=============
后端_认证鉴权
=============

认证：你是谁？
鉴权：能干啥？

Shiro是一个比Spring Security轻量级的安全框架，提供诸如认证、鉴权、加密、会话管理、与Web集成、缓存等功能：

- Shiro会话缓存需要用到Redis
- Shiro身份认证需要用到JWT

JWT (Json Web Token)，Json字符串形式的令牌：

- 用户输入用户名和密码登录服务器
- 服务器在用户名和密码通过验证后返回一个令牌给客户端
- 客户端每次向服务器发起请求时都会带上这个令牌
- 服务端验证令牌并在通过后执行处理返回结果

客户端           服务器
   |               |
   |               |      Shiro  成功
   |--用户名+密码->|---->用户登录----
   |               |        |失败    |
   |               |        v        v
   |               |       异常     JWT
   |               |        |        |
   |               |        v        v
   |<-----响应-----|<----------------
   |               |
   |               |
   .               .
   .               .
   .               .
   |               |
   |               |       Shiro   无令牌
   |------请求---->|---->JWT过滤器----------
   |               |   令牌|   |令牌        |
   |               |   无效|   |有效        |
   |               |       |   v            v
   |               |       | Shiro  成功  Shiro  成功
   |               |       |身份认证---->鉴权注解---->控制器
   |               |       |   |失败        |失败       |
   |               |       v   v            v           v
   |               |     异常 异常         异常        结果
   |               |       |   |            |           |
   |               |       v   v            v           v
   |<-----响应-----|<-----------------------------------
   |               |
   |               |