因为是模拟测试，就不需要数据操作层了，直接模拟缓存实现即可．首先 导包， 我这用的是maven构建的项目：

<properties>  <!-- jar包版本 -->
<spring.version>4.2.5.RELEASE</spring.version>          

<shiro.version>1.2.3</shiro.version>
<junit.version>4.11</junit.version>
<log4j.version>1.2.17</log4j.version>
<slf4j.version>1.7.5</slf4j.version>
</properties>
<!-- spring -->
<dependency>
   <groupId>org.springframework</groupId>
  <artifactId>spring-context</artifactId>
  <version>${spring.version}</version>
</dependency>
<dependency>
  <groupId>org.springframework</groupId>
  <artifactId>spring-webmvc</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-context-support</artifactId>
<version>${spring.version}</version>
</dependency>
<!-- shiro -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-ehcache</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-quartz</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
 <groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>${log4j.version}</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.1.2</version>
</dependency>

web.xml文件配置

<!-- 字体格式 -->
<filter>
<filter-name>encoding</filter-name>
<filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
<init-param>
    <param-name>encoding</param-name>
    <param-value>UTF-8</param-value>
</init-param>
 </filter>
 <filter-mapping>
  <filter-name>encoding</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>
<!-- spring事件监听器 -->
  <context-param>
      <param-name>contextConfigLocation</param-name>
      <param-value>classpath:spring-shiro.xml</param-value>
  </context-param>
  <listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
 <!-- springmvc -->
<!-- 配置springmvc servlet -->
<servlet>
    <servlet-name>springmvc</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <init-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:spring-mvc.xml</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
    <servlet-name>springmvc</servlet-name>
    <url-pattern>*.action</url-pattern>
</servlet-mapping>
<!-- shiro -->
<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

spring-mvc.xml配置文件

<!--自动扫描--> 
<context:component-scan  base-package="com.floder.controller">    </context:component-scan><!-- 视图解析器 -->
<bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
    <property name="viewClass"
        value="org.springframework.web.servlet.view.JstlView" />
    <property name="prefix" value="/WEB-INF/jsp/"></property>
    <property name="suffix" value=".jsp"></property>
</bean>
</beans>

spring-shrio配置文件

<!-- shiroFilter工厂 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <!-- 构建securityManager环境 -->
    <property name="securityManager" ref="securityManager" />
    <!-- 用户没有认证通过返回的地址 -->
    <property name="loginUrl" value="/login.action" />
    <!-- 拦截成功地址 -->
    <property name="successUrl" value="/index.action" />
    <!-- 没有权限返回的地址 （拒绝访问路径）-->
    <property name="unauthorizedUrl" value="/refused.action" />
    <property name="filterChainDefinitions">
        <value>
            /index.action=authc
            /logout.action=logout
            /manager.action=perms[user:query]
        </value>
    </property>
</bean>
<!-- securityManager -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!--调用自定义realm -->
    <property name="realm" ref="myRealm" />
</bean>
<bean id="myRealm" class="com.floder.shiro.MyRealm"></bean>

配置文件有些东西还要解释，再后面边实践边解释吧！
开始测试，由于我们直接模拟登陆，所以直接写一个login.jsp测试，里面就一个form表单，

<h3>Shiro验证登陆</h3>
<form id="form" action="/login.action" method="post">
  <input type="text" name="username" />${error }<br/>                       <input type="password" name="password" /><br/>
<button type="submit" name="button">登陆</button>
</form>

再来回顾一下shiro验证流程，先subject.login(),再securityManager.login(),再交由Authenticator调用realm获取验证信息验证．但这些流程在web引用中是怎么实现的呢？
　　我们前面提到，用户登录的信息会储存在UsernamePasswordToken中，又因为我们在web.xml文件中配置了Shiro拦截所有请求＂/*＂,所以用户登录信息会储存在token里面，发起登陆请求会调用realm验证信息，成功则进入登陆成功页面（此处是index.jsp）．realm部分的代码如下：

//授权方法
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    String userId = (String) principals.getPrimaryPrincipal();
    List<String> permission = new ArrayList<String>();
            //模拟从数据库中取得的权限信息
    permission.add("user:query");
    permission.add("user:update");
    permission.add("user:commit");
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    info.addStringPermissions(permission);
    return info;
}
//认证方法
@Override
  protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String userId= (String) token.getPrincipal();
System.out.println(userId);
//模拟从数据库取得的信息
String password="floder";
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(userId,password, getName());
return info;
}`

controller方法:

