并将此信息返回，以此作为 Subject 的身份信息。FirstSuccessfulStrategy ==》第一个 Realm 验证成功，整体认证将视为成功，且后续 Realm 将被忽略。AtLeastOneSuccessfulStrategy ==》只要有一个（或更多）的 Realm 验证成功，那么认证将视为成功。（1）在所有 Realm 被调用之前。（4）在所有 Realm 被调用之后。

Shiro 默认的登录认证是不带加密的，如果想要实现加密认证需要自定义登录认证，自定义 Realm。//自定义的登录认证方法，Shiro 的 login 方法底层会调用该类的认证方法完成登录认证//需要配置自定义的 realm 生效，在 ini 文件中配置，或 Springboot 中配置//该方法只是获取进行对比的信息，认证逻辑还是按照 Shiro 的底层认证逻辑完成认证//1 获取身份信息//2 获取凭证信息。

Subject 代表了当前“用户”， 这个用户不一定 是一个具体的人，与当前应用交互的任何东西都是 Subject，如网络爬虫， 机器人等；（5）Realm：可以有 1 个或多个 Realm，可以认为是安全实体数据源，即用于获取安全实 体 的；（3）Realm：Shiro 从 Realm 获取安全数据（如用户、角色、权限），就是说SecurityManager 要验证用户身份，那么。（7）CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的；可以看出它是 Shiro 的核心，