一:权限控制两种主要方式

     粗粒度 URL 级别权限控制和细粒度方法级别权限控制

     1.粗粒度 URL 级别权限控制

         可以基于 Filter 实现在数据库中存放 用户、权限、访问 URL 对应关系, 当前用户访问一个 URL 地址,查

         询数据库判断用户当前具有权限,是否包含这个 URL,如果包含允许访问,如果不包含权限不足

     2.粗粒度 URL 级别权限控制和

         可以代理、自定义注解实现, 访问目标对象方法,在方法上添加权限注解信息,对目标对象创建代理对象,

         访问真实对象先访问代理对象,在代理对象查询数据库判断是否具有注解上描述需要权限,具有权限 允许访问,

         不具有权限,拦截访问,提示权限不足

 二:权限控制相关数据表

     实体 : 用户、角色、权限(他们之间都是多对多的关系)

     用户: 系统登录用户 User

     权限: 描述权限信息 (粗粒度权限控制,可能在权限表描述访问资源 URL 信息)

     Permission

     角色: 方便用户进行授权, 角色就是权限的集合 Role

     用户 *---* 角色 *---* 权限 ==> 建立 至少5 张数据表

     Menu 菜单, 为了方便进行动态菜单管理 , 为不同用户定制不同系统菜单

     不同用户系统菜单,可以根据用户角色 进行管理 角色 * --- * 菜单

 三:建立实体类创建对应的数据库表

 四:ApacheShiro  框架入门

     1.Apache Shiro框架简介和下载导入

         官网: http://shiro.apache.org/

     2.Apache Shiro 体系结构

         2.1Authentication 认证 ---- 用户登录,身份识别 who are you?

         2.2Authorization 授权 --- 用户具有哪些权限、角色 what can you do ?

         2.3Cryptography 安全数据加密

         2.4Session Management 会话管理

         2.5Web Integration web 系统集成

         2.6Interations 集成其它应用,spring、缓存框架

     3.导入对应的jar包

         <!-- 权限控制 框架 -->

         <dependency>

             <groupId>org.apache.shiro</groupId>

             <artifactId>shiro-all</artifactId>

             <version>${shiro.version}</version>

         </dependency>

     4.参考官方文档:Apache_Shiro_reference(中文版).pdf

     5.Apache Shiro执行过程分析和权限控制主要方式

         5.1Shiro运行主要运行流程:

             ApplicationCode 用户编写代码

             Subject 就是 shiro 管理的用户

             SecurityManager 安全管理器,是 shiro 权限控制核心对象, 在编程时,只需要操作

             Subject 方法, 底层调用 SecurityManager 方法,无需直接编程操作 SecurityManager

             Realm 应用程序和安全数据之间连接器 ,应用程序 进行权限控制读取安全数据(数据

             表、文件、网路 … ),通过 Realm 对象完成

             登录流程: 应用程序 --- Subject --- SecurityManager --- Realm --- 安全数据

         5.2Shiro进行权限控制

             四种主要方式 :

             1、 在程序中 通过 Subject 编程方式进行权限控制

             2、 配置 Filter 实现 URL 级别粗粒度权限控制

             3、 配置代理,基于注解实现细粒度权限控制

             4、 在页面中使用 shiro 自定义标签实现 页面显示权限控制

     6.用户登录功能的实现

         6.1配置shiro的Filter实现URL级别权限控制

             6.1.1配置web.xml

                 <!-- shiro的Filter  -->

                 <filter>

                     <!-- 去spring配置文件中寻找同名bean  -->

                     <filter-name>shiroFilter</filter-name>

                     <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

                 </filter>

                 <filter-mapping>

                     <filter-name>shiroFilter</filter-name>

                     <url-pattern>/*</url-pattern>

                 </filter-mapping>

             6.1.2配置applicationContext-shiro.xml

                 <!-- 配置Shiro核心Filter  -->

                 <bean id="shiroFilter"

                     class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

                     <!-- 安全管理器 -->

                     <property name="securityManager" ref="securityManager" />

                     <!-- 未认证,跳转到哪个页面  -->

                     <property name="loginUrl" value="/login.html" />

                     <!-- 登录页面页面 -->

                     <property name="successUrl" value="/index.html" />

                     <!-- 认证后,没有权限跳转页面 -->

                     <property name="unauthorizedUrl" value="/unauthorized.html" />

                     <!-- shiro URL控制过滤器规则  -->

                     <property name="filterChainDefinitions">

                         <value>

                             /login.html* = anon

                             /user_login.action* = anon

                             /validatecode.jsp* = anon

                             /css/** = anon

                             /js/** = anon

                             /images/** = anon

                             /services/** = anon

                             /pages/base/courier.html* = perms[courier:list]

                             /pages/base/area.html* = roles[base]

                             /** = authc

                         </value>

                     </property>

                 </bean>

                 <!-- 安全管理器  -->

                 <bean id="securityManager"

                     class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

                     <property name="realm" ref="bosRealm" />

                 </bean>

                 <bean id="lifecycleBeanPostProcessor"

                     class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

         6.2过滤器的参考配置

             anon 未认证可以访问

             authc 认证后可以访问

             perms 需要特定权限才能访问

             roles 需要特定角色才能访问

             user 需要特定用户才能访问

             port 需要特定端口才能访问

             reset 根据指定 HTTP 请求访问才能访问

         6.3用户登录(认证)功能实现(代码编写)

             编写 UserAction 提供 login 登录方法

             创建subject对象-->创建token对象用来保存用户输入的数据-->调用subject对象的login方法实现认证登录成功

             编写realm类提供shiro的认证管理(doGetAuthenticationInfo)

             和授权管理(doGetAuthorizationInfo)(让其继承extends AuthorizingRealm即可实现)

