//根据username查询该用户的所有角色，用于角色验证
  Set<String> findRoles(String username);

  //根据username查询他所拥有的权限信息，用于权限判断
  Set<String> findPermissions(String username);

2.自定义Realm配置Shiro授权认证

1) 获取验证身份（用户名） 2) 根据身份（用户名）获取角色和权限信息 3) 将角色和权限信息设置到SimpleAuthorizationInfo SimpleAuthorizationInfo info=new SimpleAuthorizationInfo(); info.setRoles(roles); info.setStringPermissions(permissions);

3.使用Shiro标签实现权限验证

3.1 导入Shiro标签库

<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

3.2 Shiro标签库

guest标签：验证当前用户是否为“访客”，即未认证（包含未记住）的用户 user标签：认证通过或已记住的用户 authenticated标签：已认证通过的用户。不包含已记住的用户，这是与user标签的区别所在 notAuthenticated标签：未认证通过用户，与authenticated标签相对应。与guest标签的区别是，该标签包含已记住用户 principal 标签：输出当前用户信息，通常为登录帐号信息 hasRole标签：验证当前用户是否属于该角色 lacksRole标签：与hasRole标签逻辑相反，当用户不属于该角色时验证通过 hasAnyRole标签：验证当前用户是否属于以下任意一个角色 hasPermission标签：验证当前用户是否拥有指定权限 lacksPermission标签：与hasPermission标签逻辑相反，当前用户没有制定权限时，验证通过

4.配置注解权限验证

4.1 Shiro注解

@RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证;即 Subjecj.isAuthenticated()返回 true @RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的 @RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过，即是游客身份 @RequiresRoles(value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user @RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b

4.2 开启注解

注：必须将Shiro注解的开启放置到spring-mvc.xml中（即放在springMVC容器中加载），不然Shiro注解开启无效！！！

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">

    <!--配置自定义的Realm-->
    <bean id="shiroRealm" class="com.zking.ssm.book.shiro.ShiroRealm">
        <property name="sysUserService" ref="sysUserServiceImpl" />
        <!--注意：重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意：重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意：重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--以下三个配置告诉shiro将如何对用户传来的明文密码进行加密-->
        <property name="credentialsMatcher">
            <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <!--指定hash算法为MD5-->
                <property name="hashAlgorithmName" value="md5"/>
                <!--指定散列次数为1024次-->
                <property name="hashIterations" value="1024"/>
                <!--true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储-->
                <property name="storedCredentialsHexEncoded" value="true"/>
            </bean>
        </property>
    </bean>

    <!--注册安全管理器-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="shiroRealm" />
    </bean>

    <!--Shiro核心过滤器-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,这个属性是必须的 -->
        <property name="securityManager" ref="securityManager" />
        <!-- 身份验证失败，跳转到登录页面 -->
        <property name="loginUrl" value="/home/index.shtml"/>
        <!-- 身份验证成功，跳转到指定页面 -->
        <!--<property name="successUrl" value="/index.jsp"/>-->
        <!-- 权限验证失败，跳转到指定页面 -->
        <!--<property name="unauthorizedUrl" value="/user/noauthorizeUrl"/>-->
        <!-- Shiro连接约束配置,即过滤链的定义 -->
        <property name="filterChainDefinitions">
            <value>
                <!--
                注：anon，authcBasic，auchc，user是认证过滤器
                    perms，roles，ssl，rest，port是授权过滤器
                -->
                <!--anon 表示匿名访问，不需要认证以及授权-->
                <!--authc表示需要认证 没有进行身份认证是不能进行访问的-->
                <!--roles[admin]表示角色认证，必须是拥有admin角色的用户才行-->
                /user/login=anon
                /book/**=authc
               <!-- /css/**               = anon
                /images/**            = anon
                /js/**                = anon
                /                     = anon
                /user/logout          = logout
                /user/**              = anon
                /userInfo/**          = authc
                /dict/**              = authc
                /console/**           = roles[admin]
                /**                   = anon-->
            </value>
        </property>
    </bean>

    <!-- Shiro生命周期，保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
</beans>

4.3 注解权限验证失败不跳转路径问题

问题原因：由于我们架构是用springmvc框架来搭建的所以项目的路径跳转是由springmvc 来控制的，也就是说我们在shiro里面的配置没有用

<!-- 身份验证成功，跳转到指定页面 -->
  <property name="successUrl" value="/index.jsp"/>                //没有用，达不到预期效果
  <!-- 权限验证失败，跳转到指定页面 -->
  <property name="unauthorizedUrl" value="/user/noauthorizeUrl"/> //没有用，达不到预期效果

解决方案： springmvc中有一个org.springframework.web.servlet.handler.SimpleMappingExceptionResolver类就可以解决这个问题

<bean id="exceptionResolver" class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
    <property name="exceptionMappings">
        <props>
            <prop key="org.apache.shiro.authz.UnauthorizedException">
                unauthorized
            </prop>
        </props>
    </property>
  </bean>