是相当于同一个用户，可以用不同方式登陆

还有就是比如有两种登录方式a和b，如果用户先用a方式登录，再用b方式登录，需要把之前的a方式登录踢掉

@wendal
一种登录方式是类似oauth回调的方法，一旦回调成功即认为登录成功，不进行验证。然后授权。
这种情况，应该自定义shiro的哪些部分来处理呢？

@admin 不知道这个SimpleAuthToken，怎么一个大概的使用流程？

是指的SimpleAccount吗？

多谢指导，研究研究

@wendal
看nutz-book-project 3.x代码，其中登陆部分

@POST
	@Ok("json")
	@At
	@Slog(tag="用户登录", after="用户[${username}] ok=${re.ok}")
	public Object login(@Param("username")String username, 
					  @Param("password")String password,
					  @Param("rememberMe")boolean rememberMe,
					  @Param("captcha")String captcha) {
		 ....
		 ..
		// 检查用户名密码
		User user = dao.fetch(User.class, username);
		if (user == null) {
			return re.setv("msg", "用户不存在"); // TODO: 改成 用户名/密码不正确
		}
		// 比对密码
		if (!userService.checkPassword(user, password)) {
			return re.setv("msg", "密码错误");
		}
		
		Toolkit.doLogin(new SimpleShiroToken(user.getId()), user.getId());
		
		subject.getSession().setAttribute("me", user);
		return re.setv("ok", true);
	}

没用使用FormAuthenticationFilter的过滤器模式做验证？
那nutz-integration-shiro里的CaptchaUsernamePasswordToken是不是就没有用到？