Restful

这篇文章围绕前后端分离场景下的 Spring Security + JWT 鉴权方案展开，目标是用更贴近 Spring Security 官方设计的方式实现无状态认证。正文先梳理登录和请求鉴权的整体流程，再逐步实现用户模型、JWT 工具类、登录过滤器、请求鉴权过滤器、基于 Ehcache 的 UserDetails 缓存、统一异常返回，以及方法级权限注解的使用，最后补充了 token 续期和已签发 token 作废的处理思路。

这篇文章给出了一个基于 Spring Boot、Shiro 和 JWT 的 Restful 鉴权教程，目标是在前后端分离场景下放弃 Session 和 Cookie，改用无状态的 Token 认证。正文从整体登录流程讲起，说明 token 的生成与校验方式，再逐步实现模拟用户数据源、统一返回结构、自定义异常、JWT 工具类、Shiro 的 Realm 与 Filter，以及注解鉴权和跨域支持配置，最后也点出了这套实现仍可继续改进的地方。