https://www.yuque.com/gaohanghang/wnt82r/df1iw5

用户角色和权限在首次注册的时候录入数据库，此后用户登录进行的是用户验证，shiro的功能是安全验证

设置自定义的relm类名称，为了后边创建对象调用

哦哦写错了应该是

SimpleAuthorizationInfo类

String password = getPasswordByUserName(username);

Realm中不是有密码么(老师的demo   userMap存放用户密码 )，然后customRealm中的UsernamePasswordToken token = new UsernamePasswordToken("Mark", "123456");，这个123456密码与Map中密码比较，代码是通过SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo("Mark", password,"userRealm");进行比较的。

已经解决了

你用的是junit的单元测试，又没启动spring 所以你没法从spring工厂注入

实际项目中，前台后台就是两套系统，互联网项目前台往往对C端，后台对公司的运营，肯定是两套权限体系，分两个项目，分别用shiro管理

老师可能写的随意了点，我觉得就是username，事实上我也是这么去写的，没有问题

找到错误了，应该是SimpleAuthorizationInfo

认证不能放在授权后面

问题找到了，类写错导致，应该为

SimpleAuthorizationInfo

粗心大意了！

personmapper依赖注入问题哦

从开闭原则的角度来看，肯定是用Shiro更合适一些，再说，不是还有这么多方便的注解可以用吗？

你说的根据权限列表获取允许的操作，和shiro的认证、授权不是一个维度的吧，你说的是业务逻辑实现？

密码在

SimpleAuthenticationInfo

中对比的，它构造器中传入的密码参数和前面UserNamePasswordToken中的密码对比

这块提供的几个模拟 想象成从数据库对应的表里拿到的这些数据就Ok了

..........dubug一下不就知道了。。。你们真的是学IT的吗

select password from user where username = ?

貌似加密及验证不在自定义的 Realm 中进行，主体中的密码是明文则 SimpleAuthenticationInfo 中的密码需要是密文（如果使用了加密的话），而且注册时确实就是向数据库中存放密码密文呀 ＼（＠￣∇￣＠）／

1. 查到了就代表有这个用户。 

2. 问题2就是按照正常 的Md5加密即可 ，不需要做额外处理 。