             认证管理:将token转换为UsernamePasswordToken-->接着从token中获取当前登录用户的用户名和密码

             -->根据用户的用户名查询数据库,获取用户对象(判断是否存在在数据库中)-->不存在retuurn null、

             存在return new SimpleAuthenticationInfo(user, user.getPassword(),getName());-->交由securityManager处理

             授权管理:创建SimpleAuthorizationInfo授权对象-->获取当前的用户对象(利用subject.getPrincipal();)

             -->查询当前用户的所有角色和权限(通过数据jpa获取)-->获取到的用户角色和权限信息

             添加到SimpleAuthorizationInfo授权对象中并且返回交由securityManager处理具体的授权模块

         6.4用户注销功能实现

             只需调用subject的logout()方法即可注销当前登录用户保存在shiro的签名信息中的数据

     7.细粒度的基于method的注解式权限管理的实现和jsp页面控制权限菜单的显示参考www.baidu.com;

shiro权限控制入门的更多相关文章

  1. shiro权限控制的简单实现

    权限控制常用的有shiro.spring security,两者相比较,各有优缺点,此篇文章以shiro为例,实现系统的权限控制. 一.数据库的设计 简单的五张表,用户.角色.权限及关联表: CREA ...

  2. Spring boot后台搭建二为Shiro权限控制添加缓存

    在添加权限控制后,添加方法 查看 当用户访问”获取用户信息”.”新增用户”和”删除用户”的时,后台输出打印如下信息 , Druid数据源SQL监控 为了避免频繁访问数据库获取权限信息,在Shiro中加 ...

  3. Spring boot后台搭建二集成Shiro权限控制

    上一篇文章,实现了用户验证 查看,接下来实现下权限控制 权限控制,是管理资源访问的过程,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等 Apache Shir ...

  4. shiro权限控制配置

    shiro配置流程 web.xml中配置shiro的filter spring中配置shiro的过滤器工厂,指定对不同地址权限控制 , 传入安全管理器 配置安全管理器,传入realm,realm中定义 ...

  5. shiro权限管理入门程序

    最近在学shiro,觉得入门程序还是有用的,记下来防止遗忘,也可供大家参考. package cn.itcast.shiro.authentication; import org.apache.shi ...

  6. Shiro权限控制框架

    Subject:主体,可以看到主体可以是任何可以与应用交互的"用户": SecurityManager:相当于SpringMVC中的DispatcherServlet或者Strut ...

  7. shiro权限控制

    1.1  简介 Apache Shiro是Java的一个安全框架.目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Securi ...

  8. JFinal配合Shiro权限控制在FreeMarker模板引擎中控制到按钮粒度的使用

    实现在FreeMarker模板中控制对应按钮的显示隐藏主要用到了Shiro中的hasRole, hasAnyRoles, hasPermission以及Authenticated等方法,我们可以实现T ...

  9. shiro权限控制(一):shiro介绍以及整合SSM框架

    shiro安全框架是目前为止作为登录注册最常用的框架,因为它十分的强大简单,提供了认证.授权.加密和会话管理等功能 . shiro能做什么? 认证:验证用户的身份 授权:对用户执行访问控制:判断用户是 ...

随机推荐

  1. 实体bean里面不要轻易加transient,反序列回来之后会变成null

     实体bean里面不要轻易加transient,反序列回来之后会变成null

  2. ACM-ICPC 2018北京网络赛-A题 Saving Tang Monk II-优先队列

    做法:优先队列模板题,按步数从小到大为优先级,PASS掉曾经以相同氧气瓶走过的地方就好了 题目1 : Saving Tang Monk II 时间限制:1000ms 单点时限:1000ms 内存限制: ...

  3. [ActionScript 3.0] 利用ColorTransform实现对象(图片)的曝光过渡效果

    原图效果 过渡效果 这个效果可以用帧动画实现较为简单,只需要调节这个影片剪辑的色彩效果样式里面的高级选项的三个通道值,以下用代码简单测试,可作为文档类: package { import com.tw ...

  4. Tomcat入门级小白教程

    Tomcat 类似与一个apache的扩展型,属于apache软件基金会的核心项目,属于开源的轻量级Web应用服务器,是开发和调试JSP程序的首选,主要针对Jave语言开发的网页代码进行解析,Tomc ...

  5. Oracle数据库count的一些操作

    --统计数量 select count(*) from table; --统计某一列的数量(去空) select count(col) from table; --统计某一列的值大于或小于另一个值的数 ...

  6. String 源码浅析(一)

    前言 相信作为 JAVAER,平时编码时使用最多的必然是 String 字符串,而相信应该存在不少人对于 String 的 api 很熟悉了,但没有看过其源码实现,其实我个人觉得对于 api 的使用, ...

  7. python 强大的工具

    numpy Python科学计算的基础包 安装工具 pip3 install numpy pandas包含了高级的数据结构和操作工具,它们使得Python数据分析更加快速和容易. 安装工具 pip3 ...

  8. Kettle入门及性能优化FAQ

    1.安装 配置Java环境 Java环境配置问题 java_home:D:\Program Files\Java\jdk1.7.0_25(安装jdk路径) classpath:.;%java_home ...

  9. 2019.2.14 t3 车辆销售

    用算法求最大生成树,在并查集合并时,把原本的一个根连向另一个 根改成两个根都连向一个新建的节点,并把当前正在处理的边的权值赋给这个新 节点做点权.这样形成的结构会是一棵树. 一个点的答案大致上是树的根 ...

  10. 对cookie,session,token,jwt的理解

    对这几个东西有点凌乱了,今天有时间整理下 cookie Cookie的诞生 由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的.Cookie诞生的最初目的是为了存储web中的状态信息,以方便 ...