@RequestMapping(value="/login",method=RequestMethod.POST)
public String login(String username, String password,HttpServletRequest request){       
    Subject user = SecurityUtils.getSubject();
    UsernamePasswordToken token = new UsernamePasswordToken(username, password);
    try {
        user.login(token);
    }catch (AuthenticationException e) {
        token.clear();
        request.setAttribute("error", "用户或密码不正确！");
        return "/login";
    }
//这里可以多加几个catch异常，密码或账号为空等等．．
//这里一定需要方法重定向，否则刷新又回到登陆页面了
    return "redirect:index.action";
}

根据这个realm我们可知只需随便给个名字就可以，但密码不能错．这是模拟就不要在意太多了．
如果成功就能进入登陆成功页面了，但我们没有实现拦截．所以我们需要配置拦截地址，就有要回到我们的xml配置了，在spring-shiro.xml中shiroFilter里面的filterChainDefinitions属性配置过滤器，语法规则如下：
过滤器定义　格式：（意义 ：内置过滤器）

    anon（匿名）  org.apache.shiro.web.filter.authc.AnonymousFilter
    authc（身份验证）       org.apache.shiro.web.filter.authc.FormAuthenticationFilter
    authcBasic（http基本验证）    org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
    logout（退出）        org.apache.shiro.web.filter.authc.LogoutFilter
    noSessionCreation（不创建session） org.apache.shiro.web.filter.session.NoSessionCreationFilter
    perms(许可验证)  org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
    port（端口验证）   org.apache.shiro.web.filter.authz.PortFilter
    rest  (rest方面)  org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
    roles（权限验证）  org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
    ssl （ssl方面）   org.apache.shiro.web.filter.authz.SslFilter
    user （用户方面）  org.apache.shiro.web.filter.authc.UserFilter

接下来只需在我们的登陆成功地址（index.action）前加上过滤器就行了： /index.action=authc
同理，登出的话只需配置一个请求（无所谓controller中有没有对应的地址处理）即可，然后再加一个logout：/logout.action=logout

现在来看授权部分：Shiro一共有三种方法给Subject授权（这里讲javaee方面,javase前面的测试方法里面已经有了）
①．过滤器配置　/请求地址=perms[权限名（多个需用引号标识）]
②．基于注解配置　这里我们是在controller层配置呢还是在service层配置呢？肯定是在controller层，因为service里面有可能这个方法需要多次重用，但不一定都需要这个权限．知道了地方直接加就可以了，
＠RequiresPermissions("权限名")
就这样还不行，因为没有告诉springmvc这是Shiro的注解，所以还需要在spring-mvc.xml文件中加两行配置

<!-- 开启aop对类代理 -->
<aop:config proxy-target-class="true"></aop:config>
<!-- 开启对shiro注解的支持 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
</bean>

命名空间就不说了，但就这样使用jtetty测试时会报错：没有acpect这里面的某个类，还需在pom文件中加上

<!-- aop代理 -->
    <dependency>
        <groupId>asm</groupId>
        <artifactId>asm</artifactId>
        <version>3.3.1</version>
    </dependency>
    <dependency>
        <groupId>org.aspectj</groupId>
        <artifactId>aspectjweaver</artifactId>
        <version> 1.6.11</version>
    </dependency>

加上了，然后就可以测试权限了．
③基于jsp标签的配置，这个首先要在jsp种导入标签库
<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
prefix属性随你填，但要和所使用的相同
<shiro:hasPermission name=""></shiro:hasPermission>
这样，三种方法都讲完了，可以开始测试了（最好一个一个测试）；
　　讲到这里，Shiro你已经会用很多实用功能了，但是原理部分还是有点问题：比如我前面的注册表单input的name名字可不可以改，我为什么一定是username和password？如果我要加验证码怎么处理？如果系统被入侵来了个陌生人，我们发现了，想要改变他的权限怎么做？还有，怎么设置session的时间限制？等等　其实这些都有办法解决，只要你知道原理，其实Shiro进行表单验证是通过FormAuthenticationFilter这个类来实现的，部分源码：

shiro-FormAuthentication.jpg

里面有三个常量已近被定死了，当然也可以自己配置，那就需要自己自定义配置这个bean了，给他设置两个属性名为usernameParam和passwordParam，属性就是表单的name属性值．那么验证码也用的这个原理，自定义一个类继承FormAuthenticationFilter这个类的 onAccessDenied方法，然后从域中取值比较即可，就不演示了．
　 第二个问题，如果发现陌生人入侵系统，怎么及时修改权限呢？只需在Controllor层发送一个ajax请求处理某个方法就行了，方法内部代码实现：
getAuthenticationCache().clear()

设置session失效时间？根据Shiro内部架构可知只需在securityManager里面设置这个属性：
<property name="globalSessionTimeout" value="1800000"/>